Gigante de la consultoría de seguridad Kroll reveló hoy que un ataque de intercambio de SIM contra uno de sus empleados provocó el robo de información de usuario para múltiples plataformas de criptomonedas que dependen de los servicios de Kroll en sus procedimientos de quiebra en curso. Y hay indicios de que es posible que los estafadores ya estén explotando los datos robados en ataques de phishing.
Prestamista de criptomonedas BloqueFi y la plataforma de comercio de cifrado ahora colapsada ftx Cada uno reveló violaciones de datos esta semana gracias a un reciente ataque de intercambio de SIM dirigido a un empleado de Kroll — la empresa que se ocupa de la reestructuración concursal de ambas empresas.
En un comunicado publicado hoy, Kroll, con sede en la ciudad de Nueva York, dijo que se le informó que el 19 de agosto de 2023, alguien atacó a un T-Cellular número de teléfono perteneciente a un empleado de Kroll «en un ataque de ‘intercambio de SIM’ altamente sofisticado».
«Específicamente, T-Cellular, sin ninguna autoridad ni contacto con Kroll o sus empleados, transfirió el número de teléfono de ese empleado al teléfono del actor de la amenaza a petición suya», continúa el comunicado. “Como resultado, parece que el actor de amenazas obtuvo acceso a ciertos archivos que contienen información particular de los demandantes de quiebra en los asuntos de BlockFi, FTX y Génesis.”
T-Mobile aún no ha respondido a las solicitudes de comentarios.
Innumerables sitios web y servicios en línea utilizan mensajes de texto SMS tanto para restablecer contraseñas como para autenticación multifactor. Esto significa que robar el número de teléfono de alguien a menudo puede permitir a los ciberdelincuentes secuestrar toda la vida electronic del objetivo en poco tiempo, incluido el acceso a cualquier cuenta financiera, de correo electrónico y de redes sociales vinculada a ese número de teléfono.
Los grupos de intercambio de SIM normalmente llaman a los empleados a sus dispositivos móviles, se hacen pasar por alguien del departamento de TI de la empresa y luego intentan que la persona al otro lado de la línea visite un sitio world-wide-web de phishing que imita la página de inicio de sesión de los empleados de la empresa.
Múltiples bandas de intercambio de SIM han tenido gran éxito atacando a los empleados de T-Cellular con el fin de revender un servicio de cibercrimen que puede contratarse para desviar los mensajes de texto y las llamadas telefónicas de cualquier usuario de T-Mobile a otro dispositivo.
En febrero de 2023, KrebsOnSecurity hizo una crónica de los ataques de intercambio de SIM reclamados por estos grupos contra empleados de T-Mobile en más de 100 incidentes separados en la segunda mitad de 2022. El costo promedio de intercambiar SIM en cualquier número de teléfono de T-Cellular fue de aproximadamente $1500.
El desafortunado resultado del intercambio de SIM contra el empleado de Kroll es que las personas que tenían vínculos financieros con BlockFi, FTX o Genesis ahora enfrentan un mayor riesgo de convertirse ellos mismos en objetivos de intercambio de SIM y ataques de phishing.
Y hay algunos indicios de que esto ya está sucediendo. Varios lectores que dijeron que recibieron avisos de incumplimiento de Kroll hoy también compartieron correos electrónicos de phishing que recibieron esta mañana que falsificaban a FTX y afirmaban: «Usted ha sido identificado como un cliente elegible para comenzar a retirar activos digitales de su cuenta FTX».
Un mensaje de phishing dirigido a usuarios de FTX que se publicó en masa hoy.
Una parte importante del negocio de Kroll proviene de ayudar a las organizaciones a gestionar el riesgo cibernético. A menudo se llama a Kroll para investigar violaciones de datos y también vende servicios de protección de identidad a empresas que recientemente sufrieron una violación y están buscando formas de demostrar que lo están haciendo. algo para proteger a sus clientes de mayores daños.
Kroll no respondió a las preguntas. Pero es una buena apuesta que los clientes de BlockFi, FTX y Genesis pronto disfruten de otra oferta de monitoreo de crédito gratuito como resultado del intercambio de SIM de T-Cell.
El sitio net de Kroll dice que emplea a «líderes de élite en riesgos cibernéticos en una posición única para brindar servicios de seguridad cibernética de extremo a extremo en todo el mundo». Aparentemente, estos líderes de élite en riesgo cibernético no consideraron la mayor superficie de ataque que presentaban sus empleados que usaban T-Cellular para el servicio inalámbrico.
El ataque de intercambio de SIM contra Kroll es un recordatorio oportuno de que debe hacer todo lo posible para minimizar su dependencia de las compañías de telefonía móvil para su seguridad. Por ejemplo, muchos servicios en línea requieren que usted proporcione un número de teléfono al registrar una cuenta, pero ese número a menudo puede eliminarse de su perfil posteriormente.
¿Por qué sugiero esto? Muchos servicios en línea permiten a los usuarios restablecer sus contraseñas simplemente haciendo clic en un enlace enviado por SMS.Y esta práctica lamentablemente generalizada ha convertido los números de teléfono móvil en documentos de identidad de facto. Lo que significa que perder el management sobre su número de teléfono debido a un intercambio no autorizado de SIM o una transferencia de número de teléfono móvil, un divorcio, un despido o una crisis financiera puede ser devastador.
Si no lo ha hecho últimamente, tómese un momento para hacer un inventario de sus cuentas en línea más importantes y vea cuántas de ellas aún pueden restablecer su contraseña al recibir un SMS al número de teléfono registrado. Esto puede requerir pasar por el proceso de recuperación de cuenta del sitio web o el flujo de contraseña perdida.
Si la cuenta que almacena su número de teléfono móvil no le permite eliminar su número, verifique si existe una opción para no permitir SMS o llamadas telefónicas para autenticación y recuperación de cuenta. Si hay opciones más seguras disponibles, como una clave de seguridad o un código de un solo uso desde una aplicación de autenticación móvil, aprovéchelas. El sitio web 2fa.directory es un buen punto de partida para este análisis.
Ahora bien, se podría pensar que los proveedores de telefonía móvil compartirían cierta culpabilidad cuando un cliente sufre una pérdida financiera porque un empleado de una tienda de telefonía móvil fue engañado para transferir el número de teléfono de ese cliente a delincuentes. Pero a principios de este año, un juez de California desestimó una demanda contra AT&T que surgió de un ataque de intercambio de SIM en 2017 que generó a los ladrones más de 24 millones de dólares en criptomonedas.
