Les cybercriminels trouvent toujours de nouveaux moyens de tromper ou d’escroquer les utilisateurs.
Les techniques utilisées tirent généralement parti des failles de sécurité ou du manque de connaissances des utilisateurs.
L’une des techniques les plus discutées ces derniers temps est le SIM swapping, une escroquerie qui consiste à dupliquer les cartes SIM dans le téléphone.
Qu’est-ce que le SIM swap ou l’échange de cartes SIM ?
Le SIM swap ou échange de cartes SIM est une usurpation d’identité par le biais d’une carte SIM dupliquée dans un téléphone mobile.
En copiant la carte SIM, les pirates peuvent l’utiliser pour usurper l’identité d’une personne et vider son compte bancaire.
Tout d’abord, il convient de noter qu’en réalité, l’échange de cartes SIM ne repose pas sur une faille de sécurité dans les appareils mobiles, mais profite de l’absence de mécanismes de sécurité des opérateurs lors de l’octroi d’une carte dupliquée, et des failles de sécurité que peuvent comporter les processus de vérification par SMS.
D’une part, la demande d’un duplicata de carte est relativement simple.
Les cybercriminels peuvent obtenir les données des titulaires de cartes par le biais de logiciels malveillants ou de techniques d’ingénierie sociale.
Puis, avec les données en main, ils contactent l’opérateur pour demander le duplicata de la carte. L’échange de carte SIM chez les opérateurs ne sera pas trop compliqué, car souvent ils font le double de la carte en fournissant quelques données.
Ensuite, avec le duplicata de la carte, ils peuvent se faire passer pour le vrai titulaire de la carte. Leur cible est généralement les banques, les entreprises ou les plateformes qui vous permettent d’effectuer des achats, de retirer de l’argent ou de demander des prêts grâce à une authentification à deux facteurs par SMS.
Beaucoup de ces entités envoient un code SMS à l’utilisateur pour l’identifier et confirmer la transaction. En ayant un double de la carte SIM, les cybercriminels peuvent recevoir ce code pour réaliser toutes sortes de fraudes et d’escroqueries.
Procédure de l’échange de cartes SIM
La première chose que font les criminels est d’essayer d’obtenir les données personnelles de l’utilisateur, généralement celles qui sont nécessaires pour accéder aux services bancaires en ligne.
Pour ce faire, ils utilisent généralement des techniques telles que l’utilisation de sites Web frauduleux ou de fausses applications qui se font passer pour des sites Web ou des applications officiels et qui incitent l’utilisateur à saisir ses informations d’identification.
Si l’utilisateur tombe dans le piège et saisit ses données, les cybercriminels tenteront d’obtenir un duplicata de la carte SIM de la victime.
Pour ce faire, ils contactent l’opérateur téléphonique et se font passer pour la victime. Une fois qu’ils disposent des données, cette étape ne sera pas compliquée, car de nombreux opérateurs fabriquent des cartes en double sans appliquer les mesures de sécurité appropriées.
Enfin, avec les données de l’utilisateur et le duplicata de la carte, ils s’introduiront dans ses comptes bancaires en ligne ou dans d’autres services et, en usurpant son identité.
Par la suite, ils retireront de l’argent de ses comptes, demanderont un crédit ou feront des achats en ligne, entre autres escroqueries.
Beaucoup de ces services utilisent l’authentification à deux facteurs par SMS, de sorte que le cybercriminel n’a qu’à recevoir le code SMS figurant sur votre carte en double, et le saisir sur l’une de ces plateformes pour confirmer les opérations.
Pourquoi les cybercriminels utilisent le SIM swapping ?
Le plus souvent, les cybercriminels utilisent l’échange de cartes SIM pour usurper l’identité de l’utilisateur et accéder à son compte bancaire en ligne.
L’objectif principal est d’effectuer des virements bancaires ou de demander des crédits et des prêts au nom de la victime.
Toutefois, l’échange de cartes SIM peut également être utilisé pour accéder à d’autres comptes d’utilisateurs, par exemple sur Google.
Dans ce cas, cela pourrait être encore plus facile, car le cybercriminel pourrait accéder aux comptes de la victime sans utiliser l’authentification à deux facteurs, en saisissant un code à usage unique. Il en va de même pour les autres plateformes et réseaux sociaux, tels que Facebook, Twitter, TikTok, etc.
D’autre part, l’échange de cartes SIM pourrait également permettre au pirate d’accéder à des plateformes en ligne utilisées pour envoyer et recevoir de l’argent, comme PayPal.
Cette plateforme utilise également les SMS comme code d’authentification. En y accédant, le criminel pourrait, par exemple, se faire passer pour le véritable titulaire du compte afin de demander l’envoi d’argent à des amis ou des membres de la famille que la personne compte parmi ses contacts.
Comment se protéger contre le SIM swap ?
La protection contre l’échange de cartes SIM exige avant tout que les opérateurs téléphoniques adoptent des mesures de sécurité beaucoup plus strictes lorsqu’il s’agit de fabriquer un double de la carte.
Cependant, la réalité est que nous ne pouvons pas dépendre de ce que font les tiers, et c’est également à l’utilisateur d’adopter des attitudes et des mesures qui rendent difficile la réalisation de ce type d’escroquerie par les cybercriminels.
Donc, l’échange de cartes SIM, comment l’éviter :
- Ajoutez une clé de sécurité ou un code PIN pour déverrouiller la carte SIM du téléphone. Aujourd’hui, de nombreux smartphones vous permettent même d’utiliser des méthodes telles que le déverrouillage par empreinte digitale.
- Évitez de communiquer votre code PIN à quiconque, sauf si vous lui faites confiance.
- Essayez de ne pas utiliser les codes SMS comme code de vérification en deux étapes.
- N’enregistrez pas d’informations confidentielles sur votre smartphone, afin d’empêcher les cybercriminels d’y accéder s’ils ont réussi à s’introduire dans votre téléphone.
- Ne reliez pas votre compte bancaire au compte de votre téléphone portable.
- Utilisez un réseau privé virtuel pour naviguer depuis votre mobile ou d’autres appareils.
- Faites attention aux mails provenant d’expéditeurs inconnus, aux pièces jointes suspectes ou aux sites web à la fiabilité douteuse.
- Minimiser les données personnelles que nous partageons sur l’Internet. Moins vous partagez de données privées, plus il sera difficile pour les cybercriminels de se faire passer pour vous.
- Installez des outils ou des logiciels de sécurité pour protéger votre carte SIM ou les données stockées sur votre téléphone.
