SIM swap: Un Hacker écope de 10 ans de prison

Un étudiant de 20 ans qui a dérobé plus de 5 millions de dollars en cryptomonnaie en utilisant la technique SIM swap a plaidé coupable et accepté une sentence de 10 ans de prison.

Ortiz avait été arrêté l’année dernière après avoir été accusé du vol de plusieurs millions de dollars en cryptomonnaie. On compte environ 40 personnes parmi ses victimes. Il a utilisé une méthode communément appelé “SIM swap,” qui consiste à cloner le numéro de téléphone de quelqu’un sur une autre carte SIM.

Comment a-t-il effectué le SIM swap?

Le hacker utilise l’ingénierie sociale (social engineering) en se faisant passer pour sa victime et en demandant à l’opérateur un “SIM swap“. Bien entendu ils donnent une raison quelconque, par exemple: “J’ai perdu ma carte SIM”.

Les hackers essayent de convaincre l’opérateur de télécommunications qu’ils sont propriétaires du numéro de téléphone qu’ils essayent de “swapper” en fournissant des données personnelles de la cible (numéro de sécurité sociale, adresses etc…).

sim swap

Le criminel a donc accès au numéro de téléphone de sa cible, ce qui lui permet d’obtenir des mots de passes uniques, des codes de vérification et l’authentification à deux facteurs pour faire un reset du mot de passe et avoir accès aux comptes de réseaux sociaux, d’emails, de banques et de cryptomonnaies.

Le SIM swap est de plus en plus populaire chez les cybercriminels. Joel Ortiz, est la première personne qui finit en prison pour ce crime.

La sentence officielle de Joel Ortiz est programmée pour le 14 Mars 2019.

Comment se protéger?

Face à ces techniques élaborées, les services sont contraints de s’adapter. En octobre 2018, Instagram a annoncé la sortie d’une alternative pour la double authentification, afin de limiter le risque de vol de compte. Depuis, il est possible d’utiliser une application dédiée pour sécuriser son profil. Il faut dire qu’Instagram avait été quelque peu mis en difficulté par les médias quelques mois plus tôt.

À l’été 2018, les investigations de Motherboard avaient révélé que des tiers malveillants piratent des cartes SIM d’utilisateurs d’Instagram pour revendre des identifiants contre des bitcoins. D’après le média, ces comptes volés peuvent valoir entre 500 et 5 000 dollars. Certains pirates impliqués dans ces manœuvres auraient réussi à revendre des identifiants pour l’équivalent de 40 000 dollars en bitcoins.

Pointé du doigt pour sa vulnérabilité au hack par carte SIM, Instagram avait confirmé à nos confrères de TechCrunch qu’il réfléchissait à une solution d’identification à deux facteurs, qui ne nécessite pas l’envoi d’un SMS à un numéro de téléphone. Cependant, des indices publiés sur Twitter avaient montré qu’Instagram travaillait en fait déjà sur ce projet. Le papier de Morherboard n’a fait que précipiter les choses.

Les différentes solutions pour se protéger de ce genre d’attaques sont déjà là mais la technique de Sim swap a encore de beaux jours devant elle.

Si cet article vous plu, jetez un œil à notre précédent article.

Source: Motherboard

Poster un Commentaire

avatar
  S’abonner  
Notifier de