Les cyber-pirates utilisent des escroqueries sur carte SIM pour voler de l'argent et des informations
La toute première carte SIM a été développée il y a environ 29 ans, en 1991. À heure actuelle, il y a de bonnes chances qu il y ait au moins une carte SIM très près de chez vous, et bien que vous y pensiez rarement, la vie sans cette petite puce de silicium intégrée dans un morceau de plastique serait très différent. En matière de communication sans fil, les cartes SIM sont indispensables et, depuis quelques années, elles nous aident également à nous connecter à Internet en déplacement. Nous ne mentionnerons même pas les armées de gadgets Internet des objets compatibles SIM qui deviennent de plus en plus courantes. impact des cartes SIM sur notre vie quotidienne est considérable, mais il pourrait être encore plus important si des fraudeurs décidaient de les abuser.
Table of Contents
Échange de carte SIM en action
Le site financier britannique ThisIsMoney.co.uk a récemment publié le récit de Ryan Finnegan , un écossais de 37 ans qui a vu son compte en banque épuiser après une attaque par échange de carte SIM. Nous avons déjà parlé échanges de cartes SIM par le passé, et le récit de Ryan Finnegan montre à quel point cette technique peut être impitoyablement efficace.
Tout a commencé lorsque M. Finnegan a reçu un texto de Tesco Mobile, son fournisseur de services de communication mobile, le remerciant avoir contacté le service clientèle de la compagnie de téléphone. Le fait était qu il avait en fait contacté aucun membre du service clientèle. Il a appelé Tesco Mobile qui lui a dit que quelque chose de suspect pourrait bien se passer, mais comme il y avait rien de mal visiblement dans son compte, il y avait pas lieu de inquiéter.
Le conseil "ne pas transpirer" était mauvais. Peu de temps après, il a reçu un autre message texte, cette fois de la part du TSB, de sa banque. Cela confirmait son inscription à la banque en ligne, ce qui était étrange compte tenu du fait qu il avait précédemment décidé de ne plus utiliser le système bancaire en ligne. Avant de pouvoir réagir, les fraudeurs avaient siphonné 2 500 £ du compte bancaire de M. Finnegan.
Les opérateurs télécoms et leur rôle dans échange de cartes SIM
Nous avons déjà expliqué comment la plupart des cyberattaques reposaient sur une ingénierie sociale simple plutôt que sur des pirates ultra sophistiqués et des exploits du jour zéro. Lorsque les criminels décident de jouer à des tours de passe-passe, ils se tournent le plus souvent directement vers la victime. Avec la permutation de cartes SIM, ils utilisent leurs compétences en ingénierie sociale dans les départements de service à la clientèle des entreprises de télécommunications.
Le travail un échangeur de cartes SIM consiste à convaincre le fournisseur de services de transférer le numéro de la victime sur une autre carte SIM. Comme vous pouvez le constater dans le cas de M. Finnegan, cela leur permet usurper identité de la cible et de causer toutes sortes de dommages, notamment en contournant authentification à deux facteurs et en volant de argent.
Dans le passé, transférer un numéro de téléphone sur une nouvelle carte SIM signifiait se rendre au bureau de la compagnie de téléphone et fournir une forme identité.. Par souci de commodité, les entreprises de télécommunications vous permettent maintenant de le faire par téléphone, même si le numéro depuis lequel vous appelez est pas celui que vous essayez de transférer.
Au cours de son enquête, ThisIsMoney.co.uk a interrogé certains des principaux fournisseurs de services de téléphonie mobile du Royaume-Uni sur les procédures à suivre lorsqu un numéro est transféré par téléphone. Tesco Mobile a préféré ne pas commenter, mais le rapport suggère qu il tourne autour une question de sécurité. Dans le cas de M. Finnegan, la question était "Quelle est votre couleur préférée?" apparemment, et les échangeurs de cartes SIM ont passé cinq appels consécutifs au service clientèle avant de deviner la réponse. Malgré cela, Tesco Mobile a rien remarqué de suspect.
Les autres fournisseurs de services ont répondu à ThisIsMoney.co.uk et la plupart entre eux ont révélé qu ils dépendaient également de questions de sécurité. Les failles de ce mécanisme d’authentification particulier ont été longuement débattues. En effet, la plupart des compagnies de téléphone exigent des informations supplémentaires avant autoriser le transfert de numéro, mais malgré cela, à ère des réseaux sociaux, la simple présence une question de sécurité comme moyen de vérifier identité un utilisateur est pas acceptable.
Que peuvent faire les utilisateurs de la permutation de la carte SIM?
Ryan Finnegan a fini par récupérer son argent, ce qui est une bonne nouvelle, mais il est juste de dire que beaucoup autres personnes comme lui ne seront pas aussi chanceuses. Dans tous les cas, prévenir une attaque est moins stressant que essayer de en remettre. Alors que peux-tu faire?
Comme toujours, la première étape consiste à connaître la menace et à se rendre compte qu’elle est bien réelle. Il est facile de penser que les arnaqueurs ne embarrasseront pas de Joe Average, mais Action Fraud, un service de signalement britannique de la cybercriminalité, a enregistré près de 550 attaques de permutation de cartes SIM réussies en espace de trois ans, ce qui prouve que cela ne se produira pas pour moi "la mentalité ne va pas vous rendre service.
Découvrez comment votre opérateur de télécommunications gère les transferts de numéros de téléphone et réfléchissez à ce que vous pouvez faire pour tirer le meilleur parti des mécanismes qui vous sont imposés. Parfois, vous ne pouvez pas échapper aux questions de sécurité, mais vous pouvez les rendre un peu plus utiles pour protéger vos données. Les fraudeurs sont peu susceptibles de deviner, par exemple, que le nom de votre chien est "monoxyde de dihydrogène".
Dernier point mais non le moindre, soyez à affût de tout ce qui est suspect et, en cas de problème, ne perdez pas de temps à le signaler aux vendeurs responsables.
