Telecomprovider T-Mobile is de nieuwste bedrijfsnaam geworden die onder vuur ligt vanwege zijn vermeende nalatigheid en het niet beschermen van klantinformatie, wat indirect een "sim-swap-aanval" mogelijk maakte die leidde tot de succesvolle diefstal van $ 450,000, of 15 Bitcoin (BTC).
Een sim-swap-aanval - ook wel port-out scam genoemd - is bewezen een populaire tactiek bij criminelen in de afgelopen jaren. Bij een dergelijke aanval gaat het om diefstal van het mobiele telefoonnummer van een slachtoffer, dat vervolgens kan worden gebruikt om de online financiële en sociale media-accounts van het slachtoffer te kapen door automatische berichten of telefoontjes te onderscheppen die worden gebruikt voor beveiligingsmaatregelen met tweefactorauthenticatie.
De proces ingediend tegen T-Mobile op 8 februari in het zuidelijke district van New York door eiser Calvin Cheng - het slachtoffer dat beweert $ 450,000 in Bitcoin te hebben verloren na een dergelijke aanval - legt precies uit hoe telecombedrijven zo'n cruciale rol gaan spelen bij deze specifieke vorm van fraude:
"Een criminele derde partij overtuigt een draadloze provider zoals T-Mobile om de toegang tot het mobiele telefoonnummer van een van zijn legitieme klanten over te dragen van de geregistreerde simkaart van de legitieme klant [...] naar een simkaart die wordt beheerd door de criminele derde partij [...]. …] Dit soort accountovername is niet per se een op zichzelf staande criminele handeling, aangezien het de actieve betrokkenheid van de mobiele provider vereist om de simkaart om te wisselen naar de telefoon van een onbevoegde persoon. "
Het incident dat in de rechtszaak aan de orde was, vond volgens Cheng plaats nadat in mei 2020 met succes een SIM-swap was uitgevoerd tegen een T-Mobile-klant en mede-oprichter van het cryptogerichte investeringsfonds Iterative Capital, Brandon Buchanan.
Cheng had in de maanden voorafgaand aan het incident verschillende succesvolle transacties met Iterative uitgevoerd om Bitcoin te kopen, communiceerde met Buchanan en anderen in Iterative via Telegram en maakte gebruik van een crypto-uitwisseling die door het fonds wordt beheerd.
Na de sim-swap hebben de daders naar verluidt Buchanan nagebootst in een Telegram-chat met Cheng, waarbij ze contact met hem opnamen met de vraag of hij Bitcoin voor een iteratieve klant tegen een aantrekkelijke premie wilde verkopen. Nadat hij in slaap gesust was door te denken dat de communicatie van Buchanan was, stemde Cheng in met de deal en bracht de Bitcoin over naar een digitale portemonnee waarvan hij dacht dat deze werd beheerd door Buchanan en / of Iterative - een verkeerde overtuiging, zoals al snel bleek.
Een paar dagen later nam Buchanan contact op met de uitwisselingsklanten van Iterative om hen te informeren dat verschillende van zijn accounts waren gecompromitteerd door SIM-swappers, die ten onrechte zijn identiteit hadden aangenomen en deze hadden gebruikt om transacties te initiëren namens Iterative. De rest van de klacht beschrijft het beroep van Cheng bij de FBI, die het incident onderzoekt en probeert de daders te identificeren. Buchanan heeft ook geprobeerd om namens Cheng rechtstreeks tussenbeide te komen bij T-Mobile, maar slaagde er niet in om namens hem een terugbetaling te krijgen.
Zoals de rechtszaak onderstreept, SIM-swapping is nauwelijks een nieuw fenomeen en wordt actief besproken door federale agentschappen uiterlijk sinds 2016. Dit is ook niet de eerste keer T-Mobile is geweest verwikkeld in rechtszaken over SIM-swap waarbij investeerders in cryptocurrency betrokken zijn.
De rechtszaak beschuldigt T-Mobile van het niet implementeren van een adequaat beveiligingsbeleid om ongeautoriseerde toegang tot de accounts van zijn klanten te voorkomen, het niet trainen of begeleiden van zijn werknemers om succesvolle fraude te voorkomen, en van onrechtmatig gedrag in zijn "roekeloze minachting" voor verschillende verplichtingen en plichten onder federale en staatswetgeving. De vervoerder wordt dus beschuldigd van het willens en wetens overtreden van de Federal Communications Act, de Computer Fraud and Abuse Act, de New York Protection Act, evenals twee gevallen van nalatigheid.
