L'operatore telefonico T-Mobile è finito sotto accusa per la sua presunta negligenza e incapacità di proteggere le informazioni dei clienti: questo avrebbe indirettamente permesso un "SIM swap attack" che ha portato al furto di 15 Bitcoin (BTC), oltre 450.000$.
Un attacco SIM swap, definito anche truffa "port-out", è una tattica divenuta molto diffusa negli ultimi anni. Tale attacco comporta il furto del numero di telefono cellulare di una vittima, che può poi essere utilizzato per dirottare gli account finanziari e social dell'utente intercettando i messaggi automatici utilizzati per l’autenticazione a due fattori.
La denuncia depositata l'8 febbraio nel Distretto meridionale di New York dal querelante Calvin Cheng, ovvero la vittima che sostiene di aver perso 450.000 dollari in Bitcoin a seguito di un tale attacco, spiega esattamente perché le aziende di telecomunicazioni svolgono un ruolo così importante in questo particolare tipo di frode:
"Un criminale convince un fornitore di servizi telefonici come T-Mobile a trasferire l'accesso al numero di telefono cellulare di uno dei suoi clienti legittimi dalla scheda SIM registrata del cliente [...] alla scheda SIM controllata dal criminale. [...] Questo tipo di dirottamento dell'account non è un crimine isolato di per sé, in quanto richiede il coinvolgimento attivo del fornitore di servizi telefonici."
Cheng spiega che nel maggio del 2020 un attacco SIM-swap è stato effettuato con successo contro un cliente di T-Mobile, Brandon Buchanan, ovvero il co-fondatore del fondo di investimento Iterative Capital.
Cheng aveva condotto diverse transazioni di successo con Iterative per acquistare Bitcoin nei mesi precedenti l'incidente, comunicando con Buchanan e altri dipendenti di Iterative via Telegram e utilizzando un exchange gestito dal fondo. Dopo il SIM-swap, i malintenzionati si sarebbero finti Buchanan in una chat Telegram con Cheng, chiedendogli se volesse vendere Bitcoin ad un cliente di Iterative ad un premium interessante. Ritenendo che le comunicazioni provenissero da Buchanan, Cheng ha accettato l'affare e ha trasferito i Bitcoin ad un wallet digitale che credeva essere controllato da Buchanan e/o Iterative.
Qualche giorno dopo Buchanan ha contattato i clienti dell’exchange di Iterative per informarli che molti dei suoi account erano stati compromessi da SIM-swappers, i quali avevano falsamente assunto la sua identità e l'avevano usata per avviare operazioni per conto di Iterative. Il resto della denuncia precisa nel dettaglio l'appello di Cheng all'FBI, che sta indagando sull'incidente e cercando di identificare gli autori del furto. Buchanan ha anche tentato di mettersi in contatto direttamente con T-Mobile per conto di Cheng, ma non è riuscito a garantire un rimborso al suo cliente.
Come sottolinea la citazione, il SIM-swapping non è un fenomeno nuovo e viene attivamente discusso dalle agenzie federali sin dal 2016. Peraltro, non è la prima volta che T-Mobile si trova coinvolta in cause legate ad attacchi di SIM-swapping che riguardano investitori in crypto.
L’attore accusa T-Mobile di non aver implementato policy di sicurezza adeguate per prevenire l'accesso non autorizzato agli account dei suoi clienti, di non aver insegnato ai suoi dipendenti come prevenire le frodi, nonché di aver tenuto una condotta illecita nella sua "sconsiderata noncuranza" rispetto agli obblighi imposti dalle leggi. La società viene accusata di aver violato consapevolmente il Federal Communications Act, il Computer Fraud and Abuse Act ed il New York Protection Act, e dovrà anche affrontare due capi d'accusa per negligenza.