SIM swapping: Scott Melker evita il peggio e dispensa consigli

Scott Melker

Scott Melker, il “wolf of all streets”. Gabbato con il vecchio trucco del SIM swapping. O quasi, visto che in qualche modo aveva attivato alcune sicurezze. Rivelatesi provvidenziali in casi come questo. Impariamo, allora, dagli di Melker.

Abbiamo parlato di SIM swapping in questo articolo.

Scott Melker è la nuova vittima di SIM swapping. Per fortuna, senza gravi conseguenze per lui. A febbraio, il trader ha subìto un tale tipo di attacco. Con cui i malintenzionati hanno potuto intercettare chiamate ed SMS. SMS che, magari, portavano il codice temporaneo (2FA) per l’accesso a siti di custodia di valori virtuali.

Malker parla di SIM swapping, di cosa gli è successo e di come evitare di subire danni in un post del 4 agosto scorso, sul proprio portale. Ecco il link del post.

Scott Melker è noto al popolo di internet come il “Wolf of All Streets”. Parodia discutibile del personaggio di Jordan Belfort. Il “vero” lupo di Wall Street.

Ebbene, Melker sostiene di essere stato vittima di un attacco di SIM swapping a febbraio scorso.

ATTENZIONE! Custodisci sempre Bitcoin e monete virtuali in un hardware wallet. L’unica vera soluzione contro gli hacker. Tra le soluzioni più sicure, segnaliamo Ledger e Trezor.

Ledger Nano X - The secure hardware wallet Trezor - hardware wallet

Attacco che, per fortuna, non ha prodotto danni ai suoi forzieri fiat e crypto.

Nel suo post, il trader racconta di come è riuscito ad evitare la compromissione dei suoi conti bancari. Delle carte di credito. E dei propri depositi negli exchange.

Il tutto è iniziato con il furto di identità. Un hacker aveva ottenuto le sue credenziali ingannando l’operatore telefonico. E dirottando tutte le comunicazioni del trader sul proprio telefono. Così da avere accesso al suo numero di telefono e ai suoi messaggi.

Meno male che Melker non utilizzava un sistema di autenticazione a due fattori (2FA) basato su messaggi su SIM (SMS). In tal caso, l’hacker avrebbe fatto razzia di ogni conto di Melker.

ATTENZIONE: una pessima custodia delle chiavi private e del seed dell’hardware wallet ci espone al rischio di perdere tutte le criptovalute. Suggeriamo di utilizzare sistemi sicuri contro ogni evento disastroso, come Billfodl.

Billfodl - seed custodian

Invece, il trader utilizzava un sistema 2FA diverso.

Un software come Google Authenticator, o Authy. Installato su un device separato, e tenuto offline. Insomma, un sistema 2FA inattaccabile da remoto. Che, ammette Melker, ha funzionato benissimo contro l’azione degli hacker:

Questo accorgimento è ciò che ha evitato che subissi danni ancora più gravi. Anche se avevano i miei login e password, non sono riusciti ad accedere al mio 2FA.

Questo mi ha permesso di contattare le mie banche, i miei fornitori di carte di credito, gli exchange eccetera. E bloccare tutti gli account.

Buon per Melker: stavolta l’attacco SIM swapping non ha funzionato. Ma ha funzionato in passato, tante altre volte.

Come nel caso di Reggie Middleton. CEO di del progetto blockchain Veritaseum. Costui nel 2017 ha subìto il furto di 8,7 milioni di dollari in valute virtuali. Gli hacker, appunto, hanno agito con tecniche SIM swapping contro l’operatore telefonico T-Mobile.

A seguire, tra il 2017 ed il 2018, analogo furto è avvenuto ai danni dell’investitore ed imprenditore Micheal Terpin. Che ha perso addirittura 24 milioni di dollari in criptovalute. Sempre con la tecnica del SIM swapping, stavolta contro l’operatore telefonico AT&T.

Ecco la lesson learnt di Melker sul SIM swapping:

Non utilizzate mai la verifica via SMS come 2FA. I criminali sfruttano questa vulnerabilità in un attacco di SIM swapping.

La 2FA è una lama a doppio taglio. Offre protezione se utilizzata correttamente. Cioè, su un device separato. Ma se il codice è un semplice numero inviato via messaggio al vostro telefono, si rischia che un malintenzionato possa accedere facilmente a tutti i vostri dati. Qualora riuscisse a dirottare le vostre chiamate ed SMS.

Ed ecco il suggerimento di Melker.

Utilizzare un software 2FA come Google Authenticator o Authy. Rigorosamente, da installare su di un dispositivo separato tenuto offline. Infatti, dice lui:

Quando vi scambiano la SIM, tutto ciò che c’è sul vostro telefono diventa un potenziale canale di attacco.

È evidente che non possiamo affidarci alle compagnie telefoniche per la nostra protezione.

Il trader aggiunge che si dovrebbe utilizzare un siffatto sistema 2FA per tutti gli account. Dai social media al conto bancario. Ed evitare browser come Chrome, che a suo dire presenta insospettate vulnerabilità. Infine, per asset digitali, Melker invita i possessori di criptovalute a rimuovere i propri numeri di telefono dagli exchange. E custodire le valute tramite cold storage.

FONTE: https://www.thewolfofallstreets.io

Scrivi un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *