articles utiles

Comment prévenir et répondre à une escroquerie d'échange de carte SIM

Lorsque Matthew Miller de ZDNet a été touché par une attaque par échange de carte SIM, il l'a décrite comme une «histoire d'horreur» qui lui a fait perdre «des décennies de données». Et il n'est pas hyperbolique; plus d'une semaine plus tard, il a encore des séquelles, et certains des principaux acteurs de la technologie, y compris Twitter et Google, ne peuvent garantir qu'il sera jamais en mesure de retrouver l'accès à ce que ses assaillants ont gâché.

L'échange de carte SIM est un gros problème, surtout si vous êtes également activement impliqué dans la communauté des crypto-devises, un moyen formidable pour un attaquant de gâcher un peu votre argent. Heureusement, quelques petites modifications aux pratiques de sécurité de votre compte peuvent aider à réduire le risque que ce problème irritant gâche votre journée (ou votre mois).

Qu'est-ce que l'échange de carte SIM?

L'échange de carte SIM implique un pirate informatique qui fait croire à votre fournisseur de cellule que vous activez votre carte SIM sur un autre appareil. En d'autres termes, ils volent votre numéro de téléphone et l'associent à la carte SIM.

En cas de succès, cette attaque désactivera votre appareil. Ce dernier sera désormais la destination de tous les SMS, appels téléphoniques, données et comptes associés à votre numéro de téléphone et à votre carte SIM. Avec ces informations, l’attaquant pourrait facilement accéder aux comptes de votre application, à vos données personnelles et à vos informations financières. Ils pourraient même vous exclure de vos services pour de bon.

Pensez au nombre d'applications et de comptes qui utilisent votre numéro de téléphone pour vérifier votre identité, et pas même lorsque vous vous connectez avec votre nom d'utilisateur et votre mot de passe, qu'un attaquant ne connaîtra pas, mais avec les mécanismes de récupération que vous utiliseriez même pour le réinitialiser. information clé. Toute la sécurité des comptes dans le monde ne fera pas beaucoup de bien si un attaquant peut prétendre être vous en prenant simplement votre numéro de téléphone.

À quoi ressemble une arnaque d'échange de carte SIM?

Une personne n'a pas besoin d'un accès physique à votre téléphone pour procéder à un échange de carte SIM. Elle peut tout faire à distance, quels que soient la marque et le modèle de votre appareil ou votre fournisseur de services. Ils ont juste besoin d’avoir suffisamment d’informations pour convaincre un agent du support client qu’ils sont bien vous. Vous ne verrez peut-être pas une escroquerie d'échange de cartes SIM avant qu'il ne soit trop tard.

Le moyen le plus simple de savoir que vous avez été ciblé par un échange de carte SIM est de constater un comportement étrange de votre téléphone, par exemple une incapacité à envoyer ou recevoir des SMS et des appels alors que le service n'est pas coupé; recevoir des notifications de votre fournisseur indiquant que votre numéro de téléphone ou votre carte SIM a été activé ailleurs; ou être incapable de vous connecter à l'un de vos comptes importants. Prenons cet exemple récent de Matthew Miller de ZDNet:

Prévention d'une attaque par échange de carte SIM

Il est beaucoup plus facile de mettre en place des défenses contre une attaque par échange de carte SIM maintenant que de gérer les retombées de l'un: l'un est un ennui mineur, l'autre consomme votre semaine (ou plus).

Attention aux arnaques par phishing

La première étape d'une attaque par échange de carte SIM est généralement (mais pas toujours) l'hameçonnage. Courriels fragmentaires avec liens malveillants, écrans de connexion factices, barres d'adresse factices: les formes d'escroqueries par hameçonnage peuvent prendre de nombreuses formes, mais elles sont faciles à repérer si vous savez quoi rechercher. Ne cliquez pas sur des liens, ne téléchargez pas de programmes et ne vous connectez pas à des sites Web que vous ne reconnaissez pas. Si un attaquant obtient suffisamment de données clés vous concernant grâce à ces attaques, il disposera de ce dont il a besoin pour essayer un échange de carte SIM.

Réduire les données personnelles excessives en ligne

Que ce soit en plus du phishing ou à la place de celui-ci, l’autre partie du processus d’échange de la carte SIM consiste en une ingénierie sociale: collecter le plus de données possible sur vous afin que le pirate puisse vous transmettre de manière fiable par téléphone ou par e-mail.

Pour éviter cela, gardez votre numéro de téléphone, votre date de naissance, votre adresse postale et toute autre information compromettante autant que possible sur vos comptes et ne partagez pas ces informations publiquement si vous pouvez les éviter. Certaines de ces données sont nécessaires pour certains services, mais vous n'avez pas besoin que l'une d'entre elles soit consultable sur les réseaux sociaux. Vous devez annuler et supprimer tous les comptes que vous n'utilisez plus par mesure de précaution supplémentaire.

Protégez vos comptes

De nombreux comptes numériques ont des paramètres qui peuvent vous aider à récupérer vos comptes s'ils sont volés - mais ils doivent être correctement configurés, le compte est volé pour être d'aucune aide. Ceux-ci peuvent inclure:

  • Création d'un code PIN requis pour les connexions et les changements de mot de passe. Ceci est particulièrement important à configurer avec votre opérateur de téléphonie mobile, car il constitue une excellente défense contre le détournement de la carte SIM.
  • Méthode de sécurité à deux facteurs appropriée reposant sur un périphérique physique, tel que Google Authenticator ou Authy, plutôt que la vérification par SMS pour les connexions. Vous pouvez également vous procurer un jeton matériel pour protéger vos comptes si vous voulez vraiment avoir envie.
  • Des réponses solides aux questions de récupération de sécurité qui ne sont pas liées à vos informations personnelles.
  • Dissociez le numéro de téléphone de votre smartphone de vos comptes, dans la mesure du possible. (Vous pouvez toujours utiliser un numéro Google Voice gratuit si vous devez en avoir un pour vos comptes sensibles.)
  • Utilisation de mots de passe longs, aléatoires et uniques pour chaque compte.
  • Utilisez un gestionnaire de mot de passe crypté.
  • N'utilisez pas vos services préférés (Google, Facebook, etc.) pour vous connecter à d'autres services. tout ce qu'un attaquant a besoin est de s'introduire dans l'un d'entre eux pour avoir accès à beaucoup plus de votre vie numérique.

Vous devez également prendre note des informations importantes relatives au compte qui pourraient être utilisées pour vous identifier en tant que titulaire du compte légitime, telles que:

  • Le mois et l'année de création du compte
  • Noms d'écran précédents sur le compte
  • Adresses physiques associées au compte
  • Les numéros de carte de crédit utilisés avec les comptes ou les extraits de compte permettant de confirmer que vous êtes celui qui a effectué les achats.
  • Contenu créé par les comptes, tels que les noms de personnages, si le compte est destiné à un jeu vidéo en ligne

De même, conserver une liste de tous vos comptes critiques facilitera la réaction aux conversions de cartes SIM ou à un vol d'identité similaire, car vous pourrez passer en revue chaque compte en toute sécurité et modifier les mots de passe, les adresses électroniques, etc. Conservez toutes ces informations de manière sécurisée, peut-être même en tant qu'impression physique d'un fichier texte, plutôt que de les enregistrer sur un service associé à une entité numérique (qui pourrait être décomposé).

Décentraliser votre empreinte en ligne

Envisagez d'utiliser des applications et des services open source chiffrés au lieu des applications de Google, Apple, Microsoft, afin de garder les données importantes en lieu sûr, avec les données les plus sensibles stockées dans des endroits hautement sécurisés. Cela s'applique aux courriels, aux applications de messagerie, aux applications bancaires, etc. Google Drive et iCloud sont excellents, mais si tout se résout en un seul disque, y compris les informations financières personnelles, etc., vous êtes foutu.

En outre, vous devez garder certaines données hors du nuage. Ne jetez pas vos déclarations de revenus dans votre Google Drive, car si quelqu'un devait y accéder, il aurait tout à coup une tonne d'informations critiques sur vous (et une foule d'informations qu'il pourrait utiliser pour se faire passer pour vous). Et, s'il vous plait, ne gardez jamais une liste de vos mots de passe habituels, de vos clés de connexion de sauvegarde, du fichier PDF de «récupération de compte» de votre gestionnaire de mots de passe dans un simple compte de stockage en nuage.

Comment répondre à une attaque par échange de carte SIM

Si vous pensez être victime d'un échange de carte SIM ou de toute forme de vol d'identité, suivez toutes les étapes rapidement:

  • Déposez les rapports de vol d'identité auprès de votre bureau de police local et de la FTC.
  • Alertez vos banques / institutions financières sur le rapport d’identité potentiel et demandez à ce que vos comptes et vos cartes bancaires soient bloqués, puis contactez les trois agences d'évaluation du crédit (Experian, Equifax et TransUnion) pour demander le gel de votre crédit et signaler toute fraude potentielle. Si vous soupçonnez que votre identité fiscale ou vos numéros de sécurité sociale sont compromis, contactez l'IRS. Vous voudrez peut-être même changer vos numéros de compte bancaire ou de carte de crédit.
  • Signalez le vol d'identité à votre fournisseur de service cellulaire. Sachez cependant que, à moins que vous ne puissiez prouver de manière suffisante que cela est arrivé et que vous êtes le titulaire légitime du compte, ils ne seront peut-être pas en mesure de faire grand-chose (puisque le pirate informatique est votre numéro de téléphone et tout le reste).
  • Si vous disposez d'une liste analogique / hors ligne de vos comptes et de leurs informations, modifiez l'adresse e-mail et le mot de passe de chaque compte (assurez-vous que la nouvelle adresse e-mail n'est pas liée à votre numéro de téléphone; une nouvelle adresse convient mieux) et mettez à jour toute autre sécurité du compte. les mesures. Les points de départ les plus importants sont votre adresse électronique et vos institutions financières, y compris PayPal, Venmo, etc., ainsi que tous les comptes liés à votre numéro de téléphone ou à vos comptes Google / Apple.
  • Important: Si cette option vous est proposée, N'ENVOYEZ PAS de codes de confirmation ni de liens de réinitialisation vers votre numéro de téléphone. Ceux-ci seront envoyés au pirate informatique, pas à vous.
  • Si vous ne pouvez pas vous connecter à un compte ou réinitialiser votre mot de passe, contactez le service clientèle de ce compte dès que possible et expliquez la situation. Il vous sera demandé de prouver votre identité. Par conséquent, disposer du maximum d'informations sur le compte vous aidera à reprendre le contrôle de votre compte.