对于现代人来说,遗失手机固然非常不便,不过,若是收到手机遗失服务的通知,极有可能是号码遭黑的警讯。根据纽约邮报(New York Post)的报导,在10月26日时,一名硅谷主管Robert Ross,得知他的手机无故没有信号后,随即前往附近的Apple Store求助,接着也联系电信企业AT&T。
然而,在Ross试图恢复手机通信的这段期间,黑客已经分别从这名主管的Coinbase和Gemini帐户中,盗走价值共100万美元的加密货币,这名受害者表示,这些钱是他所有的积蓄,用途是作为两个女儿大学学费的基金。
后来警方循线调查,找到犯案的是年仅21岁的Nicholas Truglia,并在上周在曼哈顿42街的一间大厦将他逮捕。圣塔克拉拉市副总检察官Erin West指出,警方从Truglia的计算机硬盘数据里,找回30万美元的加密货币,至于其他的赃款流向,仍有待追查。
根据加州高等法庭开庭时,起诉检察官指出,Truglia也试图攻击多名硅谷主管的手机,不过并未成功得手。在起诉书中,Truglia总共被起诉多达21次,罪名涵盖身份窃取、欺诈、侵占等项目,涉嫌重大。另外,这份文件也列出了其他遭到攻击的人士,包含区块链存储设备服务企业0Chain的首席执行官Saswata Basu、私募基金公司主管Myles Danielson,以及创投公司SMBX共同创办人Gabrielle Katsnelson等。
West表示,这是全新的犯罪趋势,歹徒专挑持有加密货币的人动手。她也认为,虽然加密货币采用了区块链,能够突显交易的金钱流向,却无从得知背后持有交易帐户的人是谁。
值得留意的是,Truglia作案的手法,称作手机号码转移诈骗(SIM-Swapping Scheme),借由说服电信企业的客服中心补发新的SIM卡,或是修改号码登录的个人数据等方式,进而取得受害者号码的控制权。由于用户在申请号码时,往往需要提供个人数据,像是生日、居住地址、身份证字号等,而日后若是想要转移号码,企业也依赖这些数据确认用户的身份。然而,上述的个人数据,有心人士可以通过暗网取得,借此骗过电信公司。
由于加密货币交易所的帐号持有者身份验证过程里,可以使用手机短信通过双重验证,因此Truglia取得Ross的号码控制权之后,就能进一步尝试访问Ross的加密货币帐户。
这样的案件在美国并非首例,今年夏天,一位加州人们Michael Terpin因黑客盗用他的号码,窃取价值2,400万美元的加密货币,愤而控告AT&T未尽号码管理之责,索赔2亿2,400万美元。而在10月时,为了让用户直接通过手机快速登录应用程序或是网站,美国4大电信企业AT&T、Sprint、T-Mobile,以及Verizon结盟,提出了行动验证计划(Project Verify),其中,采用的5种识别因素里,因包含了电话号码与SIM卡登录的数据,被电子前线基金会(EFF)抨击,上述做法存在高度网络安全风险,也含有侵犯隐私的疑虑。