Ces cartes SIM illicites facilitent les piratages comme celui de Twitter

La prochaine fois que votre téléphone sonne et que l' ID de l'appelant indique qu'il s'agit de votre banque, de votre opérateur de télécommunications ou du service informatique de votre employeur, il se peut qu'il s'agisse de quelqu'un d'autre.

En effet, des types de cartes SIM peu connus permettent d'usurper n'importe quel numéro, peuvent être cryptées et, dans certains cas, permettent de modifier et de masquer la voix de l'utilisateur. Ces cartes SIM sontfavorisé par les criminels, et ils peuvent faciliter l’exécution d’attaques d’ingénierie sociale comme celles qui ont frappé Twitter le mois dernier.

Une carte SIM (Subscriber Identity Module) est essentiellement ce qui stocke des informations sur l'utilisateur d'un téléphone, y compris le pays, le fournisseur de services et une idée unique qui le fait correspondre à son propriétaire.

Si l'usurpation d'un numéro de téléphone est une astuce ancienne, ces cartes SIM offrent une méthode simplifiée. Elles mettent en évidence le large éventail de vulnérabilités auxquelles les entreprises et les particuliers sont confrontés lorsqu'ils tentent de se protéger contre les attaques d'ingénierie sociale.

Twitter était levictime d'une attaque de spear-phishing par téléphone, dans laquelle une personne se faisant passer pour un membre de l'entreprise (souvent du service informatique) appelle un véritable employé pour lui soutirer des informations. Cette attaque, qui a conduit au piratage de 130 comptes, dont ceux de personnalités influentes comme ELON Musk et Kanye West, a escroqué leurs abonnés pour 120 000 dollars de revenus. Bitcoin, a attiré l'attention sur cette pratique. Des outils comme ces cartes SIM constituent un moyen pour les attaquants de devancer les entreprises suspectes.

Voir aussi :«Crypto Instagram » devient une réalité, avec toutes les arnaques possibles

« D'autres entreprises pourraient être des cibles plus vulnérables pour ces mêmes techniques », a déclaré Allison Nixon, directrice de la recherche chez Unit221B, une société de cybersécurité. « Et elles ne seront tout simplement pas aussi bien préparées que les entreprises de télécommunications, victimes de la guerre. »

En effet, depuis le piratage de Twitter, il y aapparemment Il y a eu une augmentation des attaques de spear-phishing parmi les entreprises, les particuliers et les plateformes d'échange de Cryptomonnaie .

SIM blanches

Les cartes sont connues sous le nom de SIM blanches, en raison de leur couleur et de l'absence de marque.

« Les cartes SIM blanches facilitent grandement les appels sortants falsifiés », a déclaré Hartej Sawhney, directeur de l'agence de cybersécurité Zokyo. « Elles sont illégales pratiquement partout. »

Compte tenu de la vaste gamme de services offerts par ces cartes SIM, elles facilitent légèrement l'ingénierie sociale, et parfois, c'est tout ce dont un attaquant a besoin. Les cartes SIM sont généralement disponibles sur le marché.Dark Web ou sites similaires, en utilisant Bitcoin.

L'ingénierie sociale repose souvent sur un attaquant qui incite quelqu'un à faire quelque chose d' T. Cela peut paraître aussi simple qu'une attaque de phishing, mais peut aussi impliquer des moyens plus élaborés comme l'échange de cartes SIM, l'usurpation d'identité vocale ou de longues conversations téléphoniques, le tout pour accéder aux informations ou aux données d'une personne.

Voir aussi :Un étudiant condamné à 10 ans de prison pour des vols de Crypto SIM-Swap d'une valeur de 7,5 millions de dollars

Pendant des années, la communauté des Cryptomonnaie a été la cible des échanges de cartes SIM, un sous-ensemble de l'ingénierie sociale. Il s'agit pour un attaquant de tromper un employé d'une entreprise de télécommunications afin qu'il transfère le numéro de la victime sur son appareil, ce qui lui permet de contourner les protections d'authentification à deux facteurs pour accéder à un compte Exchange ou à un profil de réseau social.

« L'usurpation d'identité est une faille au niveau du protocole et ne peut pas être corrigée du jour au lendemain. Cela nécessite une véritable réécriture d'Internet », a déclaré Sawhney. « Il est intéressant de noter que 99 % des employés des télécommunications ont accès à tous les comptes clients, ce qui signifie qu'il suffit de recourir à l'ingénierie sociale sur ONEun d'entre eux. »

Ces cartes SIM présentent des défis pour ceux qui travaillent à la protection contre l’ingénierie sociale, notamment les banques et autres institutions financières.

Une entreprise comme une autre

Les attaquants d'ingénierie sociale choisissent leurs cibles en évaluant l'argent, le temps et les efforts nécessaires pour les duper par rapport au gain, a déclaré Paul Walsh, PDG de la société de cybersécurité MetaCert.

« Il est plus facile, moins cher et plus rapide de compromettre une personne par ingénierie sociale que d'essayer de profiter d'un ordinateur ou d'un réseau informatique », a déclaré Walsh. « Par conséquent, tout outil ou processus de ce type qui leur simplifie et accélère cette tâche est évidemment bénéfique, à leurs yeux. »

La possibilité d'imiter un numéro de téléphone spécifique rend ces cartes SIM dangereuses. Par exemple, les appelants indésirables usurpent souvent leur numéro pour faire croire qu'ils appellent d'un autre pays.numéro dans la zone locale du destinataireMais ces cartes SIM permettent à un attaquant d'usurper un numéro spécifique, ce qui augmente la probabilité que quelqu'un réponde au téléphone.

Voir aussi :Un nouveau hack ultrasonique peut exploiter votre Siri

Une personne munie d'une carte SIM usurpant le numéro pourrait facilement imiter le numéro de Bank of America, par exemple, a déclaré Walsh, ce qui augmenterait la probabilité que des personnes divulguent des informations personnelles sensibles. Si le numéro s'avère être celui de Bank of America, pourquoi auriez-vous des raisons de penser le contraire ?

Walsh a également déclaré que de nombreux systèmes détecteront automatiquement le numéro à partir duquel vous appelez et l'utiliseront comme une information vérifiant votre identité.

« Vous appelez votre banque et, si vous pouvez confirmer votre numéro de téléphone et éventuellement ONE' autres informations, vous accédez à toutes sortes d'informations, comme votre solde bancaire et votre dernière transaction », explique Walsh. « Ces informations peuvent à elles seules être utiles dans le cadre d'une ingénierie sociale : vous appelez la banque sans les informations supplémentaires nécessaires pour cibler une personne et vous les obtenez par l'intermédiaire de la banque. »

La technologie d'imitation de la voix est en route

Haseeb Awan, PDG d'Efani, une entreprise qui œuvre spécifiquement pour la protection contre le piratage de cartes SIM, s'inquiète de la manière dont ces cartes pourraient être utilisées avec d'autres technologies, comme l'usurpation d'identité vocale. Cette Technologies permet de recréer la voix d'une personne. facilement disponible en ligne, et les voix des gens peuvent être reconstituées à partir de quelques extraits de discours.

« Si vous parvenez à reproduire la voix de quelqu'un et à l'associer à son numéro de téléphone, c'est ce qui m'inquiète le plus », a déclaré Awan. « De nombreuses entreprises utilisent désormais votre voix comme méthode d'authentification, et c'est là que le risque de fraude devient vraiment élevé. »

Voir aussi :Les pirates informatiques nord-coréens intensifient leurs efforts pour voler des Crypto en pleine pandémie de coronavirus.

Et alors que la plupart des gens pensent pouvoir dire si la voix de quelqu'un est altérée ou fausse, Awan, né au Pakistan mais vivant aux États-Unis, souligne QUICK que la technologie est devenue si performante qu'il a constaté qu'elle pouvait reproduire son accent. En fait, une étude Nous avons découvert que notre cerveau a du mal à différencier une fausse voix d'une ONE, même lorsqu'on nous dit qu'elle sera fausse.

Contrairement aux cartes SIM blanches, quasi universellement illégales, les cartes SIM anonymes cryptées qui modifient également votre voix en temps réel peuvent être facilement achetées au grand jour. Par exemple, l'entreprise britanniqueSims sécurisés,qui n'a pas répondu à une Request de commentaire au moment de la mise sous presse, propose à la vente un ONE qui désactive votre localisation et crypte les données, parmi une variété d'autres fonctionnalités.

Il est mis en vente entre 600 et 1 000 £ (794 à 1 322 $).