駭客鎖定矽谷主管的行動電話門號下手，偷走百萬美元加密貨幣

對於現代人來說，遺失手機固然非常不便，不過，若是收到手機遺失服務的通知，極有可能是門號遭駭的警訊。根據紐約郵報（New York Post）的報導，在10月26日時，一名矽谷主管Robert Ross，得知他的手機無故沒有訊號後，隨即前往附近的Apple Store求助，接著也聯繫電信業者AT&T。

然而，在Ross試圖恢復手機通訊的這段期間，駭客已經分別從這名主管的Coinbase和Gemini帳戶中，盜走價值共100萬美元的加密貨幣，這名受害者表示，這些錢是他所有的積蓄，用途是做為兩個女兒大學學費的基金。

後來警方循線調查，找到犯案的是年僅21歲的Nicholas Truglia，並在上周在曼哈頓42街的一間大廈將他逮捕。聖塔克拉拉市副總檢察官Erin West指出，警方從Truglia的電腦硬碟資料裡，找回30萬美元的加密貨幣，至於其他的贓款流向，仍有待追查。

根據加州高等法庭開庭時，起訴檢察官指出，Truglia也試圖攻擊多名矽谷主管的手機，不過並未成功得手。在起訴書中，Truglia總共被起訴多達21次，罪名涵蓋身分竊取、詐欺、侵占等項目，涉嫌重大。另外，這份文件也列出了其他遭到攻擊的人士，包含區塊鍵儲存裝置服務業者0Chain的執行長Saswata Basu、私募基金公司主管Myles Danielson，以及創投公司SMBX共同創辦人Gabrielle Katsnelson等。

West表示，這是全新的犯罪趨勢，歹徒專挑持有加密貨幣的人動手。她也認為，雖然加密貨幣採用了區塊鏈，能夠突顯交易的金錢流向，卻無從得知背後持有交易帳戶的人是誰。

從電信業者客服下手，取得被害人門號控制權，用戶難以防範

值得留意的是，Truglia作案的手法，稱作手機門號移轉詐騙（SIM-Swapping Scheme），藉由說服電信業者的客服中心補發新的SIM卡，或是修改門號登錄的個人資料等方式，進而取得受害者門號的控制權。由於使用者在申請門號時，往往需要提供個人資料，像是生日、居住地址、身分證字號等，而日後若是想要移轉門號，業者也仰賴這些資料確認使用者的身分。然而，上述的個人資料，有心人士可以透過暗網取得，藉此騙過電信公司。

由於加密貨幣交易所的帳號持有者身分驗證過程裡，可以使用手機簡訊通過雙因素驗證，因此Truglia取得Ross的門號控制權之後，就能進一步嘗試存取Ross的加密貨幣帳戶。

這樣的案件在美國並非首例，今年夏天，一位加州民眾Michael Terpin因駭客盜用他的門號，竊取價值2,400萬美元的加密貨幣，憤而控告AT&T未盡門號管理之責，求償2億2,400萬美元。而在10月時，為了讓用戶直接透過手機快速登入應用程式或是網站，美國4大電信業者AT&T、Sprint、T-Mobile，以及Verizon結盟，提出了行動驗證計畫（Project Verify），其中，採用的5種識別因子裡，因包含了電話號碼與SIM卡登錄的資料，被電子前線基金會（EFF）抨擊，上述做法存在高度資安風險，也含有侵犯隱私的疑慮。