Giovedì, 02 Agosto 2018 12:00

Joel Ortiz: il ladro con la tecnica dello SIM-swapping

Nella vita pubblica, è uno studente modello e bravo ragazzo statunitense. Nel privato, è un esperto hacker che, con tecniche sofisticate di ingegneria sociale e sfruttano il SIM-swapping, ha rubato ingenti somme in criptovalute. Banalmente, è un ladro.

Torniamo a parlare di pirateria informatica, dopo questo articolo.

Joel Ortiz era conosciuto, per chi aveva a che fare con lui, come il tipico bravo ragazzo: studioso dell'Università del Massachussets di Boston, primo della classe, molto promettente. Invece, oggi lo conoscono per quello che era dietro le quinte: un abile hacker ed un ladro di criptovalute.

Il ragazzo, appena ventenne di Allston (periferia di Boston), è stato arrestato il 12 luglio scorso all'aeroporto di Los Angeles dalla polizia del Santa Clara County, mentre tentava di dileguasi con un viaggio in Europa, presumibilmente una fuga. Era in possesso di 250 mila dollari USA in criptovalute, Bitcoin ed altre, ed aveva già speso circa 150 mila dollari in affitto di appartamenti per organizzare festini e in vestiti di alta moda italiana.

Secondo le fonti statunitensi, il ragazzo avrebbe rubato gli accessi ai profili social e clonato le SIM di svariati partecipanti all’importante conferenza di New York Consensus, organizzata ogni anno nel mese di maggio ed a cui aderiscono svariati personaggi in vista del mercato delle criptomonete. Ora si ritrova a dover rispondere di 28 capi di accusa - otto in più della sua giovane età - di cui 13 capi di accusa lo incriminano per furto di identità, altri 13 capi di accusa invece per hacking. E due capi di accusa per furto.

Durante l'interrogatorio, il giovane 'finto ragazzo per bene' avrebbe confessato di non aver agito da solo, ma col supporto di un 'collega'. Fatto sta che in uno dei tre attacchi, avvenuti durante la conferenza in questione, il giovane avrebbe rubato 1,5 milioni di dollari in criptovalute ad un importante imprenditore del settore delle valute virtuali (ovviamente, la persona ha scelto di restare nell'anonimato per non intaccare i suoi interessi: l'unica cosa che si sa è che l'imprenditore derubato ha perduto 1 milione di dollari ottenuti durante la token sale di una ICO).

Come ha fatto, vi domanderete? La tecnica usata da Ortiz è quella del SIM-swapping. Una tecnica diffusa negli ultimi tempi per rubare l’identità di malcapitati e così accedere ai profili dei social network di queste ignare persone. Piuttosto che accedere ai siti di online banking, e rubare denaro dai loro conti bancari piuttosto che ricattarli in caso vengano rinvenute informazioni compromettenti.

Funziona così: l'hacker arriva a conoscere il numero di cellulare della persona, ad esempio attraverso i social, e da lì carpisce altre informazioni personali sempre attraverso i social network, piuttosto che con la tecnica del phishing; ad esempio, contatta l'assistenza clienti dell'operatore telefonico e, facendo finta di essere il reale cliente - spesso le domande che ci pone l'operatore sono di facile risposta per uno che conosce la vittima - riesce a far bloccare la SIM affermando di averla perduta. In quel modo, dirotta tutto il traffico telefonico alla nuova SIM, quella da lui controllata.

Ecco quindi che, dopo aver fatto lo swapping del numero telefonico, il ladro ha cambiato la password all'account gmail. Poi, sfruttando tale account, ha agito indisturbato tra i conti in criptovalute dello sprovveduto dirottando i soldi verso i propri conti.

Oggi è finito il sogno 'americano' di Joel Ortiz: il furbacchione resta in carcere con una cauzione fissata dal giudice in un milione di dollari, ed il 9 agosto l'hacker dovrà presentarsi davanti alla corte per rispondere ai crimini secondo le leggi dello stato della California.

Vediamo, alla fine, cosa ci insegna questa notizia. Ossia, come fare per evitare di diventae prede di imitatori del ladro in questione. Ecco quindi le raccomandazioni per tutti: non diffondere le proprie informazioni sui social, non pubblicare su internet il proprio numero di cellulare, usare per l'online banking solo password complesse ed autenticazione a due fattori 2FA, installare su PC un software anti malware e anti phishing, impostare per accesso allo smartphone una password o il controllo con dati biometrici (impronta digitale o riconoscimento del volto e vocale).

FONTE: https://www.fxempire.it

Letto 115 volte