圖片來源: 

New York Post

對於現代人來說,遺失手機固然非常不便,不過,若是收到手機遺失服務的通知,極有可能是門號遭駭的警訊。根據紐約郵報(New York Post)的報導,在10月26日時,一名矽谷主管Robert Ross,得知他的手機無故沒有訊號後,隨即前往附近的Apple Store求助,接著也聯繫電信業者AT&T。

然而,在Ross試圖恢復手機通訊的這段期間,駭客已經分別從這名主管的Coinbase和Gemini帳戶中,盜走價值共100萬美元的加密貨幣,這名受害者表示,這些錢是他所有的積蓄,用途是做為兩個女兒大學學費的基金。

後來警方循線調查,找到犯案的是年僅21歲的Nicholas Truglia,並在上周在曼哈頓42街的一間大廈將他逮捕。聖塔克拉拉市副總檢察官Erin West指出,警方從Truglia的電腦硬碟資料裡,找回30萬美元的加密貨幣,至於其他的贓款流向,仍有待追查。

根據加州高等法庭開庭時,起訴檢察官指出,Truglia也試圖攻擊多名矽谷主管的手機,不過並未成功得手。在起訴書中,Truglia總共被起訴多達21次,罪名涵蓋身分竊取、詐欺、侵占等項目,涉嫌重大。另外,這份文件也列出了其他遭到攻擊的人士,包含區塊鍵儲存裝置服務業者0Chain的執行長Saswata Basu、私募基金公司主管Myles Danielson,以及創投公司SMBX共同創辦人Gabrielle Katsnelson等。

West表示,這是全新的犯罪趨勢,歹徒專挑持有加密貨幣的人動手。她也認為,雖然加密貨幣採用了區塊鏈,能夠突顯交易的金錢流向,卻無從得知背後持有交易帳戶的人是誰。

從電信業者客服下手,取得被害人門號控制權,用戶難以防範

值得留意的是,Truglia作案的手法,稱作手機門號移轉詐騙(SIM-Swapping Scheme),藉由說服電信業者的客服中心補發新的SIM卡,或是修改門號登錄的個人資料等方式,進而取得受害者門號的控制權。由於使用者在申請門號時,往往需要提供個人資料,像是生日、居住地址、身分證字號等,而日後若是想要移轉門號,業者也仰賴這些資料確認使用者的身分。然而,上述的個人資料,有心人士可以透過暗網取得,藉此騙過電信公司。

由於加密貨幣交易所的帳號持有者身分驗證過程裡,可以使用手機簡訊通過雙因素驗證,因此Truglia取得Ross的門號控制權之後,就能進一步嘗試存取Ross的加密貨幣帳戶。

這樣的案件在美國並非首例,今年夏天,一位加州民眾Michael Terpin因駭客盜用他的門號,竊取價值2,400萬美元的加密貨幣,憤而控告AT&T未盡門號管理之責,求償2億2,400萬美元。而在10月時,為了讓用戶直接透過手機快速登入應用程式或是網站,美國4大電信業者AT&T、Sprint、T-Mobile,以及Verizon結盟,提出了行動驗證計畫(Project Verify),其中,採用的5種識別因子裡,因包含了電話號碼與SIM卡登錄的資料,被電子前線基金會(EFF)抨擊,上述做法存在高度資安風險,也含有侵犯隱私的疑慮。

熱門新聞

Advertisement