Le 12 juillet, la police de Los Angeles a arrêté un étudiant de 20 ans, originaire de Boston, à l’aéroport international de LA.
En partance pour l’Europe, il était en possession d’un sac Gucci : une pièce de son butin, qui en compte beaucoup d’autres, et que les procureurs supposent ont été achetées grâce au gain en cryptomonnaie réalisé via des escroqueries de type SIM Swap.
Ils accusent Joel Ortiz de piratage de numéros de téléphone dans le but de voler les Bitcoins et d’autres cryptomonnaies. Ortiz fait actuellement face à 28 chefs d’accusation : 13 pour vol d’identité, 13 pour piratage informatique et deux chefs pour vol de grande envergure, selon la plainte déposée contre lui la veille de son arrestation, et obtenue par Motherboard.
Ortiz aurait piraté environ 40 numéros de téléphone de victimes avec l’aide d’une bande de scammeurs. Ses acolytes n’ont pas encore été nommés, selon des documents du tribunal. Tous ensemble, ces cybercriminels auraient volé 5 millions de dollars (environ 4,4 millions €), y compris à des investisseurs en cryptomonnaie, lors d’une conférence sur la blockchain appelée Consensus, et organisée par CoinDesk.
Parmi les documents du tribunal, on pouvait trouver une capture d’écran qui donnait un aperçu glaçant du contrôle que ces escrocs pouvaient avoir sur nos vies. En effet, ils avaient obtenu suffisamment d’informations sur nous pour convaincre nos opérateurs de téléphonie qu’il s’agissait bien de nous en train de les appeler pour transférer notre propre numéro de téléphone vers une nouvelle carte SIM :
“Salut papa, je t’aime”, a envoyé par texto la fille de l’un des investisseurs victime présumée des pirates à la cryptomonnaie.
La réponse : “DIS A TON PÈRE DE NOUS DONNER DES BITCOINS”.
Les escroqueries de type SIM Swap existent depuis des années. Il en va de même pour les arnaques aux cryptomonnaies, exploitant Twitter pour soutirer des devises numériques à des utilisateurs naïfs (le mois dernier, un escroc a même réussi à compromettre un compte Twitter certifié), pillant les plateformes d’échange (parfois par le biais d’individus en chair et en os munis de véritables armes à feu), ou en ciblant des centaines de serveurs utilisés pour miner les devises numériques.
Mais le délit dont Ortiz est accusé ici concerne, pour la première fois, un prétendu escroc à la carte SIM, qui aurait volé de la cryptomonnaie.
Comme nous l’avons expliqué, les SIM Swap fonctionnent car les numéros de téléphone sont en réalité liés à la carte SIM du téléphone. En fait, la carte SIM est l’abréviation de Subscriber Identity Module, une carte spéciale avec un système intégré à une puce, qui stocke de manière sécurisée tous les secrets cryptographiques qui permettent d’identifier votre numéro de téléphone vis-à-vis du réseau.
La plupart des magasins de téléphonie mobile peuvent émettre et activer des cartes SIM de remplacement rapidement, entraînant la désactivation de votre ancienne carte et l’activation de la nouvelle, prenant ainsi le contrôle de votre numéro de téléphone … et de votre identité par la même occasion !
Cette procédure est plutôt pratique lorsque vous recevez un nouveau téléphone ou que vous perdez l’actuel : votre opérateur de téléphonie se fera un plaisir de vous vendre un nouveau téléphone, avec une nouvelle carte SIM, et le tout avec votre ancien numéro. Mais si un escroc à la carte SIM peut obtenir suffisamment d’informations à votre sujet, il lui suffit de prétendre qu’il s’agit bien de vous, et par une astuce d’ingénierie sociale, il associe votre numéro de téléphone à une nouvelle carte SIM sous son contrôle.
C’est ainsi que la fille de l’investisseur a réussi à envoyer un message disant “Je t’aime” au voleur qui avait le numéro de téléphone de son père : elle a juste envoyé un texto au même numéro comme elle l’a toujours fait.
Malheureusement, il en va de même pour toutes les communications concernant vos comptes sensibles, comme les comptes bancaires : tout est sous le contrôle du cybercriminel en question lorsque vous avez été victime d’une escroquerie SIM Swap.
Les banques ont généralement envoyé les codes d’autorisation nécessaires si le 2FA ou 2SV sont activés, à savoir une authentification à deux facteurs ou une vérification en deux étapes, par SMS pour finaliser une transaction financière. Heureusement, cela devient de moins en moins courant : en effet, en 2016 le National Institute for Standards and Technology (NIST) américain a publié de nouvelles directives interdisant l’authentification par SMS dans le 2FA. Outre les risques de sécurité liés à la portabilité des téléphones mobiles, des problèmes liés à la sécurité lors de l’acheminement inclus des malwares capables de rediriger les messages texte et des attaques contre le réseau de téléphonie mobile, tel que le piratage SS7.
En volant votre numéro de téléphone, les escrocs ont également volé l’accès à vos codes 2FA, du moins jusqu’à ce que vous réussissiez à convaincre vos fournisseurs de service qu’un individu a piraté votre compte.
Entre temps, les cybercriminels auront profité de cette opportunité pour :
- Modifier autant de paramètres de profil que possible sur votre compte.
- Ajouter de nouveaux comptes de destinataires de paiement appartenant à des complices.
- Effectuer des paiements depuis votre compte, en s’assurant de pouvoir les récupérer rapidement en espèces, et disparaitre à tout jamais.
En modifiant les paramètres de votre compte, il est plus difficile pour la banque de détecter cette fraude et de convaincre cette dernière que quelque chose ne va pas.
Mais revenons au cas d’Ortiz : il était membre de OGUSERS, une marketplace dédiée à la vente de comptes en ligne et de biens virtuels, mais aussi un marché parallèle pour les comptes Instagram et Twitter volés et de valeur. Les escrocs SIM Swap sont également connus pour vendre des comptes volés sur le site.
Motherboard a parlé à un investisseur en cryptomonnaie qui a été attaqué lors de la conférence Consensus et qui aurait perdu près de 1,5 million de dollars (environ 1.3 millions €) obtenu par crowdfunding via une Initial Coin Offering (ICO). Il s’agissait de l’une des trois attaques, au moins, lancées au cours de cette conférence.
L’investisseur a demandé l’anonymat, craignant d’être à nouveau pris pour cible. Il a déclaré à Motherboard que le premier signe de ce SIM Swap est apparu quand il a constaté qu’il n’y avait plus d’activité sur son téléphone. Il a compris ce que cela signifiait, étant donné que la veille, le même problème était arrivé à un ami.
Nous étions en réunion et tout à coup, il a dit : “Zut, mon téléphone vient de s’arrêter de fonctionner”.
Plus tard dans la journée, l’investisseur a déclaré que son ami lui avait envoyé un texto disant :
Ma satanée carte SIM a été piratée !
Les documents du tribunal supposent qu’Ortiz a pris le contrôle du numéro de téléphone de l’entrepreneur en question, réinitialisé son mot de passe Gmail, puis obtenu l’accès à ses comptes de cryptomonnaie. Se rendre dans une boutique AT&T pour récupérer son numéro ne servait à rien. En effet, à ce moment-là, il était déjà trop tard !
Erin West, la procureure adjointe du comté de Santa Clara, a déclaré à Motherboard que beaucoup de personnes se faisaient arnaquer par ces SIM Swap, mais peu faisaient la démarche de venir les signaler … Alors si vous avez été piraté, elle vous demande impérativement de LES SIGNALER :
Cela se produit dans notre communauté et, malheureusement, il n’y a peu de plaintes déposées auprès des forces de l’ordre. Nous souhaiterions avoir l’occasion d’examiner davantage de plaintes à ce sujet. Nous pensons qu’il s’agit d’un acte malveillant sous-déclaré et très dangereux.
L’audience de plaidoirie d’Ortiz est prévue pour le 9 août. Sa caution a été fixée à 1 million de dollars (à peu près 870 000 €).
Quoi faire ?
L’année dernière, nous avons signalé la tendance croissante des cybercriminels utilisant des SIM Swap pour vider des comptes. 14 mois plus tard, peu importe que ces derniers s’attaquent à des monnaies digitales plutôt qu’à des devises non numériques : les précautions que nous pouvons tous prendre pour éviter de devenir les prochaines victimes restent les mêmes.
Voici un rappel de ces précautions :
- Surveillez les emails de phishing ou les faux sites web que les cybercriminels utilisent pour récupérer vos noms d’utilisateur et mots de passe en premier lieu. En règle générale, les cybercriminels SIM Swap ont besoin d’accéder à vos messages texte en dernier lieu, signifiant ainsi qu’ils sont déjà en possession de votre numéro de compte, votre nom d’utilisateur, votre mot de passe, etc.
- Évitez les réponses évidentes aux questions de sécurité de vos comptes. Pensez à utiliser un gestionnaire de mots de passe pour générer des réponses absurdes et impossibles à deviner, en rupture par rapport au genre de questions que les cybercriminels pourraient trouver sur vos comptes de réseaux sociaux. Ces derniers pourraient deviner que votre première voiture était une Toyota, mais ils sont beaucoup moins susceptibles de deviner qu’il s’agissait d’une
87X4TNETENNBA
. - Utilisez un anti-virus on-access (temps réel) et mettez-le à jour. Un moyen courant pour les cybercriminels de récupérer les noms d’utilisateur et les mots de passe est d’utiliser un malware de type keylogger, qui reste discret jusqu’à ce que vous visitiez des pages web spécifiques telles que la page de connexion à votre banque et se réveille alors soudainement afin d’enregistrer votre saisie lors de la connexion. Un antivirus en temps réel vous aidera à bloquer les liens web dangereux, les pièces jointes infectées et les téléchargements malveillants.
- Méfiez-vous si votre téléphone bascule en mode “appels d’urgence uniquement” de manière inattendue. Consultez des amis ou des collègues sur le même réseau pour voir s’ils rencontrent également des problèmes. Si vous en avez besoin, empruntez le téléphone d’un ami pour contacter votre opérateur de téléphonie mobile afin de demander de l’aide. Soyez prêt à vous rendre en personne dans une boutique ou un centre de service si vous le pouvez, et munissez-vous d’une pièce d’identité ainsi que toutes autres preuves permettant d’appuyer votre démarche.
- Envisagez un passage des codes 2FA basés sur SMS aux codes générés par une application d’authentification. Cela signifie que les cybercriminels devront voler votre téléphone et trouver votre code de verrouillage pour accéder à l’application qui génère votre séquence unique de codes de connexion.
Cela dit, Paul Ducklin, de Naked Security, estime qu’il ne faut pas voir le passage de l’authentification SMS à celle basée sur une application comme une panacée :
Les malwares présents sur votre téléphone peuvent forcer l’application d’authentification à générer le prochain jeton sans que vous vous en rendiez compte, et des cybercriminels rusés peuvent même vous appeler et vous inciter à fournir le prochain code de connexion, prétendant effectuer des “contrôles anti-fraude”.
En cas de doute, ne donnez rien!
Billet inspiré de Alleged SIM-swap scammer nabbed for stealing $5m in Bitcoin, sur Sophos nakedsecurity.