L'échange de cartes SIM est une cybercriminalité croissante quicible votre numéro de téléphone. Dans cette attaque, les criminels trompent ou escroquent les opérateurs de téléphonie mobile pour qu'ils transfèrent votre numéro sur une carte SIM qu'ils contrôlent.
Tout commence par l'accès ; une fois qu'ils l'ont compris, ilspeut intercepter des appels et des SMS, réinitialiser les mots de passe, et même pirater vos comptes personnels (comme les e-mails, les services bancaires et les réseaux sociaux). Les dégâts peuvent être dévastateurs, depuis l’usurpation d’identité et l’épuisement des comptes bancaires jusqu’à la perte totale du contrôle numérique.
Quelle est la solution ? Sécuriser vos comptes mobiles avec des codes PIN forts, activer des applications d'authentification à deux facteurs au lieu de codes SMS et surveiller les activités inhabituelles peut vous y aider. Il vous suffit d’être très prudent et d’adopter les précautions nécessaires. Cel'article explique tout sur l'échange de carte SIM, comment il s'effectue et comment vous protéger.
Une carte SIM est liée à un numéro IMSI (International Mobile Subscriber Identity). Un échange de carte SIM est essentiellement le crimeconvaincre l'opérateur d'associer votre numéro de téléphone à un nouvel IMSI(sur leur carte SIM).
Le terme technique désignant le processus de transfert de numéro entre opérateurs est « portage », mais un échange de carte SIM se produit souvent au sein du même opérateur, c'est pourquoi le « gel du port » et le « verrouillage du numéro » sont des défenses distinctes.
Lors d'une attaque par échange de carte SIM,un criminel contrôle votre numéro de téléphone en faisant identifier une carte SIM autre que la vôtre comme propriétaire d'un tel numéro.
Voler votre numéro signifie que les escrocs en question ont effectué un travail préalable. Ils ont commencé par collecter autant d’informations personnelles sur vous que possible, de toutes les manières possibles. Pour eux, tout est permis, alors ne vous attendez pas à de l’honneur.
La première étape consiste pour l’escroc à appeler votre opérateur de téléphonie mobile.Ils prétendront que leur carte SIM est perdue ou endommagée. Heureusement, ils en ont déjà une de rechange en place, et il leur suffit qu'un agent active cette nouvelle carte SIM pour que tout redevienne normal. Au fur et à mesure que l’entreprise répond à la demande, votre numéro migre effectivement vers l’appareil du fraudeur.
Et comment pourraient-ils répondre aux questions de sécurité posées par votre fournisseur ? Comment ont-ils vérifié votre identité auprès de l’agent du service client ? C'est pourquoiils ont collecté des données sur vous au préalable. Cela peut être dû à des attaques de phishing, à des logiciels malveillants, à des recherches sur les réseaux sociaux ou à une combinaison des deux.
Par exemple, ils vous ont peut-être envoyé un e-mail soi-disant depuis votre opérateur de téléphonie mobile. Le message aurait inclus un lien sur lequel vous devez cliquer immédiatement, sinon votre compte sera annulé. Alors vous cliquez. Etvous arrivez sur une nouvelle pagequi vous demande des informations personnelles telles que des mots de passe, des anniversaires, des noms, etc.
Leles criminels les plus audacieux vous demanderont même votre numéro de sécurité sociale. Alors vous remplissez tout, vous cliquez sur « envoyer ». Les méchants disposent de suffisamment d’informations pour persuader votre opérateur de téléphonie mobile qu’il s’agit de vous et que leur nouvelle carte SIM est légitime.
Autreles escrocs vous feront cliquer sur un lien email qui vous mènera à la page Web principale du malware, où de méchants morceaux de code arriveront dans votre système. Le malware comprendra un enregistreur de frappe, afin qu'il obtienne vos mots de passe, les réponses aux questions de sécurité et tout ce que vous tapez. C'est donc une autre manière par laquelle l'agresseur acquiert les informations nécessaires pour commettre un meurtre, au sens figuré.
Enfin et surtout,vos informations personnelles peuvent être disponibles à la vente sur le dark web.
Une fois que les méchants contrôlent votre numéro, ils peuvent l’utiliser pour s’emparer de vos communications, de vos comptes bancaires, de vos SMS et de vos liens vers d’autres organisations.Tout code envoyé à votre téléphone pour réinitialiser les mots de passe ou passer les portes 2FA leur sera attribué, pas toi. Et c’est tout ce dont ils ont besoin.
Une fois qu’ils peuvent commander des virements depuis votre compte, obtenir de l’argent est une tâche accessible grâce à de nombreuses astuces. Par exemple, créer un autre compte à votre nom. Avec moins d’exigences de sécurité, ce sera facile car vous êtes déjà client d’une banque. Et l’argent transféré entre ces deux comptes ne déclenchera aucune alerte de sécurité.
Les informations vous concernant dans votreprofils de réseaux sociauxpeut aider les escrocs à usurper l'identité de vous alors qu'ils se préparent à effectuer un échange de carte SIM sur vous.
Les réponses à vos questions de sécurité (comme le nom de jeune fille de votre mère ou le nom de votre lycée) pourraient se trouver survotre Facebookou une autre plateforme. Mais malheureusement, ces gars-là savent comment creuser profondément et créer un profil Facebook pour obtenir la dernière goutte d’informations potentiellement utiles.
Cependant, les réseaux sociaux et les échanges de cartes SIM ont du bon :ces plateformes peuvent également vous alerter lorsque vous êtes en difficulté.
Nul autre que le PDG de Twitter, Jack Dorsey, a été victime d'un échange de natationil n'y a pas si longtemps. Premièrement, ils ont piraté son compte Twitter et pris possession de son numéro de téléphone. Les hackers ont ensuite passé 15 minutes à s’amuser en utilisant le Twitter de M. Dorsey pour poster des messages offensants. Ils ont donc eu leurs 15 minutes de gloire, et c'était fini.
Et comment ont-ils réussi à faire passer ce tour à une personnalité aussi en vue ? De la même manière, nous l’avons décrit jusqu’à présent. De plus, ils ont utilisé la fonctionnalité de texte vers tweet de Cloudhopper pour publier les tweets.
Les arnaques à l’échange de carte SIM deviennent à la mode
Le FBI a récemmenta rapporté quel'arnaque à l'échange de carte SIM devient de plus en plus populaire parmi les criminels numériques. Au cours de l’année dernière, l’agence a enregistré 1 611 rapports d’échange de cartes SIM. Les dommages financiers ont presque atteint 68 millions USD.
Cette augmentation est spectaculaire si l’on considère qu’au cours des deux années précédentes, seuls 320 échanges ont eu lieu (apparemment) et les dégâts se sont élevés à 12 millions de dollars.
Voyons un exemple plus récent. En janvier 2022, un habitant de Tampa n’a pas réussi à se connecter à son compte Coinbase, une plateforme de trading de crypto-monnaie. Une chaîne de télévision locale de Tampa Bay (WFTS)signaléque le même homme a découvert qu'il ne pouvait plus passer d'appels téléphoniques ni envoyer de SMS par la suite. Bien sûr, vous avez probablement déjà compris qu'il a été victime d'un échange de carte SIM.
Ainsi, M. Tampa a perdu environ 15 000 USD de ses actifs numériques.
Les signes d'un échange de carte SIM
Si vous êtes victime d'une fraude au swap de carte SIM, vous devez en prendre conscience au plus vite, vous devez donc connaître les signes avant-coureurs. Plus tôt vous réagissez et résolvez le problème, moins vous devrez absorber de dégâts.
Vous ne pouvez pas passer d'appels téléphoniques ni envoyer de messages SMS
Essayez-vous de passer un appel téléphonique ou d'envoyer un SMS, mais vous continuez à recevoir des messages d'erreur ? C’est le premier signe d’un échange de carte SIM en cours.
De nouvelles notifications vous informent d'autres activités
Si votre opérateur de téléphonie mobile vous informe que votre carte SIM ou votre numéro de téléphone est actif sur un autre appareil, ce n'est pas un signe mais une certitude que vous êtes au milieu d'une arnaque à l'échange de carte SIM.
Vous ne pouvez pas utiliser vos comptes
Vos identifiants de connexion sont inutiles pour vous accorder l’accès à certains de vos comptes – il n’est pas nécessaire qu’il s’agisse de tous les comptes que vous possédez.
Vous voyez des transactions que vous n’avez pas effectuées
Si vous voyez un groupe de transactions sur votre relevé de carte de crédit que vous êtes presque sûr de ne pas avoir effectuées, cela pourrait indiquer un échange de carte SIM. Quelqu'un utilise votre carte de crédit pour payer des choses à vos frais sans votre autorisation. Bien qu’une attaque par échange de carte SIM ne soit pas la seule cause de cela, c’est une possibilité.
C'est ce qui est arrivé à Jack Dorsey dans l'un de nos exemples précédents. De nombreux tweets qu'il n'avait pas envoyés l'ont alerté que son numéro avait été détourné.
Comment se protéger contre la fraude par échange de carte SIM
L’échange de cartes SIM peut créer des tragédies aux proportions épiques. Soyez proactif, renseignez-vous sur votreoptions de sécurité sur Android,iPhone, ou tout autre appareil que vous possédez, et évitez de devenir une victime avant qu’il ne soit trop tard.
Protégez votre appareil et votre SIM
Votre téléphone prend en charge plusieurs méthodes de protection, telles que la reconnaissance faciale, les modèles, les mots de passe, la numérisation d'empreintes digitales et les codes PIN.
Chacun que vous utilisez ajoute plus de sécurité.
Il serait également utile de protéger votre carte SIM physique. Par exemple,tu peux lui donner un code PINil se verrouille donc à chaque redémarrage de votre téléphone.
Verrouillez votre numéro de téléphone
De nombreux opérateurs de téléphonie mobile ont des gels de ports ou des verrouillages numériques. Ces fonctionnalitésassurez-vous que votre numéro ne peut pas être transféré à un utilisateur non autorisé. Une fois le verrouillage actif, le numéro doit rester dans votre carte SIM actuelle jusqu'à ce que le verrouillage soit supprimé.
Choisissez correctement vos questions de sécurité et vos mots de passe
Non, votre anniversaire n'est pas un bon choix de code PIN ou de mot de passe. Et votre deuxième prénom non plus.
Bons mots de passedevrait être impossible à deviner. Toicommencez par quelque chose de plus de 12 caractères, y compris des lettres dans les deux cas, des chiffres et d'autres symboles. De plus, chacun de vos comptes nécessite un mot de passe distinct.
Est-il difficile de mémoriser un grand nombre de mots de passe solides et longs ? Malheureusement, oui. C'est pourquoi vous devriez égalementutiliser un gestionnaire de mots de passe.
Authentification à deux facteurs
C'est facile etun moyen rapide d'améliorer votre sécurité. Veuillez allumerla fonctionnalité 2FAsur l’une des plateformes en ligne qui le proposent. Choisissez de vous authentifier via Google Authenticator ou Authy au lieu des messages SMS.
échange de carte SIMexpose la faiblesse critique du 2FA (OTP) basé sur SMS. Cela repose sur la sécurité de votre opérateur de téléphonie mobile, qui peut être socialement conçue. Les codes d'application d'authentification (comme ceux de Google Authenticator ou Authy) sont générés localement sur votre appareil et ne sont pas transmis sur le réseau mobile, ce qui les rend immunisés contre une attaque par échange de carte SIM.
Activer l'authentification biométrique
Les données biométriques ont besoin de votre présence pour fonctionner, ce qui les rend plus sécurisées que les mots de passe, 2FA ou les codes PIN.
Allez plus loin chaque fois que vous le pouvez et utilisez la biométrie 2FA.
Limitez vos informations personnelles disponibles en ligne
Ne pourriez-vous pas faire le travail des escrocs à leur place ? Par exemple, ne partagez pas trop d'informations en ligne sur vous-même au risque d'échanger votre carte SIM de la manière que nous avons expliquée ici.
Les tentatives de phishing existent. Savoir
Le phishing est lele plus démodéforme d'ingénierie socialeet le piratage. Cela implique de usurper l'identité d'organisations légitimes telles que votre banque, des institutions gouvernementales et des autorités sanitaires dans des courriers électroniques et d'autres moyens de communication. Le criminel compte sur votre confiance dans ces institutions pour fournir des réponses rapides.
Cela dit, aucune de ces institutions ne vous enquêtera jamais pourdonnées personnelles en ligne.