把比特币给我交出来!揭秘黑客如何劫持SIM卡,盗取百万加密币
警方表示已逐步锁定通过劫持电话号码窃取比特币及其他加密货币的黑客。
7月12日,加利福尼亚警方逮捕了一名大学生,该学生被指控为一群犯罪分子的同伙,他们攻击了数十个手机号码,窃取了总额超过500万美元的加密货币。根据相关法庭公文显示,来自波士顿的20岁的Joel Ortiz在不知名同伙的帮助下对大约40名受害者造成了损失。
这是首例被报道的人为涉嫌使用日益流行的SIM卡交换技术或SIM卡劫持窃取比特币、其他加密货币以及社交媒体账户的案件。Ortiz和他的同伙专门针对那些涉足加密货币和区块链的人。据称,他们在5月份于纽约举行的备受瞩目的共识会议期间也攻击了几个投资者。
SIM卡交换技术通过欺骗AT&T或T-Mobile等电信提供商,将目标电话号码转移到犯罪分子控制的SIM卡上。一旦他们控制了电话号码,犯罪分子就可以利用它来重置受害者的密码并登录他们的在线帐户(加密货币帐户是最常见的目标)。在某些情况下,即使帐户受双重身份验证保护,这种方法仍然有效。最近的一项调查显示,这种攻击也被称为“端口诈骗(port out scam)”,相对容易操作并且已经非常普遍。
据知情人士透露,Ortiz是在前往欧洲途中在洛杉矶国际机场被捕的。该人士还表示,Ortiz在最近的一次消费中大手笔购买了一只Gucci手提包,警方认为,购买奢侈品的资金来自于犯罪所得。
根据Ortiz被捕前一天检察机关对他提起的诉讼,他将面临28项指控:13项身份盗窃罪、13项黑客罪和2项重大盗窃罪。
根据案件主要调查人员在法庭上提交的一份声明,Ortiz在被捕并宣读了米兰达权利(Miranda rights)后告诉调查人员,他和他的同伙通过他们的手段获得了数百万美元的加密货币。
“天哪!我的SIM卡被黑了”
据调查人员指控,Ortiz是一名高产的SIM卡劫持者,主要针对受害者窃取他们的加密货币,同时接管他们的社交媒体账户,目的是获得更多的比特币。调查人员和SIM交换社区的相关人员表示,Ortiz是OGUSERS网站的成员,该网站允许成员交易价值比较高的Instagram或Twitter账户。
据Ortiz坦白,在区块链共识会议期间发生的至少三次攻击中,他从加密货币企业家那里盗取了150多万美元,其中包括他在一次区块链ICO中众筹的近100万美元。
“我看了看我的手机,突然间就出了故障。”其中一位受害的企业家表示,但因为害怕再次成为黑客攻击的目标,他不拒绝透露姓名。
当他的手机突然中断服务之后,他马上就意识到发生了什么,因为前一天,会议上的另一个朋友也被黑客攻击了。
“当时我们正在开会,他突然说‘天哪我的手机刚刚停止服务了’。”这位企业家回忆道,当天晚些时候,他的朋友就给他发了短信:“天啊我的SIM卡被黑了。”
根据相关法庭公文显示,Ortiz控制了这位企业家的手机号码,重置了他的Gmail密码,然后访问了他的加密货币账户。这位企业家试图跑到AT&T营业厅重置他的电话号码,但为时已晚。
本案的检察官在接受采访时表示,他们仍然不知道Ortiz是如何或为什么选择加密货币领域作为他们的目标。但他们敢肯定的是,有很多未涉足区块链的人曾被视为这次盗窃事件的攻击目标。
旧金山圣克拉拉县地区副检察官Erin West大力呼吁,希望更多的受害者能够挺身而出。
West在接受电话采访时说道:“这种情况正在我们的社区中发生,但不幸的是,向相关执法部门投诉的个案并不多。我们非常希望受害者报案,从而有机会获得更多相关线索,查清整个案件。我们认为这件事非常恶劣,而且严重性被大大低估了。”
Ortiz的保释金定在一百万美元。截至本文撰写之时,他仍在狱中等待8月9日举行的辩诉听证会。Ortiz的律师没有回复请求置评的语音留言。
警方如何锁定嫌疑人ORTIZ?
根据有关媒体获得的一份调查报告显示,一名受害者(一名参与区块链项目的投资者)向警方报案称黑客窃取了他的手机号码,由此调查人员开始着手调查此案件。
据称,Ortiz在2月至3月期间曾多次针对该投资者。根据案件调查人员的说法,Ortiz两次劫持了受害人的电话号码,并在其在电子邮件和加密货币账户上重置密码,添加了自己的双重谷歌身份验证应用程序,使受害者无法登录自己的账户,甚至还骚扰受害者的女儿。该案件的调查小组成员来自于地区执法联盟计算机团队(Regional Enforcement Allied Computer Team),该团队由多个加利福尼亚当地警察部门组成,专门针对网络犯罪而成立。
调查报告还显示,3月20日,Ortiz用被盗的电话号码给该投资者的妻子打了电话,并且给投资者的女儿和朋友发短信,要挟他们提供比特币。
上图为法庭文件的附件:黑客和投资者的女儿之间iMessage的对话截图。
为了追踪这名黑客,调查人员首先向投资者的手机电信运营商AT&T发出搜查令,要求提供黑客控制投资者的电话号码期间的通话记录。AT&T提供的记录显示,通过IMEI(International Mobile Equipment Identity,手机序列号)号码识别技术的甄别,投资者的电话号码曾先后被两部三星Android手机所使用。据调查报告显示,这位投资者做笔录时表示,他并没有使用三星手机。
调查人员由此得出结论,上述两部三星手机均属于黑客。
掌握这些信息后,警方立即向谷歌方发出了搜查令,要求其提供与这些IMEI号码相关的数据。
数据显示,有三封电子邮件与这些IMEI号码有关,其中包括一个Gmail帐户和一个Microsoft Live帐户。通过搜索该Gmail帐户,由于向谷歌发出了另一份搜查令,调查人员发现了证据,直接证明该帐户与Ortiz有关,同时披露了其潜在的犯罪活动:一封电子邮件包含Ortiz手持马萨诸塞州身份证的自拍照;一封电子邮件“包含关于SIM交换技术的信息”;还有几封电子邮件显示Ortiz购买了“tw-tter.com”等域名,很显然是用于网络钓鱼攻击;以及来自YouTube的电子邮件显示,Ortiz上传了有关如何利用社交媒体和电信公司网站以及如何使用未知安全漏洞的视频,这些漏洞也被称为“零日攻击(zero-day exploits)”。
然后,调查人员在Ortiz使用的加密货币交易所(包括Coinbase、Bittrex和Binance)上进行搜查。这些公司提供的信息显示,Ortiz通过这些交易所转移了价值超过100万美元的各种加密货币。加利福尼亚当局表示,他们从Ortiz手中缴获了约25万美元的加密货币,但他们不清楚他盗取的其他加密货币的藏身之处。
随后,调查人员要求AT&T提供2017年11月至2018年6月之间任何时间点与Ortiz的IMEI号码相关的“任何及所有账户”。经过检索,他们发现了“大约40个”AT&T的电话号码,这些都是Ortiz黑客攻击的潜在受害者。
在后续的调查中,调查人员致电所有潜在的受害者,正如报告中所述,所有手机号码“都是通过‘SIM卡交换技术’被恶意利用的”。
黑客将为他们的行为付出代价
Ortiz被捕的消息迅速在OGUSERS成员间传播,OGUSERS是一个社交媒体账户的交易市场,SIM卡交换的黑客用于出售被盗账户。
上周,7月18日,OGUSERS的一名成员发布了一个题为“你认为谁是下一个?”的帖子,显然是在暗示Ortiz被捕。大约同一时间,几个自称OGUSERS成员的黑客就该事件发表评论称,Ortiz在社区中以窃取加密货币而闻名。
一位自称认识Ortiz的人在接受网络采访时表示:“有一次他正在窃取某人的电话号码时,我一直在和他通话,他找到了他们的密钥,并且‘拿’走了四百万美元。”
多个消息来源称,Ortiz在OGUSERS上的用户名是“J”。该用户最近已被禁止进入论坛。在另一个名为“每个人都走了”的论坛帖子中,用户抱怨道,相关媒体发布了一份关于SIM卡交换技术的调查报告,其中包括了关于OGUSERS的信息,之后许多成员都离开了。据经常浏览该论坛的消息人士称,网站管理员在该论坛被调查后,已经禁用了几个已知SIM交换用户的账号。
显然,Ortiz在Twitter和Instagram上拥有一些单字母用户名的账户。但这些账户非常罕见,因为当这些平台启用时,人们必须根据用户名法则正确地注册它们。
最近一段似乎由Ortiz的Facebook账号发布的视频显示,视频中两个人在一家俱乐部跳舞,手里拿着两个标志:一个@和一个0。这两个标志也可以和Ortiz联系起来。
与此同时,OGUSERS社区也已做好了最坏的打算。
OGUSERS的一名成员说:“目前有三名工作人员已经注销了账户或离职。剩下的利用SIM卡交换技术的黑客也都藏起来了。”
另一位要求匿名的OGUSERS长期成员相信这仅仅是个开始。
他在接受电话采访时表示:“任何做过违法行为的人都会被告发,这件事即将发生的时候我就警告过这些孩子,没想到现在真的发生了。”
AD: 8月30日,猎云网2018年度“智慧+新服务”企业服务峰会落地上海!携手众多行业先锋领袖,共同探讨企业服务行业新风向。