Questo imprenditore è stato vittima di SIM-Swap così spesso che ha fondato un'azienda per combatterlo

La prima volta che gli è stata cambiata la SIM nel 2018, Haseeb Awan l'ha presa sul serio e ha sperato che T accadesse di nuovo. Poi è arrivato il secondo incidente. Poi il terzo. Poi il quarto. Dopo l'ultimo scambio, Awan ha smesso di fidarsi del suo gestore di telefonia mobile per KEEP al sicuro il suo account e ha preso in mano la situazione: ha fondato la sua compagnia di servizi di telefonia mobile.

Si è trattato di un cambiamento radicale rispetto al suo precedente lavoro di gestione della rete di sportelli bancomat Bitcoin BitAccess, un'azienda da lui co-fondata e che, tra l'altro, lo aveva reso un bersaglio PRIME per lo scambio di SIM.

La sua nuova impresa,Efani, si impegna a porre fine a un problema che è fin troppo diffuso tra gli utenti Criptovaluta , un problema che la maggior parte degli operatori di telefonia mobile, come dimostrano i problemi di Awan, non sono riusciti ad affrontare adeguatamente.

Cos'è lo scambio di SIM?

Lo scambio di SIM è un hack di ingegneria sociale in cui un aggressore trasferisce il numero di telefono di una vittima su una scheda SIM che controlla. Per dirottare un account mobile, un aggressore può impersonare una vittima per convincere un rappresentante del servizio clienti a scambiare il numero con la nuova scheda SIM. In casi più elaborati, uno scambio di SIM può avvenire come un lavoro interno o tramite corruzione di un REP del servizio clienti.

Questi attacchi di ingegneria sociale sono diventati un problema fin troppo comune nel regno Bitcoin e Criptovaluta , in particolare per le sue personalità di alto profilo. In genere, gli scambiatori di SIM prendono di mira gli utenti Criptovaluta nella speranza di accedere ai loro account di scambio tramite messaggio di testo, autenticazione a due fattori.

Forse l'esempio più famoso di questo vettore di attacco proviene da Michael Terpin, che ha perso circa 24 milioni di dollari da uno scambio di SIM, provocando unCausa da 220 dollari contro AT&T. Un sacco dialtri utenti Criptovalutasono caduti preda di tali attacchi e successivamente hanno visto i loro conti di scambio prosciugati di fondi. L'hacker di Twitter del 2020 è stato persinoparte di un sindacato che orchestrava gli scambi di SIM.

Continua a leggere: Il giudice respinge la richiesta di risarcimento danni da 200 milioni di dollari nella causa per l'hacking Cripto di AT&T

Efani: un'azienda di sicurezza informatica che fornisce servizi di telecomunicazione

Awan è tra le numerose vittime del Cripto SIM-swap, motivo per cui ha fondato Efani nel 2019.

L'azienda opera un BIT' come un operatore di rete mobile virtuale. Utilizza l'infrastruttura di rete di Verizon, AT&T e T-Mobile per servire i propri clienti. Ma si affida a questa infrastruttura solo per fornire copertura cellulare. Tutto il resto per il piano da $ 99/mese, dalla gestione dei dati al servizio clienti, è gestito internamente secondo le pratiche di Efani.

"Il nostro focus è la sicurezza informatica. Altre aziende sono provider di telecomunicazioni che hanno altre aziende che forniscono loro sicurezza. Noi siamo un'azienda di sicurezza informatica che fornisce servizi di telecomunicazioni."

Secondo Awan, la maggior parte dei provider di telefonia mobile richiede solo un numero di telefono e di conto per apportare modifiche a un piano esistente. Offrono inoltre agli utenti la possibilità di impostare un PIN, ma anche questo livello di protezione può essere aggirato se l'hacker è abbastanza esperto. Ancora più difficili da controllare sono le tangenti e i lavori interni.

11 livelli di difesa

La soluzione di Efani a questo problema? Rendere così dannatamente difficile apportare modifiche a un account che un attacco è virtualmente impossibile.

"Non puoi apportare modifiche al tuo account chiamando il servizio clienti", ha detto Awan a CoinDesk. "Anche se chiami, non sono autorizzati ad apportare modifiche. Per qualcosa come cambiare una scheda SIM, potresti dover passare attraverso 11 livelli di autenticazione".

Questi 11 livelli di autenticazione rappresentano il numero massimo di metodi di verifica disponibili per gli utenti Efani, mentre ogni account ha un minimo di sette passaggi di autenticazione quando un utente desidera sostituire la propria scheda SIM. Queste verifiche comportano la fornitura delle ultime quattro cifre della carta di credito in archivio, numero di telefono, numero di scheda SIM e altre informazioni.

"L'abbiamo reso così rigoroso che elimina ogni possibilità di scambio di SIM. La maggior parte delle persone rinuncia dopo il secondo o terzo passaggio di autenticazione", ha affermato Awan.

Continua a leggere: Social Engineering: una piaga per le Cripto e Twitter, difficilmente destinata a fermarsi

Forse la caratteristica più importante, e l'ultimo passaggio per autorizzare una modifica a un account, riguarda la notarizzazione di una lettera di intenti. Ogni utente deve recarsi da un notaio pubblico per autorizzare una modifica al proprio servizio, e questo notaio è verificato dal team legale di Efani.

Anche dopo questo passaggio finale, entra in vigore un periodo di "raffreddamento" di sette giorni prima che la nuova scheda SIM possa essere attivata. E T può essere una qualsiasi vecchia scheda SIM acquistata presso il tuo minimarket locale; Efani invia a ogni titolare di account due schede SIM crittografate quando si iscrive al servizio e solo la scheda di backup è autorizzata a trasportare il numero dell'utente se la vecchia scheda viene persa.

Vecchi trucchi, nuovi cani

Oltre a queste misure, Efani esegue controlli dei precedenti di tutti i dipendenti, richiede l'autorizzazione di più dipendenti per apportare modifiche all'account e archivia le informazioni dei clienti in silos di server per KEEP i dati separati. Inoltre, i nomi e i numeri di telefono dei clienti vengono tenuti separati.

I piani di Efani sono inoltre assicurati fino a 5 milioni di dollari da Lloyd’s di Londra per qualsiasi furto o violazione dei dati che potrebbe verificarsi tramite i servizi di Efani.

Awan, che ha avviato l'azienda con le proprie finanze, ha affermato che è redditizia e sulla buona strada per raggiungere sette cifre di fatturato quest'anno. Circa un terzo dei suoi clienti sono utenti Criptovaluta , ha affermato, aggiungendo che il resto sono in genere individui di alto profilo, tra cui atleti professionisti per i LA Lakers e i San Francisco Giants, altre celebrità e un discreto numero di avvocati.

Quando gli è stato chiesto cosa si può fare per "sistemare" l'attuale stato dello scambio di SIM (senza avviare un'attività concorrente), Awan si è mostrato pessimista sulla capacità di cambiamento dei provider legacy. La maggior parte dei dipendenti del servizio clienti, che sono appaltatori per cominciare, "non sono abbastanza sofisticati da comprendere il livello di minaccia".

Inoltre, cambiare qualcosa che comunque riguarda così pochi clienti probabilmente non rientra nei loro piani, soprattutto considerando che richiederebbe una revisione completa dei loro processi.

"T credo che questo problema verrà risolto da nessun operatore. Cambiare il sistema attuale richiederebbe l'aggiornamento del sistema e dei processi per ogni account mobile in America e questo non è facile da fare", ha detto Awan.

"Il secondo problema è che i vettori vogliono credere che questo non sia un problema. Riguarda probabilmente l'1% della popolazione. Sarebbe come dire, "Ok, ogni auto venduta negli Stati Uniti è dotata di vetri antiproiettile".