Amerikas justitiedepartement (DOJ) meddelade denna vecka att den sjätte medlemmen (den enda kvarvarande) i ett internationellt cyberkriminellt gäng som heter ‘The Community' har dömts på grund av sin del i bluffen med SIM-byte på flera miljoner dollar.
Den 22-årige Garrett Endicott, medborgare i Missouri, är den sjätte medlemmen av hackare som döms. Han fick 10 månaders fängelse på grund av sitt deltagande i kampanjen, under vilken kryptovaluta värda miljontals dollar stals från offren och krävdes 121 549 dollar i skadestånd.
SIM-kapning, populärt uppfattat som SIM-byte, är en taktik som gör det möjligt för en cyberattackare att få tag på telefonnumret till sitt mål. På så sätt börjar angriparen ta emot meddelanden och tvåfaktorsautentiseringskoder (2FA) som kan användas för att logga in på målets molnlagring, e-postmeddelanden och kryptovalutakonton.
Enligt åklagarna i The Community-fallet underlättades kampanjen för SIM-byte "ofta genom att muta en anställd hos en mobiltelefonleverantör." De förklarade vidare:
"Andra gånger genomfördes SIM-kapning genom att en medlem av The Community kontaktade en mobiltelefonleverantörs kundtjänst – utger sig för att vara offer – och begärde att offrets telefonnummer skulle bytas ut mot ett SIM-kort (och därmed en mobil enhet) som kontrolleras av The Gemenskap."
Kampanjen slutade med att tiotals miljoner dollar i kryptovaluta stals. Offren för denna kampanj, som identifierades som bosatta i städer över hela USA, inklusive Texas, Missouri, New York, Kalifornien, Michigan, Illinois och Utah, förlorade kryptovaluta som uppskattades till cirka 2 000 USD till över 5 miljoner USD vid tiden för stölden.
Justitiedepartementet uppgav att gärningsmännen var inblandade i totala stölder vars värde varierade från cirka 50 000 – 9 miljoner dollar.
Bland alla åtalade i The Community fick Endicott ett lindrigare straff. Ricky Handschumacher, bosatt i Florida, fick en dom inklusive böter på över 7,6 miljoner dollar med 4 års fängelse, Colton Jurisic, bosatt i Iowa, krävdes böter på över 9,5 miljoner dollar med 42 månaders fängelse, Reyad Gafar Abbas, en bosatt i South Carolina, beordrades böter på över $310 000 med 2 års fängelse.
Conor Freedman, en irländsk bosatt, dömdes tidigare till tre års fängelse av den irländska domstolen, medan Ryan Stevenson, bosatt i Connecticut, också dömdes till skyddstillsyn efter att ha erkänt sig skyldig av District of Connecticut.
Endicotts dom kom direkt efter två veckor efter att Federal Communications Commission (FCC) föreslog några nya lagar för att bekämpa SIM-byte. FCC kräver att leverantörer väljer bättre säkerhetsmetoder för autentisering av en persons identitet innan de överför sin tjänst till en ny operatör eller mobiltelefon.
FCC föreslog också en regel om att leverantörerna meddelar sina kunder varje gång en begäran om port-out eller SIM-byte görs från deras konton.
Det här är inte den första kampanjen för SIM-byte som lyfts fram. Tidigare i september resulterade ett bedrägeri med SIM-kapning på flera miljoner i intrång i användarnas mobiltelefon- och sociala medier-konton. Även om Europol arresterade över 100 cyberkriminella inblandade i SIM-byte och penningtvätt, finns det många fler kvar.