Vụ hack FTX, bí ẩn chưa lời giải về việc đánh cắp tiền mã hóa qua SIM card
Tuyển chọn TechFlowTuyển chọn TechFlow
Vụ hack FTX, bí ẩn chưa lời giải về việc đánh cắp tiền mã hóa qua SIM card
Dù là các công ty tiền mã hóa trong nước hay ngoài khơi đều đang phải đối mặt với ngày càng nhiều lo ngại về quy định và kinh tế.
Chuyên sâu báo cáo Web3Tác giả: Andrew Adams, Coindesk
Biên dịch: Wu Shuo Blockchain
Bài viết này giới thiệu bản cáo trạng mới đây do Bộ Tư pháp Mỹ công bố liên quan đến vụ đánh cắp SIM, đồng thời cho rằng các bị cáo trong vụ án như Powell không phải là thủ phạm tấn công FTX. Ngoài ra, bài viết cũng đề cập đến những rủi ro thương mại và áp lực quản lý tiềm tàng mà việc đánh cắp SIM có thể gây ra đối với ngành tiền mã hóa. Trước đó, Wu Shuo đã từng đăng bài viết về chủ đề đánh cắp SIM có tiêu đề “Không thể phòng ngừa: Vì sao nhiều tài khoản Twitter về tiền mã hóa bị đánh cắp để đăng liên kết lừa đảo? Cần phòng tránh thế nào?” nhằm giới thiệu nguyên lý tấn công và biện pháp phòng chống.
Gần đây, Bộ Tư pháp Mỹ âm thầm mở lại một bản cáo trạng, thu hút sự chú ý nhanh chóng từ các phương tiện truyền thông chính thống và truyền thông chuyên về tiền mã hóa, gọi đây là việc "giải mã" bí ẩn vụ trộm hơn 400 triệu USD tiền mã hóa trước đó thuộc sở hữu của sàn giao dịch tiền mã hóa đã sụp đổ FTX.
Tuy nhiên, bản cáo trạng này thực tế không phải chìa khóa để giải quyết bí ẩn. Nó chỉ làm lộ ra một sự thật rằng, dù là các công ty tiền mã hóa trong nước hay ngoài khơi đều đang đối mặt với ngày càng nhiều lo ngại về quản lý và kinh tế. Đặc biệt, vụ gian lận "đánh cắp SIM" nhắm vào FTX xảy ra vào tháng 11 năm 2022 gần như có thể xem là hình thức cơ bản nhất của hành vi "tin tặc"—loại hình này dựa trên việc đánh cắp danh tính và mạo danh người sở hữu tài khoản tài chính, chủ yếu nhắm vào các công ty cung cấp biện pháp bảo vệ quyền riêng tư hai lớp hoặc đa lớp (tức là «2FA» và «MFA») ngày càng lỗi thời cho khách hàng và người dùng tài khoản.
Các cơ quan quản lý liên bang tại Mỹ ngày càng chú trọng đến nguy cơ tiềm tàng từ các hệ thống bảo mật dễ bị tấn công bằng chiêu đánh cắp SIM. Ủy ban Truyền thông Liên bang (FCC) đang xây dựng các quy định mới, đồng thời Ủy ban Chứng khoán và Giao dịch Mỹ (SEC) gần đây đã đưa ra các quy định an ninh mạng có thể buộc các doanh nghiệp phải nâng cao các biện pháp bảo vệ chống lại mối đe dọa cụ thể này. Đặc biệt, sau khi chính SEC gần đây cũng trở thành nạn nhân của một vụ đánh cắp SIM, có lẽ họ càng củng cố quyết tâm tăng cường kiểm soát lĩnh vực này.
Các cáo buộc mới và vụ tin tặc FTX
Ngày 24 tháng 1 năm 2024, Văn phòng Công tố viên Hoa Kỳ tại Quận Columbia đã công bố một bản cáo trạng mang tên “Hoa Kỳ kiện Powell và đồng bọn”. Theo cáo trạng, Robert Powell, Carter Rohn và Emily Hernandez đã cùng nhau đánh cắp thông tin nhận dạng cá nhân (PII) của hơn 50 nạn nhân.
Ba người này sau đó sử dụng thông tin bị đánh cắp để tạo giấy tờ tùy thân giả nhằm lừa các nhà cung cấp dịch vụ viễn thông chuyển số điện thoại của nạn nhân sang thiết bị mới do chính các bị cáo hoặc những «đồng phạm chưa được nêu tên» kiểm soát. Ba bị cáo cũng bán lại thông tin PII bị đánh cắp này.
Kế hoạch này dựa trên việc chuyển số điện thoại của nạn nhân sang một thiết bị vật lý do tội phạm kiểm soát, yêu cầu chuyển hoặc «chuyển vùng» số điện thoại (về cơ bản là danh tính) sang thẻ Mô-đun Nhận dạng Người dùng (hay «SIM»), thẻ này thực tế được lưu giữ trong thiết bị mới do kẻ phạm tội kiểm soát. Hành vi này được gọi là kế hoạch «đánh cắp SIM».
Thông qua kế hoạch đánh cắp SIM được mô tả trong vụ Hoa Kỳ kiện Powell, các bị cáo và những đồng phạm chưa được nêu tên đã lừa các nhà cung cấp dịch vụ di động chuyển số điện thoại từ thẻ SIM hợp pháp của người dùng sang thẻ SIM do các bị cáo hoặc những đồng phạm chưa được nêu tên kiểm soát. Việc đánh cắp SIM sau đó cho phép Powell và những người khác truy cập vào các tài khoản điện tử của nạn nhân tại nhiều tổ chức tài chính và rút cắp tiền từ các tài khoản này.
Lợi ích chính của việc đánh cắp SIM đối với các bị cáo là khả năng chặn các tin nhắn gửi từ các tài khoản tài chính đến thiết bị gian lận mới, những tin nhắn này nhằm xác minh người truy cập tài khoản có phải là chủ sở hữu hợp pháp hay không. Thông thường, nếu không có hành vi gian lận, quá trình xác thực sẽ gửi tin nhắn SMS hoặc thông báo khác đến người dùng hợp lệ, sau đó người dùng nhập mã trong tin nhắn để xác minh việc truy cập tài khoản. Tuy nhiên, trong trường hợp này, mã bí mật được gửi trực tiếp đến kẻ lừa đảo, và chúng dùng mã này để mạo danh chủ tài khoản và rút tiền.
Mặc dù bản cáo trạng Powell không nêu rõ FTX là nạn nhân, nhưng cáo buộc lớn nhất về vụ đánh cắp SIM được mô tả trong bản cáo trạng rõ ràng ám chỉ vụ «tin tặc» xảy ra với FTX vào thời điểm công ty tuyên bố phá sản—ngày tháng, thời gian và số tiền khớp với các báo cáo công khai về vụ tấn công, và các phương tiện truyền thông đã bao gồm xác nhận từ các nguồn điều tra nội bộ rằng FTX chính là «Công ty nạn nhân -1» được nhắc đến trong cáo trạng Powell. Khi vụ hack FTX xảy ra, có rất nhiều suy đoán về thủ phạm: liệu có phải là người bên trong, hay cơ quan quản lý chính phủ ngầm thực hiện?
Nhiều bài viết về bản cáo trạng Powell đã đặt tiêu đề khẳng định bí ẩn đã được giải: ba bị cáo đã thực hiện vụ tấn công FTX. Nhưng thực tế, nội dung bản cáo trạng lại ngụ ý điều ngược lại. Mặc dù bản cáo trạng liệt kê chính xác tên ba bị cáo và mô tả chi tiết hành vi bị nghi ngờ của họ trong việc đánh cắp thông tin nhận dạng cá nhân (PII), chuyển số điện thoại sang thẻ SIM có được bằng gian lận, cũng như bán các mã truy cập FTX bị đánh cắp, nhưng khi nói đến quá trình thực sự đánh cắp tiền từ FTX, bản cáo trạng lại hoàn toàn không nhắc đến ba bị cáo này.
Thay vào đó, nó nêu rằng «đồng phạm đã truy cập trái phép vào tài khoản FTX» và «đồng phạm đã chuyển hơn 400 triệu USD tiền mã hóa từ ví tiền mã hóa của FTX sang ví tiền mã hóa do đồng phạm kiểm soát». Quy ước soạn thảo cáo trạng là phải nêu tên bị cáo khi mô tả hành vi do họ thực hiện. Trong trường hợp này, chính những «đồng phạm chưa được nêu tên» đã thực hiện bước cuối cùng và quan trọng nhất. Danh tính của những «đồng phạm» này vẫn còn là bí ẩn và có thể sẽ kéo dài cho đến khi có thêm cáo buộc mới hoặc phiên tòa tiết lộ thêm chi tiết.
Rủi ro quản lý và thương mại
Vụ FTX làm nổi bật nhận thức ngày càng tăng của các công tố viên và cơ quan quản lý về tính đơn giản và phổ biến của các kế hoạch đánh cắp SIM. Đọc bản cáo trạng Powell giống như đọc bất kỳ một trong hàng trăm cáo trạng về trộm cắp thẻ tín dụng mà các công tố viên liên bang và tiểu bang theo đuổi mỗi năm. Về mặt gian lận, đánh cắp SIM là hành vi rẻ tiền, ít đòi hỏi kỹ thuật và mang tính khuôn mẫu. Nhưng nếu bạn là tội phạm, thì phương pháp này lại hiệu quả.
Hiệu quả của việc đánh cắp SIM phần lớn là kết quả của những lỗ hổng trong các giao thức chống gian lận và xác thực danh tính của nhà cung cấp dịch vụ viễn thông, cũng như các thủ tục chống gian lận và xác thực tương đối yếu kém mà nhiều nhà cung cấp dịch vụ trực tuyến (bao gồm cả các công ty tài chính) mặc định sử dụng. Gần đây, vào tháng 12 năm 2023, Ủy ban Truyền thông Liên bang (FCC) đã ban hành một báo cáo và lệnh hành động nhằm khắc phục các lỗ hổng liên quan đến đánh cắp SIM tại các nhà cung cấp dịch vụ không dây. Báo cáo và lệnh này yêu cầu các nhà cung cấp phải sử dụng các phương pháp xác thực khách hàng an toàn trước khi thực hiện việc thay đổi SIM như mô tả trong bản cáo trạng Powell, đồng thời cố gắng duy trì sự thuận tiện tương đối cho khách hàng khi hợp pháp chuyển đổi thiết bị. Trước thực tế ngày càng rõ ràng rằng các đối tượng tấn công đang lợi dụng tính tiện lợi của xác thực đa yếu tố cơ bản (MFA) và xác thực hai yếu tố kém an toàn hơn (2FA), đặc biệt là qua kênh tin nhắn SMS không an toàn, việc cân bằng giữa an toàn và tiện lợi sẽ tiếp tục là thách thức đối với các công ty viễn thông và các nhà cung cấp dịch vụ phụ thuộc vào họ, bao gồm cả các công ty tiền mã hóa.
An ninh tiền mã hóa
Các nhà cung cấp dịch vụ không dây không phải là nhóm duy nhất đang chịu sự giám sát ngày càng gia tăng liên quan đến các cáo buộc trong bản cáo trạng Powell. Vụ việc này cũng mang lại những bài học và cảnh báo cho ngành công nghiệp tiền mã hóa.
Ngay cả khi các bị cáo trong vụ Powell không phải là những người trực tiếp truy cập và rút sạch ví FTX, họ bị cáo buộc đã cung cấp mã xác thực để thực hiện hành vi đó—những mã này được lấy được thông qua một kế hoạch đánh cắp SIM tương đối cơ bản. Trong bối cảnh chế độ an ninh mạng mới nổi của SEC, vụ việc này làm nổi bật nhu cầu các sàn giao dịch hoạt động tại Mỹ phải phát triển quy trình đánh giá và quản lý rủi ro an ninh mạng, bao gồm cả các hành vi «tin tặc» như đã xảy ra với FTX. Khi chính SEC gần đây cũng trở thành nạn nhân của một vụ đánh cắp SIM, chúng ta có thể dự đoán cơ quan thực thi pháp luật của họ sẽ càng chú trọng hơn đến các vụ tấn công đánh cắp SIM nhắm vào các sàn giao dịch.
Điều này có thể khiến các sàn giao dịch ngoài khơi, vốn né tránh sự giám sát của SEC hoặc các cơ quan quản lý khác, rơi vào thế bất lợi. Yêu cầu của SEC về việc công bố định kỳ thông tin liên quan đến quản lý rủi ro, chiến lược và quản trị an ninh mạng, cộng với việc kiểm toán độc lập, đảm bảo rằng khách hàng và đối tác giao dịch hiểu được các biện pháp mà các công ty này thực hiện để giảm thiểu rủi ro tương tự như sự kiện FTX. Các công ty ngoài khơi có thể áp dụng cách thức công bố an ninh mạng minh bạch tương tự, nhưng điều đó đòi hỏi sự sẵn lòng minh bạch từ phía họ—một điều mà các công ty này có thể e ngại, như chính FTX đã cho thấy. Các công ty và dự án tiền mã hóa có thể dự đoán sẽ phải đối mặt với áp lực ngày càng lớn từ cả cơ quan quản lý và thị trường, yêu cầu họ áp dụng, công bố, chứng minh và duy trì các thực tiễn an ninh mạng vượt xa mức chỉ đủ để ngăn chặn những kẻ gian lận cơ bản (như các bị cáo được mô tả trong vụ Powell) mang theo hàng triệu USD bỏ trốn.
Chào mừng tham gia cộng đồng chính thức TechFlow
Nhóm Telegram:https://t.me/TechFlowDaily
Tài khoản Twitter chính thức:https://x.com/TechFlowPost
Tài khoản Twitter tiếng Anh:https://x.com/BlockFlow_News
CoinDesk
