Jonathan Katz, ex manager presso un’azienda di telecomunicazioni in New Jersey, ha dichiarato di aver accettato denaro per eseguire scambi di SIM (sim swap) non autorizzati, consentendo a un complice di hackerare gli account dei clienti. Lo scambio di SIM, che trasferisce il numero di telefono di una persona su un’altra SIM fisica o chip eSIM controllato dall’attaccante, è spesso realizzato attraverso attacchi di ingegneria sociale contro gli agenti del servizio clienti o tramite insider nelle compagnie mobili.
Questi attacchi mirano a controllare il numero di telefono della vittima per ricevere password monouso basate su SMS (OTP) utilizzate come parte della protezione dell’autenticazione a due fattori su account online. Ricevere questi codici permette agli attaccanti di prendere il controllo degli account delle vittime utilizzando credenziali rubate, tipicamente acquisite tramite phishing o altre violazioni di dati.
Nonostante i fornitori di servizi di telecomunicazione abbiano implementato misure per prevenire tali eventi di trasferimento del numero senza il coinvolgimento o l’autorizzazione del proprietario, Katz ha abusato della sua posizione manageriale e dell’account altamente privilegiato presso un negozio di telecomunicazioni mobile per superare le misure di sicurezza ed eseguire trasferimenti di numero non autorizzati.
Katz, noto anche come “Luna”, ha effettuato SIM swap tra il 10 e il 20 maggio 2021, mentre era manager per una società di telecomunicazioni. I documenti del tribunale indicano cinque vittime in Wyoming, New Jersey, California e Tennessee. Le azioni di Katz hanno permesso al suo complice di dirottare i numeri di telefono mobili delle vittime e successivamente ottenere l’accesso a account tra cui email, social media e portafogli di criptovalute.
Per effettuare il trasferimento di numero non autorizzato, Katz ha ricevuto 1.000 dollari in Bitcoin per ogni scambio di SIM (per un totale di 5.000 dollari), oltre a una percentuale non specificata dei profitti ottenuti dall’accesso illecito ai dispositivi delle vittime.
Katz rischia una pena massima statutaria di cinque anni di carcere e una multa fino a 250.000 dollari o il doppio del guadagno finanziario o della perdita derivante dal crimine. La sentenza è prevista per il 16 luglio 2024.