AT-MobileGeschäft in Kalifornien. | Bildnachweis – Wave7 Research
Anfang des Jahres haben wir darüber berichtet
Die Anwaltskanzlei Greenberg Glusker sicherte sich 33 Millionen US-Dollar von T-Mobile
im Namen des SIM-Swap-Angriffsopfers Joseph „Josh“ Jones.
T-Mobile
angeblich versucht, die weiteren Einzelheiten vertraulich zu behandeln, das Urteil wurde jedoch veröffentlicht.
Jones war ein Krypto-Bigshot und ein
T-Mobile
Kunde von Oktober 2014 bis März 2020. Am 21. Februar 2020 stahlen ein siebzehnjähriger kanadischer Hacker und sein Online-Komplize Kryptowährung.
Damals war es fast 37 Millionen US-Dollar wert und heute etwa 53 Millionen US-Dollar
„von Jones, indem er die Kontrolle über ihn übernimmt
T-Mobile
Nummer.
Der SIM-Swap-Angriff ermöglichte es den Angreifern, jede für ihn bestimmte Kommunikation, einschließlich Einmalpasswörter (OTPs), zu empfangen. Dadurch konnten sie auf sein Kryptowährungskonto zugreifen und es leeren.
T-Mobileentdeckte den Tausch und machte ihn innerhalb von 16 Minuten rückgängig, doch zu diesem Zeitpunkt war der Schaden bereits angerichtet.
T-Mobilehat in der Woche nach dem Angriff nichts unternommen, um Jones‘ Konto zu sichern. Sieben Tage nach dem Angriff hinterließ der Cyberkriminelle sogar eine Notiz im internen System, die lautete:„Mein Name ist ... ich habe dir 45 Millionen Dollar gestohlen, lolol[.]“
T-Mobile war seit 2016 über den SIM-Swap-Angriff informiert, aber die Prävention hatte keine Priorität
T-Mobilewusste seit 2016 von SIM-Swap-Angriffen, die seine Kunden betrafen. Im März 2018 wusste das Unternehmen, dass die Angriffe den Kunden finanziellen Schaden zufügten.
Bei SIM-Swap-Angriffen handelte es sich um eine Kombination aus Tricks und Bestechung von MitarbeiternT-Mobile's Systeme. Von 2016 bis Februar 2020 27.000T-MobileKunden wurden Opfer solcher Angriffe.
Die SIM-Swap-Community sahT-Mobileals leichtes Ziel. Laut einem der Hacker wäre der Angriff auf Jones nicht versucht worden, wenn er einen anderen Anbieter gehabt hätte.
Öffentlich zugängliche Systeme und Programme wurden genutzt, um das Verbrechen fortzusetzen. Der Vorgang wurde in Discord-Chats ausführlich besprochen.
T-Mobile war ein einfacheres SIM-Swap-Ziel als andere Anbieter, da keine weitere Authentifizierung, wie etwa eine PIN oder auch nur die letzten vier Ziffern der Sozialversicherungsnummer eines Ziels, erforderlich war, um auf das System zuzugreifen oder sich innerhalb des Systems zu bewegen, wie es meines Wissens bei anderen Anbietern der Fall war.–SIM Swapper, der Jones Krypto gestohlen hat
T-MobileEs verfügte über weniger Schutzmaßnahmen als andere Fluggesellschaften und seine Mitarbeiter erhielten kaum Schulungen, um solche Angriffe zu erkennen, zu verhindern, zu deaktivieren oder zu melden. Nach der Authentifizierung durchT-Mobilekonnten Hacker wochenlang eingeloggt bleiben. Das Unternehmen hat nicht einmal nach Warnsignalen für den Standort gesucht.
T-Mobile gewährte allen Einzelhandelsmitarbeitern äußerst weitreichende Rechte, sodass die Qualifikationen eines jeden dieser Mitarbeiter ausreichten, unabhängig davon, ob er jahrelang oder nur ein paar Stunden dort gearbeitet hatte. Sobald ich das System betreten hatte, gab es keine offensichtlichen Einschränkungen für meinen Zugriff auf das Kundenkonto von Herrn Jones.–SIM-Swapper
T-MobileIn den Allgemeinen Geschäftsbedingungen wurde eine Formulierung verwendet, die darauf abzielte, das Unternehmen von unbefugten Verstößen freizustellen. Die Verhinderung von SIM-Tausch hatte für uns keine PrioritätT-Mobile.
T-MobileDie Mitarbeiter waren sich des Angriffs auf Jones bewusst, taten aber nichts, um ihn zu stoppen. Denn sie wussten, dass derselbe Täter bereits zuvor an ähnlichen Angriffen beteiligt war.
Es wurden keine Versuche unternommen, die mit diesen Angriffen verbundene SIM-Karte zu deaktivieren. WenngleichT-MobileIn der Richtlinie hieß es, dass eine aufgrund von Betrug deaktivierte SIM-Karte nicht wiederverwendet werden könne. Es gebe Tools, um die Deaktivierung rückgängig zu machen. Das hat der Hacker ausgenutzt.T-MobileEs gab kein Verfahren zur dauerhaften Deaktivierung einer SIM-Karte im Zusammenhang mit betrügerischen Aktivitäten.
T-Mobileverteidigte sich damit, dass es zu diesem Zeitpunkt 53 Millionen Kunden, aber nur rund 100 Mitarbeiter habe, die sich mit der Betrugsprävention befassen.
T-Mobileverfügte über eine SIM-Block-Funktion, die jedoch nur Kunden zur Verfügung stand, die bereits Opfer eines SIM-Tauschs waren. Den Mitarbeitern war es nicht gestattet, es Kunden anzubieten, die sich danach erkundigten. Das Unternehmen schulte seine Kunden nicht über die Verhinderung unbefugter SIM-Austausche und hielt seine Mitarbeiter davon ab, das Bewusstsein für SIM-Betrug zu schärfen.
Jones wurde zuvor ermutigt vonT-Mobileeinen Sicherheitspasscode einzurichten, warnte vor einem Nummernportierungsbetrug und forderte die Verwendung einer Alternative zur Text-für-PIN-Authentifizierung in Betracht zu ziehen. Allerdings hätte ein Sicherheitspasswort den Angriff nicht unbedingt verhindern können.
Daraus wurde geschlossen„Das war vorhersehbarT-MobileDie Handlungen und Unterlassungen von Jones würden zum Diebstahl der Kryptowährung von Jones führen.“Da Jones jedoch nicht alles in seiner Macht Stehende tat, um den Schaden zu verhindern,T-Mobilewurde nur für 50 Prozent seines Schadens haftbar gemacht. Infolgedessen sprach der Schiedsrichter Jones 26.569.963,60 US-Dollar zu.
T-Mobilehat in jüngster Zeit seine Verteidigung gegen SIM-Swap-Angriffe verstärkt. Das Unternehmen hat den Self-Service-SIM-Austausch im Jahr 2022 deaktiviert und erst kürzlich wieder aktiviert.
Dies könnte teilweise erklären, warum das Unternehmen nicht wollte, dass die Einzelheiten der 33-Millionen-Dollar-Auszeichnung veröffentlicht werden. Ungeachtet dessen sollten Kunden beruhigt sein, da sie wissen, dass solche Angriffe derzeit unwahrscheinlich sind. Wenn jedoch etwas passiert, können Sie sich immer darauf verlassen, dass die Regierung handeltT-Mobileentschädigen Sie.
