Polska rozbiła grupę SIM swapping powiązaną z kradzieżami kryptowalut wartymi miliony - Security Bez Tabu

Polska rozbiła grupę SIM swapping powiązaną z kradzieżami kryptowalut wartymi miliony

Cybersecurity news

Wprowadzenie do problemu / definicja

SIM swapping to metoda przejęcia numeru telefonu ofiary poprzez nieuprawnione przeniesienie go na kartę SIM kontrolowaną przez przestępców. W praktyce umożliwia to odbieranie wiadomości SMS, przechwytywanie kodów jednorazowych oraz resetowanie haseł do usług, które opierają proces uwierzytelniania na numerze telefonu.

Sprawa rozbita przez polskie służby pokazuje, że technika ta pozostaje jednym z najgroźniejszych wektorów ataku na osoby posiadające wartościowe aktywa cyfrowe, w szczególności kryptowaluty. Kluczowym elementem nie jest wyłącznie samo przejęcie numeru, ale uzyskanie kontroli nad całym łańcuchem zaufania opartym na telefonie, poczcie e-mail i procesach obsługi abonenta.

W skrócie

Polskie organy ścigania zatrzymały cztery osoby podejrzane o udział w zorganizowanej grupie przestępczej prowadzącej ataki SIM swap, włamania do systemów oraz operacje prania pieniędzy. Według ustaleń śledczych sprawcy mieli uzyskiwać dostęp do infrastruktury podmiotów współpracujących z operatorami telekomunikacyjnymi i do skrzynek pocztowych pracowników.

  • zatrzymano cztery osoby podejrzane o udział w zorganizowanej grupie przestępczej,
  • atakujący mieli przejmować numery telefonów ofiar i kontrolować kanały SMS oraz e-mail,
  • celem były między innymi konta na giełdach kryptowalut,
  • straty mają sięgać kilkudziesięciu milionów złotych,
  • podejrzanym grozi do 25 lat pozbawienia wolności.

Kontekst / historia

Ataki SIM swapping od lat są wykorzystywane do przejmowania tożsamości cyfrowej użytkowników i omijania zabezpieczeń opartych na wiadomościach SMS. Szczególnie narażone pozostają osoby posiadające konta inwestycyjne, portfele kryptowalutowe oraz usługi finansowe powiązane z numerem telefonu.

W opisywanej sprawie działania miały charakter zorganizowany i wieloetapowy. Operację przeprowadziło Centralne Biuro Zwalczania Cyberprzestępczości przy wsparciu amerykańskich służb federalnych, a postępowanie nadzoruje Prokuratura Regionalna w Krakowie. Zatrzymani zostali tymczasowo aresztowani, a sprawa pozostaje rozwojowa, co może oznaczać kolejne ustalenia dotyczące infrastruktury finansowej, dalszych sprawców lub następnych poszkodowanych.

Analiza techniczna

Model działania grupy wskazuje na klasyczny, ale zaawansowany łańcuch ataku. Pierwszy etap miał obejmować przełamanie zabezpieczeń systemów teleinformatycznych oraz przejęcie skrzynek pocztowych pracowników podmiotów współpracujących z operatorami telekomunikacyjnymi. Taki dostęp daje możliwość zdobycia danych abonentów, informacji procesowych oraz wiedzy operacyjnej potrzebnej do przeprowadzenia nielegalnego przeniesienia numeru.

Druga faza polegała na przygotowaniu właściwego ataku SIM swap. Dysponując danymi identyfikacyjnymi ofiary i znajomością procedur, sprawcy mogli doprowadzić do aktywacji nowej karty SIM lub przejęcia istniejącego numeru. To moment krytyczny, ponieważ po skutecznym przeniesieniu numeru przestępcy zyskują kontrolę nad wiadomościami SMS i połączeniami głosowymi.

Trzeci etap koncentrował się na przejęciu dostępu do kont online. Odbieranie kodów 2FA, alertów bezpieczeństwa i wiadomości resetujących hasła, połączone z równoległym dostępem do poczty e-mail, znacząco zwiększa skuteczność operacji. Dzięki temu napastnicy mogą zatwierdzać zmiany, ukrywać ślady aktywności i przejmować kolejne usługi powiązane z tożsamością ofiary.

Ostatnia faza obejmowała monetyzację ataku. Z ustaleń wynika, że środki miały być transferowane przez rozproszoną sieć rachunków bankowych, platform płatniczych i portfeli wielowalutowych. Taki schemat odpowiada modelowi warstwowego prania pieniędzy, którego celem jest utrudnienie analizy przepływów finansowych i identyfikacji końcowych beneficjentów.

Konsekwencje / ryzyko

Największym zagrożeniem związanym z SIM swappingiem jest możliwość obejścia zabezpieczeń uznawanych przez wielu użytkowników za wystarczające. Uwierzytelnianie oparte na SMS pozostaje wygodne, ale jest podatne na nadużycia proceduralne, socjotechnikę oraz ataki na partnerów biznesowych i pracowników obsługujących procesy abonenta.

Dla użytkowników indywidualnych ryzyko obejmuje utratę dostępu do poczty elektronicznej, kont inwestycyjnych, portfeli cyfrowych i usług finansowych. Dla operatorów, integratorów i podmiotów wspierających obsługę klienta konsekwencje mają wymiar operacyjny, prawny i reputacyjny. Jedna skompromitowana skrzynka pocztowa lub nieprawidłowo zabezpieczony proces może stać się punktem wyjścia do przejmowania wielu numerów i dalszych nadużyć.

W szerszej perspektywie sprawa potwierdza, że infrastruktura telekomunikacyjna oraz otaczający ją ekosystem procesów pomocniczych są atrakcyjnym celem dla grup wyspecjalizowanych w kradzieży aktywów cyfrowych. Kryptowieża finansowa oparta na szybkich transferach i płynności środków dodatkowo zwiększa opłacalność takich operacji.

Rekomendacje

Organizacje odpowiedzialne za obsługę numerów telefonów powinny ograniczać zależność od pojedynczego kanału autoryzacji i wzmacniać kontrole związane ze zmianą karty SIM. Każda operacja przeniesienia numeru lub wydania duplikatu powinna być objęta dodatkowymi mechanizmami weryfikacji, analizą ryzyka i pełnym śladem audytowym.

  • wdrożyć silne zabezpieczenia skrzynek pocztowych pracowników, w tym odporne na phishing metody uwierzytelniania,
  • ograniczyć uprawnienia dostępu do danych abonentów i systemów CRM zgodnie z zasadą najmniejszych uprawnień,
  • monitorować anomalie logowania, nietypowe aktywacje kart SIM i operacje realizowane poza standardowym profilem pracy,
  • korelować dane z systemów IAM, poczty, CRM, EDR i narzędzi transakcyjnych,
  • po stronie użytkowników końcowych zastępować SMS bezpieczniejszymi metodami 2FA, takimi jak TOTP, klucze sprzętowe lub FIDO2,
  • aktywować PIN, hasło lub blokadę zmian na koncie operatora, jeśli taka funkcja jest dostępna.

Użytkownicy powinni również zwracać uwagę na nagłą utratę zasięgu, brak możliwości wykonywania połączeń lub niespodziewane komunikaty o zmianach w usługach mobilnych. Takie symptomy mogą oznaczać, że numer telefonu został właśnie przejęty.

Podsumowanie

Rozbicie grupy odpowiedzialnej za ataki SIM swapping i kradzieże kryptowalut pokazuje, że współczesna cyberprzestępczość coraz częściej łączy włamania techniczne, socjotechnikę oraz zaawansowane mechanizmy finansowe. Kluczowym problemem nie jest już wyłącznie technologia, ale słabość procesów zaufania opartych na numerze telefonu, dostępie do poczty oraz procedurach operacyjnych.

Dla rynku to wyraźny sygnał, że bezpieczeństwo usług telekomunikacyjnych, ochrona skrzynek pocztowych pracowników i odporność procesów obsługi abonenta muszą być traktowane jako obszary krytyczne. W środowisku aktywów cyfrowych nawet pojedyncza luka proceduralna może prowadzić do strat liczonych w milionach.

Źródła

  • BleepingComputer – Poland busts SIM-swapping gang tied to millions in crypto theft — https://www.bleepingcomputer.com/news/security/poland-busts-sim-swapping-gang-tied-to-millions-in-crypto-theft/
  • Centralne Biuro Zwalczania Cyberprzestępczości – Członkowie grupy przestępczej w rękach CBZC – wsparcie agentów FBI oraz HSI — https://cbzc.policja.gov.pl/bzc/aktualnosci/975%2CCzlonkowie-grupy-przestepczej-w-rekach-CBZC-wsparcie-agentow-FBI-oraz-HSI.html