CoinDesk explique le détournement de carte SIM

Aujourd'hui, nous décomposons les attaques par carte SIM d'une manière que même votre grand-père peut comprendre,présenté en format AUDIO et texte intégral.

Pour un accès anticipé avant nos sorties régulières à midi, heure de l'Est, abonnez-vous avecApple Podcasts,Spotify,Pocketcasts,Google Podcasts,Castbox,Brodeuse,RadioPublica ou RSS.

Au panthéon des piratages Crypto , le « SIM jacking » est ONEun des pires. Ce piratage, qui relève davantage de l'ingénierie sociale que du piratage informatique, est une forme d'usurpation d'identité : l'attaquant échange la carte SIM de sa victime à distance, généralement avec l'aide de son opérateur mobile, puis s'introduit dans ses e-mails, Crypto, ses comptes bancaires, bref, tout ce qu'il T important de protéger. Les conséquences peuvent être désastreuses ; ces attaques ont également rapporté des dizaines de millions de dollars aux attaquants ces dernières années.

C’est audacieux mais c’est aussi évitable, avec un peu de sensibilisation.

Dans cet épisode de CoinDesk Explains, les rédacteurs de CoinDesk , Adam B. Levine et John Biggs, expliquent l'attaque, ses Pour vous, son fonctionnement et les mesures à prendre pour la prévenir, d'une manière compréhensible pour John. Un grand merci à ce gourou de la sécurité. Ralph Echemendiapour les conseils du podcast d'aujourd'hui.

Pour un accès anticipé avant nos sorties régulières à midi, heure de l'Est, abonnez-vous avecApple Podcasts,Spotify,Pocketcasts,Google Podcasts,Castbox,Brodeuse,RadioPublica ou RSS.

Transcription

Adam:Dans le panthéon des piratages Crypto , le « SIM jacking » est ONEun des pires. Ce piratage, qui relève davantage de l'ingénierie sociale que du piratage informatique, est en fait une forme d'usurpation d'identité : l'attaquant échange la carte SIM de sa victime à distance, généralement avec l'aide de son opérateur mobile, puis s'introduit dans ses e-mails, Crypto, ses comptes bancaires, bref, tout ce qu'il est T de protéger. C'est audacieux, mais c'est aussi évitable avec un peu de prudence. Les conséquences peuvent être désastreuses ; les attaquants ont d'ailleurs empoché des dizaines de millions de dollars ces dernières années.

John: Bienvenue dans CoinDesk Explains, une série d'articles occasionnels de l'équipe Marchés Daily où nous analysons et explorons le monde complexe des blockchains et des cryptomonnaies comme le Bitcoin. Je suis John Biggs…

Adam:…et je suis Adam B. Levine. Dans le monde hyperconnecté d'aujourd'hui, perdre son téléphone est toujours pénible, mais quand on y ajoute « son argent », c'est encore plus douloureux.

Cette fois-ci, nous parlons de la façon dont certaines personnes ont perdu leur téléphone [et], avec l’aide d’une ingénierie sociale astucieuse, parfois des dizaines de millions de dollars en plus.

Adam:Alors John, tu as vécu ça de première main, n'est-ce pas ?

John: Absolument. En 2017, un imbécile a échangé sa carte SIM avec la mienne, je suppose en appelant T-Mobile et en se faisant passer pour moi. Il m'a dit : « Bonjour, c'est John Biggs, j'ai changé de téléphone ou quelque chose comme ça et j'ai besoin que vous transfériez mon abonnement sur mon nouveau téléphone. » Visiblement, ce n'était pas moi qui appelait, mais T-Mobile a dû les croire et a fait en sorte que ça se fasse.

ET MAINTENANT UNE RECONSTITUTION DRAMATIQUE, AVEC JOHN BIGGS DANS LE RÔLE DU REP DE LA COMPAGNIE DE TÉLÉPHONE ET ADAM B. LEVINE DANS LE RÔLE DU FAUX JOHN BIGGS.

John:Merci d'avoir appelé votre opérateur téléphonique, comment puis-je vous aider aujourd'hui ?

Adam :Bonjour, oui, je suis John Biggs et j’ai besoin que vous activiez ma nouvelle carte SIM.

John: Je serais ravi de vous aider. Pouvez-vous vérifier votre compte avec votre numéro de sécurité sociale, votre groupe sanguin et votre pointure ?

Adam :En fait non, je suis très pressé et j’ai juste besoin que tu m’aides.

John: Je suis désolé monsieur, je ne peux T vous aider si vous ne pouvez T vérifier votre compte.

Adam :Zut, OK, je te rappelle plus tard.

DEUX HEURES PLUS TARD

John: Bonjour, je suis un autre REP de votre opérateur téléphonique. Comment puis-je vous aider ?

Adam :Bonjour, je suis John Biggs et j’ai besoin que vous activiez mon nouveau téléphone.

John: Pouvez-vous vérifier votre compte ?

Adam :Non.

John: C’est bien, laissez-moi faire ce changement maintenant.

FIN

JohnC'est aussi simple que ça. Le vrai truc, c'est que si vous n'y parvenez T dès le premier REP, vous pouvez rappeler un nombre illimité de fois jusqu'à ce que le support de votre opérateur téléphonique fasse une erreur, oublie le protocole de sécurité et accepte de procéder au changement. Et ces types sont vraiment malins, avec des bruits de bébé qui pleurent en arrière-plan, etc.

Adam: C'est l'ingénierie sociale. Personne ne pirate ni n'attaque votre téléphone lui-même. Ils profitent du fait que le support T-Mobile veut vous aider, ou du moins éviter de vous faire engueuler. Du coup, quand quelqu'un vous appelle et se fait passer pour vous, il peut aider quelqu'un qui essaie de vous voler. Alors, que s'est-il passé ?

John:Oui, mon opérateur l'a bien acheté et l'a aidé en activant son nouveau téléphone avec mon numéro actuel. Cela a eu pour effet de couper les services réseau de mon téléphone et, quelques instants plus tard, a permis au pirate de modifier la plupart de mes mots de passe Gmail et Facebook, et d'envoyer des SMS à ma place.

Adam: Bon, maintenant ils ont votre portable, ils reçoivent vos appels et vos SMS, et T vous. Mais comment peuvent-ils changer tous ces mots de passe ?

John:De Gmail à Facebook, en passant par Coinbase et BYNANCE, la quasi-totalité des services craignent que vous ne gériez pas correctement vos mots de passe. Ils ont donc opté pour une solution encore plus risquée en ajoutant l'authentification à deux facteurs par SMS. De nombreuses entreprises ont mis fin à cette pratique, mais la faille reste importante.

Adam:Alors, quand votre téléphone est devenu leur téléphone, c'est désormais eux qui pouvaient réinitialiser votre mot de passe.

John: C'est vrai. Toutes les notifications à deux facteurs étaient envoyées par défaut à mon numéro de téléphone, qui était désormais le leur. Je n'ai donc reçu aucune notification et, en deux minutes environ, j'étais exclu de ma vie numérique.

Adam:Aïe.

John:Ouais… J'ai remarqué tout ça vers 22 h et j'ai eu de la chance. Je savais ce qui se passait et j'ai appelé T-Mobile. À 22 h 30, j'ai réinitialisé mon ancienne carte SIM et commencé à changer tous mes mots de passe et à renforcer la sécurité de mes comptes à double facteur et de mon compte T-Mobile.

Adam:Ont-ils eu quelque chose ?

John: C'est une anecdote amusante. Une semaine auparavant, je discutais avec un spécialiste des Crypto sur Facebook. Je ne sais plus de quoi il s'agissait. Quelques jours plus tard, j'ai reçu un message de ce type sur Facebook Messenger : « Salut, je suis dans une situation financière très difficile et je n'arrive T à accéder à mes Crypto. Peux-tu m'envoyer six Bitcoin ? Je t'en enverrai huit demain. »

Et je me dis : « Hein, ça a l’air d’être une bonne affaire ! »

Adam:As-tu envoyé le Bitcoin?

JohnHeureusement, non, mais c'était le mode opératoire. Quand mes comptes ont été bloqués, les pirates se sont fait passer pour moi et ont demandé à mes amis de leur envoyer des Bitcoin. ONEun d'eux a envoyé un SMS à ONEun de mes amis : « Si je ne reçois T ces Crypto tout de suite, ils vont débrancher mon père à l'hôpital. » Ils avaient compris que mon père était malade. Et l'ami Crypto a répondu : « Euh, oui, ce n'est pas comme ça que fonctionnent les hôpitaux. »

Adam: C'est horrible.

Il y a également eu le cas de Nicholas Truglia, un New-Yorkais de 21 ans qui a piraté plusieurs téléphones et volé des millions de dollars. Selon des documents judiciaires, Truglia aurait volé son père et même un homme mort.

Truglia a notamment réussi à piéger Michael Terpin, un investisseur en Cryptomonnaie . Il a utilisé un échange de carte SIM avec le téléphone de Terpin, conçu par ingénierie sociale, pour lui voler 24 $. million en Crypto, ce qui a conduit Terpin à ouvrir un $200un procès de plusieurs millions de dollars contre son fournisseur de téléphonie mobile, AT&T.

John:Combien possédait ce type ? D'après les documents judiciaires, il possédait plusieurs Trezor. « ONEun contenait plus de 40 millions de dollars en espèces de diverses cryptomonnaies, et l' ONE plus de 20 millions de dollars en espèces de diverses cryptomonnaies. » C'est dingue.

Adam:Alors, comment riposter ?

John:Mon ami Ralph, PDG de Seguru et technicien chez Oliver Stone, a quelques idées. Je lui ai parlé aujourd'hui de la protection contre le piratage de carte SIM.

Adam:Donc tout est à deux facteurs, maispasavec des messages texte.

John:Absolument. Ne comptez jamais sur votre téléphone pour votre sécurité. C'est tout simplement trop dangereux. Utilisez toujours un contrôle à deux facteurs sans SMS.

Adam :Avez-vous été piraté récemment ?

Zohn:<APPELANT SOUDAINEMENT DEPUIS UN TÉLÉPHONE> Pas que je sache.

Adam:Attends, tu appelles depuis ton téléphone ?

Zohn: Ouais… Fais-moi confiance, Adam. Fais-moi confiance. Au fait, Adam, je peux t'emprunter deux Bitcoin jusqu'à demain ? Je te rends trois Bitcoin demain matin.

<LE SON DE L'ÉCHEC>