Vitalik Buterin ujawnia, w jaki sposób haker przejął jego konto na X

Przejęcie konta Vitalika Buterina w weekend 9-10 września, było sporym wydarzeniem w kryptowalutowej społeczności. Sam twórca Ethereum przerwał milczenie i wyjaśnił, co było przyczyną utraty kontroli nad kontem.

Okazało się, że haker zastosował SIM-swap , czyli metodę oszustwa polegającą na stworzeniu duplikatu karty SIM należącej do ofiary. Vitalik Buterin ujawnia, że haker wykorzystał do tego celu inżynierię społeczną, czyli najprostszy i wbrew pozorom najskuteczniejszy sposób manipulacji.

Vitalik Buterin przyznał, że jego konto zostało przejęte dzięki metodzie SIM-swap. Jak pisaliśmy w weekend, przejęcie konta Buterina spowodowało oscamowanie ludzi na nawet 700 tysięcy USD. Wszystko za sprawą rzekomego, darmowego tokena NFT, który tak naprawdę był złośliwym linkiem wymagającym podłączenia kryptowalutowego portfela.

Szczegółami na temat ataku Buterin podzielił się na łamach zdecentralizowanej aplikacji społecznościowe Warpcast. Otóż haker wykorzystał metodę SIM-swap, co oznacza, że zastosował on inżynierię społeczną podczas rozmowy z jakimś pracownikiem T-mobile. Hacker musiał być na tyle przekonujący, że pracownik sieci komórkowej podał mu numer telefonu Buterina.

Inżynieria społeczna jest najprostszą metodą manipulacji, z której bardzo często korzystał haker wszechczasów, czyli Kevin Mitnick.

Technika SIM-swap powszechni wykorzystywana jest przez hakerów i scamerów, do przejmowania kontroli nad numerem telefonu ofiary. Z takim „wytrychem” są w stanie przejść przez autoryzację dwuskładnikową (2FA) i przejąć konta na mediach społecznościowych, wyczyścić konto w banku, czy cyfrowe aktywa giełdzie kryptowalut.

Warto zaznaczyć, że nie jest to pierwszy raz, kiedy T-mobile ma problem z tego typu atakiem. W 2020 telekomunikacyjny gigant został pozwany za rzekome umożliwienie kradzieży cyfrowych aktywów na zawrotną kwotę 8,7 mln USD w serii ataków z użyciem metody SIM-swap.

T-mobile został pozwany także w lutym 2021 roku, kiedy jeden z użytkowników stracił 450 000 USD w Bitcoinie przez taki sam atak. Jak zatem chronić się przed takimi atakami? Tam gdzie to możliwe, nie korzysta z numeru telefonu jako fundamentu F2A.