Хасиб Аван, основатель компании Efani((Хасиб Аван))

Этого предпринимателя так часто меняли симами, что он основал компанию, чтобы бороться с этим

В первый раз, когда он был заменен SIM-картой в 2018 году, Хасиб Аван взял его за подбородок и надеялся, что это больше не повторится. Затем произошел второй инцидент. Потом третий. Потом четвертый. После последнего обмена Аван перестал доверять своему оператору мобильной связи, чтобы сохранить свой счет в безопасности, и взял дело в свои руки: он основал собственную компанию по обслуживанию сотовой связи. 

Это был важный поворот от его прежней дневной работы по управлению сетью биткойн-банкоматов BitAccess, компанией, которую он основал и которая, кстати, сделала его главной мишенью для обмена SIM-картами.

Его новое предприятие, Efani, посвящено прекращению проблемы, которая слишком распространена для пользователей криптовалют-проблемы, которую большинство мобильных операторов, как свидетельствуют собственные проблемы Awan, не смогли адекватно решить.

Регистрируясь, вы будете получать электронные письма о продуктах CoinDesk и соглашаетесь с нашими правилами и условиями и политикой конфиденциальности.

Что такое обмен SIM-картами?

Обмен Sim-картами-это социально спроектированный Хак, при котором злоумышленник переносит номер телефона жертвы на SIM-карту, которой он управляет. Чтобы захватить мобильный счет, злоумышленник может выдать себя за жертву, чтобы убедить представителя службы поддержки клиентов поменять номер на новую SIM-карту. В более сложных случаях замена SIM-карты может происходить как внутренняя работа или путем подкупа представителя службы поддержки клиентов.

Эти социально спроектированные атаки стали слишком распространенной проблемой в сфере биткойнов и криптовалют, особенно для ее высокопоставленных личностей. Как правило, обменники SIM-карт нацеливаются на пользователей криптовалюты в надежде получить доступ к их биржевым счетам с помощью текстовых сообщений и двухфакторной аутентификации. 

Возможно, самый известный пример этого вектора атаки исходит от Майкла Терпина, который потерял около 24 миллионов долларов из-за обмена SIM-картами, что вызвало судебный процесс на 220 долларов против AT&T. многие другие пользователи криптовалют стали жертвами таких атак и впоследствии лишились своих биржевых счетов. Хакер Twitter 2020 года был даже частью синдиката, который организовал обмен SIM-картами.

Читайте также: судья отклоняет иск о возмещении ущерба в размере $200 млн в иске AT&T Crypto Hack

Efani: фирма по кибербезопасности, предоставляющая телекоммуникационные услуги

Аван входит в длинный список жертв крипто-сим-свопов, именно поэтому он основал Efani в 2019 году.

Компания работает немного как оператор мобильной виртуальной сети. Он использует сетевую инфраструктуру Verizon, AT&T и T-Mobile для обслуживания своих клиентов. Но он полагается только на эту инфраструктуру, чтобы обеспечить покрытие сотовой связи. Все остальное для плана $99/месяц, от управления данными до обслуживания клиентов, управляется в доме в соответствии с собственной практикой Efani. 

“Мы сосредоточены на кибербезопасности. Другие компании являются поставщиками телекоммуникационных услуг, которые имеют другие компании, обеспечивающие их безопасность. Мы являемся фирмой по кибербезопасности, предоставляющей телекоммуникационные услуги.”

Согласно Awan, большинство мобильных провайдеров требуют только номер телефона и номер счета, чтобы внести изменения в существующий план. Они также дают пользователям возможность установить PIN-код, но даже этот уровень защиты можно обойти, если хакер достаточно подкован. Еще труднее контролировать взятки и внутренние рабочие места.

11 уровней защиты

Решение эфани этой проблемы? Сделать это так чертовски трудно, чтобы внести изменения в учетную запись, что атака практически невозможна. 

“Вы не можете внести изменения в свой аккаунт, позвонив в службу поддержки клиентов”, – сказал Аван CoinDesk. – Даже если вы позвоните, они не уполномочены вносить какие-либо изменения. Для чего-то вроде замены SIM-карты вам, возможно, придется пройти через 11 уровней аутентификации.”

Эти 11 уровней аутентификации являются максимальным количеством методов проверки, доступных пользователям Efani, в то время как каждая учетная запись имеет минимум 7 шагов аутентификации, когда пользователь хочет заменить свою SIM-карту. Эти проверки включают в себя предоставление последних четырех цифр кредитной карты в файле, номер телефона, номер SIM-карты и другую информацию.

“Мы сделали его настолько строгим, что он исключает любую возможность замены SIM-карт. Большинство людей сдаются после второго или третьего шага аутентификации”, – сказал Аван.

Читайте также: Социальная Инженерия: Чума на крипто и Твиттер, вряд ли остановится

Возможно, самая важная функция – и последний шаг для авторизации изменения учетной записи – включает нотариальное заверение письма о намерениях. Каждый пользователь должен посетить нотариуса, чтобы авторизовать изменение своей услуги, и этот нотариус проверяется юридической командой Efani.

Даже после этого последнего шага вступает в силу 7-дневный период “охлаждения”, прежде чем новая SIM-карта может быть активирована. И это не может быть любая старая SIM-карта, купленная в вашем местном магазине; Efani отправляет каждому владельцу учетной записи две зашифрованные SIM-карты, когда они регистрируются в службе, и только резервная копия имеет право носить номер пользователя, если старая карта потеряна.

Старые фокусы, новые собаки

Помимо этих мер, Efani проводит проверку биографических данных всех сотрудников, требует авторизации нескольких сотрудников для внесения изменений в учетную запись и хранит информацию о клиентах в серверных хранилищах, чтобы сохранить сегрегацию данных. Кроме того, имена клиентов и номера телефонов хранятся отдельно.

Планы Efani также застрахованы Lloyd’s of London на сумму до 5 миллионов долларов за любую кражу или нарушение данных, которые могут произойти через услуги Efani.

Аван, который загрузил компанию своими собственными финансами, сказал, что она прибыльна и находится на пути к тому, чтобы достичь 7 цифр дохода в этом году. Около трети его клиентов-пользователи криптовалют, сказал он, добавив, что остальные, как правило, являются высокопоставленными лицами, включая профессиональных спортсменов для лос-анджелесских Лейкерс и Сан-Франциско гигантов, других знаменитостей и изрядное количество юристов. 

Когда его спросили, что можно сделать, чтобы “исправить” текущее состояние обмена SIM-картами (без создания конкурирующего бизнеса), Аван был пессимистичен в отношении способности к изменениям в устаревших провайдерах. Большинство сотрудников службы поддержки клиентов, которые в первую очередь являются подрядчиками, “недостаточно искушены, чтобы понять уровень угрозы.”

Более того, изменение чего-то, что затрагивает так мало клиентов, в любом случае, вероятно, не находится на их радаре, особенно учитывая, что это потребует полного пересмотра их процессов.

“Я не думаю, что эта проблема будет решена каким-либо перевозчиком. Изменение текущей системы потребует обновления системы и процессов для каждого мобильного счета в Америке, и это нелегко сделать”, – сказал Аван.

“Вторая проблема заключается в том, что перевозчики хотят верить, что это не проблема. Она затрагивает, вероятно, 1% населения. Это все равно что сказать: “хорошо, каждый автомобиль, продаваемый в США, поставляется с пуленепробиваемым стеклом.”

Напишите комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

*