Les opérateurs de téléphonie mobile proposent depuis quelque temps à leurs clients l’eSIM en lieu et place de la carte SIM classique. Photo d’illustration Bigstock
Si la carte SIM reste encore la norme, les opérateurs de téléphonie mobile proposent depuis quelque temps à leurs clients de lui préférer l’eSIM, à condition d’avoir un smartphone compatible avec cette technologie. Il s’agit d’une version miniaturisée de la carte SIM traditionnelle directement soudée à la carte mère qui permet aux constructeurs de se passer du tiroir à carte SIM, et donc de gagner de la place pour les composants. Elle permet également aux opérateurs de modifier plus facilement et à distance les informations écrites dessus… pour le meilleur et pour le pire.
Les cybercriminels, qui n’ont pas mis longtemps avant d’y voir une formidable opportunité de piratage, ont mis en place un nouveau type d’arnaques dite de SIM swapping (échange de SIM, en français). Et les escroqueries usant de cette méthode se multiplient depuis plusieurs semaines.
Un faux SMS pour commander une eSIM
Tout commence par une tentative de phishing tout ce qu’il y a de plus banal. Les voleurs se font passer pour une entreprise de téléphonie mobile et envoient à leur victime un SMS prétendant qu’une demande de changement de sa SIM en eSIM a été demandée sur sa ligne. La personne est alors invitée à cliquer sur un lien afin d’annuler la commande. Pour ce faire, elle va sur le faux site Web et rentre ses identifiants et son mot de passe. Elle reçoit ensuite un deuxième SMS l’informant de potentiels dysfonctionnements sur sa ligne durant les prochaines 72 heures. À ce moment-là, le piège se referme, et il est déjà trop tard.
De leur côté, une fois les précieuses informations récupérées, les pirates contactent le service client de l’opérateur en se faisant passer pour leur victime. Ils prétextent un vol ou la perte de leur téléphone pour demander l’envoi d’une nouvelle carte SIM. Ils fournissent toutes les informations nécessaires – qu’ils ont trouvé sur le compte grâce aux identifiants et au mot de passe – pour témoigner de leur identité à l’opérateur, qui n’y voit que du feu. Une fois le sésame reçu, c’est la porte ouverte aux arnaques.
Revente sur le Dark Net
Une fois qu’ils ont reçu la nouvelle carte SIM – toujours au nom de la victime –, les pirates peuvent utiliser la ligne pour réaliser des campagnes de phishing et ainsi obtenir de précieuses informations personnelles et bancaires, qu’ils pourront revendre sur le Dark Net. Ils peuvent également s’en servir pour débloquer l’accès via la double authentification à certains services sensibles – comme l’application bancaire – ou pour des achats à distance. Autant dire que les pertes financières peuvent vite se révéler assez importantes... Autre méthode : passer des appels surtaxés en direction de numéros qu’ils ont créés, ce qui peut entraîner une facture téléphonique gonflée pour la victime.
C’est pourquoi il faut se méfier de tout SMS reçu par un numéro inconnu, en particulier s’il contient des fautes d’orthographe. L’URL du lien peut également être un bon indicateur. Dans tous les cas, il ne faut jamais appuyer sur le lien envoyé. À la place, mieux vaut se rendre manuellement sur le site internet. Il est également recommandé de ne pas partager d’informations sensibles sur les réseaux sociaux – ou d’au moins limiter au maximum leur accès (cercle d’amis restreint, etc.) – car elles peuvent être utilisées par des personnes malveillantes pour usurper l’identité de la personne. Enfin, il faut opter systématiquement pour la double identification sur l’ensemble de ses comptes, le mieux étant de recourir à une application dédiée comme Google Authenticator.
Source : rédaction et web
commentaires (0)
Commenter