L’échange de cartes SIM est un type de fraude qui permet aux criminels de voler votre identité en détournant le numéro de téléphone en obtenant un double de votre carte SIM.
Malheureusement, tout le monde ne sait pas qu’il y a quelque chose sur notre téléphone mobile qui peut être d’un grand intérêt pour les criminels et qui peut transformer le vol de données et le vol d’identité en vol d’argent à partir de notre compte bancaire ou de notre portefeuille de crypto-monnaie.
Les phases de l’échange de cartes SIM
Cette technique n’est pas la conséquence d’une faille de sécurité dans nos appareils, mais plutôt de l’absence de mise en œuvre de protocoles de vérification stricts lors de la demande d’une copie de notre carte SIM. De plus, cette technique est utilisée en conjonction avec d’autres techniques d’ingénierie sociale afin d’obtenir des avantages, car ce que les criminels recherchent dans ce cas est d’accéder aux codes de vérification que les entreprises, les plateformes et les entités bancaires nous envoient généralement sur nos appareils mobiles.
Dans une première phase, les criminels tentent d’obtenir les informations d’identification de l’utilisateur; normalement ceux liés à la banque en ligne pour maximiser les avantages économiques, même si, comme nous le verrons plus loin, ce n’est pas le seul objectif. Le vol d’informations d’identification est généralement effectué à l’aide de techniques d’ingénierie sociale traditionnelles, telles que, par exemple, l’utilisation de sites Web frauduleux vers lesquels l’utilisateur est redirigé à partir d’un lien envoyé par e-mail ou via une fausse application mobile qui usurpe l’identité de la banque de l’entité.
Une fois les identifiants obtenus, les criminels tentent d’obtenir un clone de la carte SIM de la victime afin de recevoir les codes de vérification par SMS (double facteur d’authentification). Pour cela, les cybercriminels profitent des mauvaises mesures de vérification d’identité que certains opérateurs demandent souvent. Après avoir collecté les informations personnelles de leurs victimes, par exemple via les réseaux sociaux, ils passent un appel ou se présentent physiquement dans un magasin de la compagnie de téléphone responsable de la carte SIM qu’ils souhaitent cloner pour demander un duplicata de la carte. Il arrive souvent que les utilisateurs réalisent qu’il y a un problème lorsqu’ils cessent d’avoir un signal sur leur téléphone.
AUSSI: Découvrez comment Jack Dorsey a perdu son compte Twitter avec une attaque par échange de carte SIM et comment l’empêcher ici.
Il n’est pas rare de voir que les criminels n’ont pas trop d’obstacles lorsqu’il s’agit d’obtenir ce duplicata de la carte SIM et c’est un problème sérieux. Une fois ce duplicata obtenu, les criminels peuvent entrer sur le compte bancaire de la victime, effectuer des virements ou même demander des crédits en leur nom. Lors de la confirmation de l’opération, ils n’auront aucun problème, car ils reçoivent les messages avec le double facteur d’authentification (2FA) sur la SIM clonée.
Autres types d’attaques par échange de carte SIM
Les criminels ne cherchent pas seulement à accéder aux comptes bancaires de leurs victimes. D’autres actifs précieux comprennent les portefeuilles de crypto-monnaie ou les comptes de service en ligne tels que; par exemple, ceux de Google.
Dans ce dernier cas, si les cybercriminels ont obtenu les identifiants de la victime, ils peuvent contourner le 2FA en demandant un code à usage unique envoyé par SMS. Une fois qu’ils ont accédé au compte, ils peuvent avoir le contrôle de notre compte de messagerie, de nos contacts, etc.
On peut en dire autant de l’accès à d’autres services, tels que Facebook, Instagram, Tik Tok ou similaire; quelque chose qui peut ruiner la réputation en ligne de la victime et dont les criminels profitent pour la faire chanter. Ils pourraient, par exemple, obtenir des photos et des conversations engageantes et menacer de les rendre publiques à moins qu’un montant ne soit accepté.
Il ne faut pas non plus oublier les autres applications que nous utilisons habituellement pour effectuer des virements et qui nous permettent également de stocker de l’argent. Un exemple clair serait PayPal, qui incorpore également un 2FA sous la forme d’un message SMS et que, au cas où les criminels obtiendraient les informations d’accès et un clonage de la carte SIM, ils pourraient non seulement retirer les fonds économisés, mais aussi usurper l’identité de nous. pour demander de l’argent à nos contacts.
Faire face à l’échange de cartes SIM
Lutter contre cette menace nécessiterait de repenser complètement la procédure de vérification d’identité qui est encore menée par de nombreuses banques et services en ligne. Malheureusement, il n’est pas toujours possible d’utiliser la méthode 2FA que nous souhaitons utiliser et cela nous oblige à prendre des mesures plus drastiques. L’une de ces mesures serait de contacter notre opérateur et de s’assurer qu’aucun clonage de notre carte ne sera effectué à moins que nous ne le demandions en personne dans un magasin ou un bureau avec un document qui nous identifie.
Dans tous les cas, pour que cette mesure fonctionne, l’opérateur doit être en mesure de se conformer strictement à nos exigences, ce qui est assez difficile dans certains cas. Comme si cela ne suffisait pas, on a connu des cas dans lesquels des criminels avaient la collaboration d’employés de l’opérateur mobile, ce qui rend plus difficile le blocage de cette mauvaise pratique.
