Scott Melker, noto come “Wolf of All Streets”, sostiene di essere stato vittima di un attacco di SIM swap a febbraio ma che sarebbe poi riuscito a non perdere le sue crypto.

In un post pubblicato il 4 agosto sul sito di Melker, intitolato “Security Tips And Lessons Learned From My Hack”, il trader racconta di essere riuscito a proteggere l’accesso ai suoi conti bancari, alle carte di credito e agli exchange dopo che un hacker aveva ottenuto le sue credenziali ingannando l’operatore telefonico: il malintenzionato aveva persino dirottato tutte le comunicazioni di Melker sul proprio telefono!

Secondo Melker, il criminale aveva accesso al suo numero e ai suoi messaggi, il che gli avrebbe consentito di accedere a tutti i suoi fondi, qualora avesse utilizzato un sistema di autenticazione a due fattori (2FA) inviata via SMS.

Fortunatamente il trader utilizzava una forma di 2FA (Google Authenticator, Authy) che agiva tramite un device separato, tenuto offline. Secondo Melker “questo accorgimento è ciò che ha evitato che subissi danni ancora più gravi”:

“Anche se avevano i miei login e password, non sono riusciti ad accedere al mio 2FA. Questo mi ha permesso di contattare le mie banche, i miei fornitori di carte di credito, gli exchange ecc. per bloccare tutti gli account.”

Un avvertimento alla community

Nel 2017 un gruppo hacker ha sottratto 8,7 milioni di dollari in crypto a Reggie Middleton, CEO di Veritaseum, durante una serie di attacchi SIM swap ai danni dell’operatore T-Mobile. L’investitore Micheal Terpin sostiene di aver perso 24 milioni di dollari in criptovalute a seguito di due episodi simili, questa volta ai danni di AT&T, tra il 2017 ed il 2018.

Quindi cosa suggerisce Melker? La risposta è chiara:

“Non utilizzate mai la verifica via SMS come 2FA. I criminali sfruttano questa vulnerabilità in un attacco di SIM-Swap. La 2FA è una lama a doppio taglio: offre protezione se utilizzata correttamente (su un device separato), ma se il codice è un semplice numero inviato via messaggio al vostro telefono, si rischia che un malintenzionato possa accedere facilmente a tutti i vostri dati, qualora riuscisse a dirottare le vostre chiamate ed SMS.”

Melker suggerisce quindi di utilizzare un authenticator (la versione di Google piuttosto che Authy, a suo dire semplice da manomettere) su di un dispositivo separato, da tenere offline:

“Quando vi scambiano la SIM, tutto ciò che c’è sul vostro telefono diventa un potenziale canale di attacco.”

Secondo il trader, si dovrebbe utilizzare la 2FA per tutti gli account, dai social media al conto bancario, e smetterla di navigare con Chrome, che a suo dire presenta “sorprendenti” vulnerabilità. Con riferimento agli asset digitali in particolare, Melker ha incoraggiato i trader a rimuovere i propri numeri di telefono dagli exchange e a custodire le crypto tramite cold storage.

Ha concluso affermando:

“È evidente che non possiamo affidarci alle compagnie telefoniche per la nostra protezione.”