Năm 2020, tin tặc đã dùng thủ pháp lừa tráo SIM (SIM swap) để chiếm đoạt số điện thoại của một thuê bao T-Mobile, từ đó đánh cắp lượng tiền điện tử có giá trị đến 37 triệu đô của người này. Năm 2023, T-Mobile đã bị khách hàng này kiện và công ty luật Greenberg Glusker đại diện cho bị hại hồi đầu năm nay đã giành được phán quyết bồi thường. Vấn đề là những lỗ hổng bảo mật của T-Mobile đã tồn tại từ lâu, hacker đã nhắm vào thuê bao T-Mobile ít nhất là từ năm 2016 nhưng T-Mobile không có động thái phòng chống, đặt hàng triệu thuê bao trước nguy cơ bị tấn công.
Vào tháng 2 năm 2020, một khách hàng T-Mobile tên Joseph "John" Jones đã bị 2 tin tặc lừa tráo SIM chiếm đoạt số điện thoại, từ đó tin tặc lấy được mã OTP và truy cập thành công vào ví điện tử của Jones. T-Mobile đã phát hiện ra sự việc và tìm cách lấy lại số cho Jones trong 16 phút nhưng rốt cuộc 37 triệu đô tiền điện tử của anh đã bị rút sạch. Nhiều tuần sau vụ tấn công, T-Mobile đã không có động thái gì để bảo mật tài khoản của Jones, hacker thậm chí còn quay lại và để lại lời nhắn trong hệ thống nội bộ của T-Mobile: "My name is ... I stole $45 mil from you lolol[.]"
ZachXBT - một tài khoản ẩn danh được mệnh danh là thám tử của thế giới tiền số cho biết hacker này tên Cameron Redman, đóng vai trò chủ mưu trong vụ tráo SIM chiếm đoạt tiền điện tử của Jones năm 2020. Số tiền được hacker tuổi teen lấy trót lọt là 1547 Bitcoin và 60.000 Bitcoin Cash từ 2 ví BTC và một địa chỉ BCH. Sau khi lấy trộm, Redman bắt đầu rửa BCH thông qua hàng trăm giao dịch nhỏ, gửi tiền vào các sàn giao dịch tập trung nhằm ẩn dấu vết. Zach đã theo dấu token và phát hiện số BCH đã bị phân tán và chỉ nằm ở 2 sàn giao dịch.
Vụ tấn công Joseph Jones
Vào tháng 2 năm 2020, một khách hàng T-Mobile tên Joseph "John" Jones đã bị 2 tin tặc lừa tráo SIM chiếm đoạt số điện thoại, từ đó tin tặc lấy được mã OTP và truy cập thành công vào ví điện tử của Jones. T-Mobile đã phát hiện ra sự việc và tìm cách lấy lại số cho Jones trong 16 phút nhưng rốt cuộc 37 triệu đô tiền điện tử của anh đã bị rút sạch. Nhiều tuần sau vụ tấn công, T-Mobile đã không có động thái gì để bảo mật tài khoản của Jones, hacker thậm chí còn quay lại và để lại lời nhắn trong hệ thống nội bộ của T-Mobile: "My name is ... I stole $45 mil from you lolol[.]"
ZachXBT - một tài khoản ẩn danh được mệnh danh là thám tử của thế giới tiền số cho biết hacker này tên Cameron Redman, đóng vai trò chủ mưu trong vụ tráo SIM chiếm đoạt tiền điện tử của Jones năm 2020. Số tiền được hacker tuổi teen lấy trót lọt là 1547 Bitcoin và 60.000 Bitcoin Cash từ 2 ví BTC và một địa chỉ BCH. Sau khi lấy trộm, Redman bắt đầu rửa BCH thông qua hàng trăm giao dịch nhỏ, gửi tiền vào các sàn giao dịch tập trung nhằm ẩn dấu vết. Zach đã theo dấu token và phát hiện số BCH đã bị phân tán và chỉ nằm ở 2 sàn giao dịch.
Phải đến ngày 17 tháng 11 năm 2021, Redman mới bị cảnh sát Hamilton ở Ontario bắt giữ với sự trợ giúp từ FBI và Cơ quan mật vụ Hoa Kỳ. Cảnh sát đã thu được 5,4 triệu đô tiền điện tử nhưng phần còn lại là 31,5 triệu đô không bao giờ được thu hồi. Vào thời điểm bị bắt, Redman vẫn chưa đủ tuổi vị thành niên.
Khi ra điều trần tại tòa, Redman cho biết hắn cùng đồng phạm chọn Jones vì anh ta là thuê bao của T-Mobile và nếu không dùng mạng T-Mobile thì cả 2 sẽ không thể tấn công Jones. Sở dĩ là T-Mobile bởi thuê bao thuộc nhà mạng này dễ bị tấn công hơn, nhà mạng thiếu các tính năng xác thực bổ sung như mã PIN hay thậm chí là 4 số cuối của số an sinh xã hội. Thêm vào đó, tài liệu điều tra được Greenberg Glusker đưa ra cho thấy nhân viên của T-Mobile ít được đào tạo để nhận biết, ngăn chặn, vô hiệu hóa hoặc báo cáo các cuộc tấn công như vậy. Một khi đã xác thực, hacker có thể đăng nhập vào hệ thống T-Mobile trong nhiều tuần liền. T-Mobile cũng không kiểm tra các dấu hiệu bất thường về vị trí của thuê bao. Đáng nói hơn, T-Mobile đã biết về nguy cơ khách hàng bị tấn công bằng thủ pháp tráo SIM từ năm 2016 nhưng vẫn không có biện pháp phòng chống.
T-Mobile biết từ lâu nhưng "bất lực"
Tráo SIM là thủ pháp rất phổ biến trong đó kẻ tấn công thường lừa hoặc hối lộ nhân viên của nhà mạng để chuyển số điện thoại của nạn nhân sang một thẻ SIM mới do hacker kiểm soát. Kẻ tấn công sẽ thu thập thông tin của nạn nhân trước như họ tên, ngày tháng năm sinh, địa chỉ, số định danh cá nhân (căn cước) ... mua từ chợ đen, dark web, từ mạng xã hội hay qua hình thức phishing (lừa nhấn vào link có chứa malware hay lừa nhập thông tin cá nhân vào một trang web lừa đảo).
Một khi có được thông tin của mục tiêu, kẻ tấn công sẽ liên hệ với nhà mạng và lừa nhân viên nhà mạng (như ở đây là nhân viên của T-Mobile vốn thiếu kỹ năng và đào tạo để phát hiện hành vi lừa đảo), thông báo bị mất điện thoại hoặc mất SIM, nâng cấp thiết bị mới hay chuyển nhà mạng giữ số điện thoại (port SIM). Kẻ tấn công sẽ sử dụng thông tin có được từ mục tiêu để vượt qua các bước xác thực, xác minh danh tính. Nhân viên của T-Mobile "non" kinh nghiệm sẽ dính bẫy, chấp thuận cấp lại SIM cho người liên hệ. Và thế là anh Jones tội nghiệp kia bỗng dưng mất số điện thoại, dấu hiệu đầu tiên là điện thoại sẽ mất sóng do nhà mạng khóa SIM cũ, kích hoạt SIM mới cho kẻ gian. Và từ đây, kẻ tấn công toàn quyền sở hữu số điện thoại của nạn nhân, ung dung đăng nhập vào các tài khoản ngân hàng hay ví điện tử.
Trước vụ việc của Joseph Jones, từ năm 2016 đến tháng 2 năm 2020 đã có 27.000 thuê bao T-Mobile bị tấn công bằng thủ pháp tráo SIM. Khi cuộc tấn công nhằm vào Jones diễn ra, các nhân viên của T-Mobile đã phát hiện được nhưng không can thiệp được, không có nỗ lực nào được thực hiện để vô hiệu hóa SIM của Jones. Mặc dù chính sách của T-Mobile có nêu rằng SIM bị vô hiệu hóa do hành vi lừa đảo sẽ không được tái kích hoạt nhưng vẫn có công cụ để đảo ngược và kẻ tấn công đã lợi dụng điều này. Ngoài ra, T-Mobile cũng không có cơ chế vô hiệu hóa vĩnh viễn thẻ SIM liên quan đến hoạt động lừa đảo.
T-Mobile từng cung cấp cho người dùng tính năng SIM Block trong ứng dụng T-Life nhưng nó chỉ áp dụng với những người ... từng là nạn nhân của thủ pháp tráo SIM. Nhân viên T-Mobile không được phép cung cấp cho khách hàng khi khách hàng yêu cầu. Nhà mạng này cũng không thông tin cho khách hàng về cách ngăn chặn tráo SIM trái phép và không khuyến khích nhân viên nói cho khách hàng biết về vấn đề này.
Quảng cáo
Jones trước đó đã được T-Mobile khuyến khích cài đặt mã bảo mật, cảnh báo về nguy cơ lừa đảo bằng thủ pháp tráo SIM đồng thời yêu cầu sử dụng hình thức xác thực bằng từ ngữ thay cho mã PIN. Tuy nhiên, có vẻ như Jones đã không để ý.
Mất rất nhiều bò mới lo làm chuồng
Những lỗ hổng của T-Mobile quá rõ ràng và hãng luật Greenberg Glusker đã đạt được phán quyết trọng tài buộc đền bù cho Jones 26 triệu 569 ngàn 963,60 đô la. Tòa xác định cả Jones cũng có một phần trách nhiệm bởi anh đã không làm gì trong khả năng của mình (T-Mobile đã gợi ý cài mã bảo mật) để ngăn chặn thiệt hại. Dù vậy, 26 triệu đô vẫn là một con số không nhỏ và có thể hiểu tại sao T-Mobile lại muốn giấu nhẹm chi tiết về vụ việc cũng như khoản tiền đền bù này trước công chúng.
Nhà mạng Mỹ đã có những thay đổi nhằm ngăn một kịch bản tương tự xảy ra và trên hết là phòng chống những vụ lừa đảo bằng thủ pháp tráo SIM. T-Mobile đã hợp tác với AT&T, Verizon và Aduna để cung cấp API cho các chứng năng xác minh số và đổi SIM giữa các nhà mạng.
Tính năng SIM Block cũng đã bị khai tử, thay bằng SIM Protection. Hệ thống này cung cấp các biện pháp bảo mật tăng cường nhằm chống tráo SIM trong đó bao gồm các tính năng cho phép người dùng quản lý thuê bao trực tiếp qua ứng dụng T-Life và đặc biệt là yêu cầu người dùng phải đến cửa hàng T-Mobile để xác thực khi để phê duyệt yêu cầu đổi SIM hoặc bỏ chặn SIM.
PhoneArena; WIRED
Khóa học Machine Learning cơ bản- Khoa học dữ liệu - AI 
==***==
Khoá học Quản trị Chiến lược Dành cho Lãnh đạo Doanh nghiệp
==***==
Nơi hội tụ Tinh Hoa Tri Thức - Khơi nguồn Sáng tạo
Để tham gia khóa học công nghệ truy cập link: http://thuvien.hocviendaotao.com
Mọi hỗ trợ về công nghệ email: dinhanhtuan68@gmail.com
---
Khóa học Hacker và Marketing từ A-Z trên ZALO!
Khóa học Hacker và Marketing từ A-Z trên Facebook!
Bảo mật và tấn công Website - Hacker mũ trắng
KHÓA HỌC LẬP TRÌNH PYTHON TỪ CƠ BẢN ĐẾN CHUYÊN NGHIỆP 
Khóa học Lập trình Visual Foxpro 9 - Dành cho nhà quản lý và kế toán 
Khóa học hướng dẫn về Moodle chuyên nghiệp và hay Xây dựng hệ thống đào tạo trực tuyến chuyên nghiệp tốt nhất hiện nay. 
Khóa học AutoIt dành cho dân IT và Marketing chuyên nghiệp 
Khoá học Word từ cơ bản tới nâng cao, học nhanh, hiểu sâu 
Khóa học hướng dẫn sử dụng Powerpoint từ đơn giản đến phức tạp HIỆU QUẢ 
Khóa học Thiết kế, quản lý dữ liệu dự án chuyên nghiệp cho doanh nghiệp bằng Bizagi 
Khóa học Phân tích dữ liệu sử dụng Power Query trong Excel 
Khóa học Lập trình WEB bằng PHP từ cơ bản đến nâng cao 
Khóa học Phân tích dữ liệu sử dụng SPSS - Chìa khóa thành công!
Khóa học "Thiết kế bài giảng điện tử", Video, hoạt hình kiếm tiền Youtube bằng phần mềm Camtasia Studio 
Khóa học HƯỚNG DẪN THIẾT KẾ VIDEO CLIP CHO DÂN MARKETING CHUYÊN NGHIỆP 
HƯỚNG DẪN THIẾT KẾ QUẢNG CÁO VÀ ĐỒ HỌA CHUYÊN NGHIỆP VỚI CANVA Hãy tham gia khóa học để trở thành người chuyên nghiệp. Tuyệt HAY!😲👍 
GOOGLE SPREADSHEETS phê không tưởng 
Hãy tham gia khóa học để biết mọi thứ
Khóa học Ba, Mẹ và Bé - Cùng bé lập trình TUYỆT VỜI
Khóa học sử dụng Adobe Presenter-Tạo bài giảng điện tử 
Để thành thạo Wordpress bạn hãy tham gia khóa học 
Khóa học sử dụng Edmodo để dạy và học hiện đại để thành công 
==***== Bảo hiểm nhân thọ - Bảo vệ người trụ cột 
Cập nhật công nghệ từ Youtube tại link: congnghe.hocviendaotao.com
Tham gia nhóm Facebook
Để tham gia khóa học công nghệ truy cập link: http://thuvien.hocviendaotao.com
Mọi hỗ trợ về công nghệ email: dinhanhtuan68@gmail.com
Bảo mật và tấn công Website - Hacker mũ trắng
KHÓA HỌC LẬP TRÌNH PYTHON TỪ CƠ BẢN ĐẾN CHUYÊN NGHIỆP
Khóa học AutoIt dành cho dân IT và Marketing chuyên nghiệp
Khoá học Word từ cơ bản tới nâng cao, học nhanh, hiểu sâu
Khóa học hướng dẫn sử dụng Powerpoint từ đơn giản đến phức tạp HIỆU QUẢ
Khóa học Thiết kế, quản lý dữ liệu dự án chuyên nghiệp cho doanh nghiệp bằng Bizagi
Khóa học Phân tích dữ liệu sử dụng Power Query trong Excel
Khóa học Lập trình WEB bằng PHP từ cơ bản đến nâng cao
Khóa học Phân tích dữ liệu sử dụng SPSS - Chìa khóa thành công!
kiếm tiền Youtube bằng phần mềm Camtasia Studio
Khóa học HƯỚNG DẪN THIẾT KẾ VIDEO CLIP CHO DÂN MARKETING CHUYÊN NGHIỆP
HƯỚNG DẪN THIẾT KẾ QUẢNG CÁO VÀ ĐỒ HỌA CHUYÊN NGHIỆP VỚI CANVA
Hãy tham gia khóa học để trở thành người chuyên nghiệp. Tuyệt HAY!😲👍
GOOGLE SPREADSHEETS phê không tưởng
Hãy tham gia khóa học để biết mọi thứ
Khóa học Ba, Mẹ và Bé - Cùng bé lập trình TUYỆT VỜI
Khóa học sử dụng Adobe Presenter-Tạo bài giảng điện tử
Để thành thạo Wordpress bạn hãy tham gia khóa học
Khóa học sử dụng Edmodo để dạy và học hiện đại để thành công
==***==
Bảo hiểm nhân thọ - Bảo vệ người trụ cột
Tham gia nhóm Facebook
Để tham gia khóa học công nghệ truy cập link: http://thuvien.hocviendaotao.com
Mọi hỗ trợ về công nghệ email: dinhanhtuan68@gmail.com
Nguồn: Tinh Tế
Topics: Công nghệ mới
