8月15日,美国投资者Michael Terpin向AT&T提起了一起价值高达2.24亿美元的诉讼。因为他认为这家电信巨头向黑客提供了访问他电话号码的途径,从而导致了一场重大的加密货币盗窃事件的发生。
Michael Terpin是一位总部位于波多黎各的企业家,他也是TransformGroup inc .的首席执行官,同时他还是BitAngels(面向比特币投资人的天使团队)和数字货币基金BitAngels DApps Fund的联合创始人。
Terpin声称他在7个月的时间里遭遇了两次黑客攻击,这直接导致他损失了价值2400万美元的加密货币:他向加州律师事务所Greenberg Glusker提交的长达69页的起诉书中提到了两起分别发生在2017年6月11日和2018年1月7日的黑客攻击案件。根据该文件显示,两次黑客攻击中AT&T都未能保护他的的数字身份。而Terpin自上世纪90年代以来就一直是AT&T的用户。
现在,Terpin要求这家电讯公司支付2亿美元的惩罚性赔偿和2400万美元的其它赔偿。
SIM卡交换诈骗:电信供应商与加密货币储蓄之间到底有什么关系?
AT&T所做的就像是一个酒店给一个持有伪造身份证的小偷一把房间钥匙,然后小偷从房间主人的保险箱中偷走了所有的珠宝。”起诉书中写道,并争论说Terpin成为了SIM卡交换诈骗(也称为SIM卡被黑或“端口骗局)的受害者。SIM卡交换是一个引导电信供应商的过程,比如T-Mobile将被攻击目标的电话号码转移到了攻击者所持有的SIM卡上。一旦黑客收到电话号码,他们就可以用来重置受害者的密码并侵入他们的账户,这其中就包括了加密货币交易所的账户。
就像Motherboard(一个多平台多媒体的出版物)所写的那样,这允许小偷能偶尔绕过双重身份验证。根据他们的调查,SIM卡交换“相对来说是比较容易实现的,而且这类事件已经变得非常普遍了”,随后他们补充说“加密货币账户是SIM卡交换诈骗的常见目标”。
犯罪分子进行这种黑客攻击的手段可能各不相同。他们有时会欺骗客服让他们相信自己就是受害人,并让他们交出相关数据信息。然而,诈骗者经常使用所谓的“偷梁换柱(plugs)”:使电信公司内部人员通过非法交换来获得报酬。一位匿名的SIM卡黑客者告诉该出版物:
当你告诉某人(在一家电信公司工作)他们可以赚点钱时,他们就会这么做。
一位来自于Verizon(美国最大的本地电话公司、最大的无线通信公司)的匿名消息人士告诉Motherboard,黑客通过Reddit联系过他,并向他进行贿赂好让他能提供SIM卡交换。另一名Verizon的员工声称如果他愿意和黑客进行合作的话,那么他们将在几个月内赚到“10万美元”——他所要做的就是“要么在黑客工作时激活他的SIM卡,要么就是给攻击者受害人的身份证和密码”。
与Terpin案例更相关的是,Motherboard与AT&T员工的对话表明,他们的系统设计允许一些员工替代安全功能,比如AT&T在移植电话号码时需要的电话密码:
在那种情况下,密码是可以更改的。只要有新的密码,号码就可以移植出去而不需要挂断。
Terpin是如何被黑的呢?
就像上面所说的那样,Terpin被黑过两次:分别是在2017年6月和2018年1月。
首先,根据起诉书所述,Terpin在2017年夏天发现他的AT&T手机号被黑了,因为它的手机根本打不出电话。然后“在AT&T的营业厅尝试了11次密码失败后”,他才发现他的密码已经被远程更改了。
攻击者在访问Terpin的手机后,通过利用他的个人信息(包括电话和短信)侵入了他的账户,这些账户会使用电话号码作为验证手段,包括他的“加密货币账户”(尽管起诉书中没有具体说明这些账户的类型),黑客还劫持了 Terpin的Skype账户,通过冒充Terpin来说服其中的一位客户向他发送加密货币。
据报道,AT&T在黑客从Terpin的账户中窃取了“大量资金”后才切断了黑客的访问权限。该文件还表示,事件发生后,Terpin于2017年6月13日与AT&T的代表会面,讨论了这起黑客攻击事件,并得到AT&T的承诺——即他的账户将被转移到“更高的安全级别”并享有有“特殊保护”,这类似于名人使用的账户:
AT&T进一步告诉Teroin,实施加强的安全措施将防止Terpin的号码在没有得到他个人明确许可的情况下被转移到另一部手机上,因为除了Terpin和他的妻子以外,没有人知道这个密码。然而,在半年后的2018年1月7日的周六,Teprin的手机又被强制关机了——他又一次遭到了黑客攻击。起诉书中写道,尽管在2017年6月采取了额外的安全措施,但“AT&T的一名员工还是与一名从事SIM卡交换诈骗的冒名顶替者进行了合作”。
AT&T后来承认,位于康涅狄格州诺维奇市AT&T营业厅的一名员工将Terpin先生的的无线号码转到了一个冒名顶替者的SIM卡上,这违反了AT&T的承诺,包括应该在Terpinr被黑客第一次攻击后提供更高的安全性来防止这种类型的诈骗再次发生。
这一次,尽管Terpin试图在手机号码失效后“立即”联系AT&T,但黑客还是偷走了他的价值2400万美元的加密货币。据称,AT&T“无视”了Terpin的要求并给黑客留下了足够的时间来获取其加密货币账户的足够信息,以便把他的资金转移到黑客自己的账户上。原告在起诉书中称,Terpin的妻子当时也曾试图给AT&T打过电话,但当她要求与AT&T的诈骗部门取得联系时,她的电话中只是一直响着“您好,请不要挂机,您拨打的电话正在通话中”。
Teprin案可能将成为SIM交换诈骗的一个法律先例
正如诉讼书中所总结的那样,它强调了端口诈骗的潜在规模:AT&T没有采取任何措施来保护其近1.4亿用户免受SIM卡诈骗的影响。因此,AT&T要直接为这些黑客攻击事件负责,因为它很清楚自己的客户会受到SIM卡交换诈骗的影响,而且它的安全措施是无效的。AT&T几乎没有采取任何措施来保护其客户免受此种类型的诈骗,因为这种诈骗太多了以至于AT&T根本无暇顾及。
据报道,当Gizmodo联系到AT&T并希望其就此事发表评论时,该公司否认了这一指控并称他们准备坚持自己的立场:“我们对这些指控提出异议,并期待着在法庭上提起诉讼。”
Terpin在接受Gizmodo的采访时表示,这种加密货币的盗窃行为通常是由“那些在Discord小组中的大学生”实施的。他还坚称在他的案件中,黑客利用了AT&T的一名员工:
这与加密货币被黑之间的联系是,在任何情况下,他们都有内鬼。只要没有人泄露你的数字身份,那么交易加密货币就是安全的。
Terpin补充说,他已经联系了美国联邦调查局、国土安全部和美国特勤局,据称这些部门已经确认了参与攻击的AT&T员工身份。
Terpin还表示他将不再提供自己的电话号码了,而是在将来会使用谷歌语音(Google Voice)。
