国际行动破坏SIM卡交换和BEC计划,追回4500万美元
美国、英国和加拿大联合执法行动破坏了使用SIM卡交换和BEC的数百万加密货币盗窃计划,识别出超过4500万美元的被盗资产并冻结了1200万美元。
MITRE ATT&CK® TTPs (1)
Click any technique to view details on attack.mitre.org
执行摘要
一次协调一致的国际执法行动破坏了一系列高价值的加密货币盗窃计划,识别出超过4500万美元的被盗资产,并确保冻结了大约1200万美元。这次行动涉及美国、英国和加拿大的机构,针对使用SIM卡交换和**商业电子邮件泄露(BEC)**的犯罪分子,以劫持受害者账户并清空加密货币钱包。虽然公开声明中没有指明具体的威胁行为者团体,但识别出的损失规模指向了有组织的、以经济利益为动机的网络犯罪行动。
技术分析
这些盗窃行为依赖于两种主要的、技术含量低但效果显著的社交工程技巧来绕过账户安全。SIM卡交换涉及欺诈性地说服移动运营商将受害者的电话号码移植到攻击者控制的设备上。这使得攻击者能够拦截基于短信的双因素认证(2FA)代码和密码重置链接,直接访问电子邮件、金融和加密货币交易所账户。同时,攻击者使用了商业电子邮件泄露(BEC),他们通过被破坏或伪造的电子邮件账户冒充高管或可信合作伙伴,授权欺诈性的加密货币转账。这些计划的技术门槛相对较低,但其成功依赖于在电信公司和受害者组织内部操纵人员,而不是利用软件漏洞。
入侵指标
目前没有识别出任何指标。此次行动的执法披露没有公开发布具体的指标,如钱包地址、域名或恶意软件哈希值。这些数据通常保留用于正在进行的调查和起诉目的。
战术、技术与程序
威胁行为者的TTPs与MITRE ATT&CK框架中记录的初始访问和凭证访问技术一致。观察到的主要技术包括:
- 战术:初始访问(TA0001)
- 技术T1586.001:泄露账户 – 电子邮件账户:攻击者通过凭证网络钓鱼或购买之前被泄露的凭证来获得初始立足点,以访问企业电子邮件系统进行BEC。
- 战术:凭证访问(TA0006)
- 技术T1566.002:网络钓鱼 – 鱼叉式网络钓鱼链接:可能用于从目标个人那里收集初始凭证。
- 技术T0872:SIM卡交换(MITRE PRE-ATT&CK):颠覆2FA并保持对受害者账户持久性的核心技术,通过控制相关电话号码。
- 战术:影响(TA0040)
- 技术T1657:金融盗窃:最终目标,通过未经授权的加密货币转账从被破坏的钱包或交易所账户中执行。
操作工作流程通常涉及研究加密货币领域的高价值目标,获取他们的个人数据(人肉搜索),使用这些信息对移动运营商支持人员进行社交工程,并利用被劫持的电话号码系统性地接管所有关联的在线账户。
威胁行为者背景
尽管联合声明没有将活动归因于特定的威胁团体或国家,但操作概况与以经济利益为动机的网络犯罪团伙一致。这些团体通常在松散的、基于联盟的网络中运作,其中SIM卡交换、网络钓鱼和加密货币洗钱的专家合作。盗窃和追回工作的国际层面表明了一个跨国犯罪企业。专注于加密货币盗窃,而不是勒索软件或数据盗窃,表明了在导航区块链交易和加密货币混合服务以混淆资金流动方面的专业化。
缓解措施与建议
组织和个人,特别是那些持有大量加密货币资产的人,应该实施超越基于短信的2FA的防御措施。关键建议包括:
- 消除2FA的短信:用更安全的方法替换基于短信的双因素认证,如FIDO2/WebAuthn安全密钥(例如,YubiKey)或**基于时间的一次性密码(TOTP)**应用程序,如Google Authenticator或Authy。这些不受SIM卡交换的影响。
- 实施运营商保护:联系您的移动提供商建立端口冻结或在进行任何账户更改之前必须提供的独特的账户PIN。与运营商账户本身的强有力、独特的密码一起使用。
- 执行严格的电子邮件和转账协议:对于组织,强制要求所有加密货币交易都需要多人批准,并使用离线验证(例如,通过已知号码确认的电话)来处理任何涉及资金转账的电子邮件请求。
- 分离通信和资产:使用专用的、低调的手机号码和电子邮件账户,仅用于加密货币交易所和钱包账户。这个号码不应公开列出或用于社交媒体或其他服务。
- 监控账户接管信号:警惕意外的手机服务丢失、您未发起的账户密码更改通知,或意外拒绝访问电子邮件账户。
订阅更新
将最新的网络安全资讯直接发送到您的邮箱。
