Apesar da ascensão da infraestrutura de segurança cibernética, a identidade online ainda enfrenta muitos riscos, incluindo aqueles relacionados à invasão de números de telefone.
No início de julho, o CEO da LayerZero, Bryan Pellegrino, se tornou uma das últimas vítimas de um ataque de troca de SIM, que permitiu que hackers assumissem brevemente o controle de seu Twitter.
E… estamos de volta. Esta foi basicamente a minha vida nas últimas 24 horas. Felizmente, vimos o hack imediatamente e a batalha começou pic.twitter.com/pjrkMfQ2vT
— Bryan Pellegrino (@PrimordialAA) 5 de julho de 2023
“Meu palpite é que alguém pegou meu crachá do lixo e de alguma forma conseguiu enganar um representante para usá-lo como uma forma de identificação para a troca de SIM enquanto eu estava saindo do Collision”, escreveu Pellegrino logo após ter sua conta no Twitter de volta.
“Era ‘Bryan Pellegrino – palestrante’, apenas seu crachá normal de conferência de papel”, disse Pellegrino ao Cointelegraph.
O incidente envolvendo o acidente de Pellegrino pode levar os usuários a presumir que realizar um hack de troca de SIM é tão fácil quanto pegar o crachá de alguém. O Cointelegraph entrou em contato com algumas empresas de segurança de criptomoedas para descobrir se esse é o caso.
O que é um hack de troca de SIM? Quão grande é isso?
Um hack de troca de SIM é uma forma de roubo de identidade em que os invasores assumem o número de telefone da vítima, permitindo-lhes obter acesso a contas bancárias, cartões de crédito ou contas criptográficas.
Em 2021, o Federal Bureau of Investigation recebeu mais de 1.600 reclamações de troca de SIM envolvendo perdas de mais de $ 68 milhões. Isso representou um aumento de 400% no número de reclamações recebidas nos três anos anteriores, indicando que a troca de SIM está “definitivamente aumentando”, disse o diretor de operações de segurança da CertiK, Hugh Brooks, ao Cointelegraph.
“Se não houver afastamento do 2FA baseado em SMS e os provedores de telecomunicações não elevarem seus padrões de segurança, provavelmente veremos os ataques continuarem a crescer”, afirmou Brooks.
De acordo com o diretor de segurança da informação (CISO) 23pds do SlowMist, a troca de SIM atualmente não é muito difundida, mas tem um potencial significativo para aumentar ainda mais no futuro próximo. Ele afirmou:
“À medida que a popularidade do Web3 cresce e atrai mais pessoas para o setor, a probabilidade de ataques de troca de SIM também aumenta devido a seus requisitos técnicos relativamente mais baixos.”
23pds mencionou alguns casos envolvendo hacks de troca de SIM em criptografia nos últimos anos. Em outubro de 2021, a Coinbase divulgou oficialmente que hackers roubaram criptomoedas de pelo menos 6.000 clientes devido a uma violação de 2FA. Anteriormente, o hacker britânico Joseph O’Connor foi indiciado em 2019 por roubar cerca de US$ 800.000 em criptografia por meio de vários hacks de troca de SIM.
Quão difícil é executar um hack de troca de SIM?
De acordo com o executivo da CertiK, o hacking de troca de SIM geralmente pode ser feito com informações disponíveis publicamente ou obtidas por meio de engenharia social.
“No geral, a troca de SIM pode ser vista como uma barreira menor à entrada de invasores quando comparada aos ataques mais exigentes tecnicamente, como explorações de contratos inteligentes ou hacks de câmbio”, disse Brooks.
Os 23pds do SlowMist concordaram que a troca de SIM não requer habilidades técnicas de alto nível. Ele também observou que tais trocas de SIM são “predominantes até mesmo no mundo Web2”, então não é “surpreendente” vê-las surgir também no ambiente Web3.
“Muitas vezes é mais fácil de executar, com a engenharia social sendo usada para enganar operadores relevantes ou pessoal de atendimento ao cliente”, disse 23pds.
Como evitar hacks de troca de SIM?
Como os ataques de troca de SIM geralmente são vistos como pouco exigentes em termos de habilidades técnicas dos hackers, os usuários devem prestar atenção à segurança de sua identidade para evitar tais hacks.
A principal medida de proteção de um hack de troca de SIM é restringir o uso de métodos baseados em cartão SIM para verificação 2FA. Em vez de confiar em métodos como SMS, deve-se usar melhor aplicativos como Google Authenticator ou Authy, observou Budorin, da Hacken.
Os CISO 23pds do SlowMist também mencionaram mais estratégias, como autenticação multifator e verificação de conta aprimorada, como senhas adicionais. Ele também recomendou fortemente que os usuários estabelecessem PIN ou senhas fortes para cartões SIM ou contas de telefone celular.
Relacionado: Mais de $ 765.000 em NFTs roubados após ataque de troca de SIM no Gutter Cat Gang
Outra medida para evitar a troca de SIM é proteger adequadamente os dados pessoais como nome, endereço, número de telefone e data de nascimento. O SlowMist CISO também recomendou o exame minucioso das contas online em busca de qualquer atividade anômala.
As plataformas também devem ser responsáveis por promover práticas seguras de 2FA, enfatizou Brooks da CertiK. Por exemplo, as empresas podem exigir verificação adicional antes de permitir alterações nas informações da conta e educar os usuários sobre os riscos da troca de SIM.
Reportagem adicional do editor do Cointelegraph, Felix Ng.
Revista: Asia Express: China expande os tentáculos da CBDC, a Malásia é o novo rival criptográfico de HK
source – cointelegraph.com
