Les échanges de cartes SIM constituent l’une des plus grandes menaces de sécurité auxquelles nous sommes confrontés, permettant aux criminels d’accéder à la plupart des services protégés par une authentification à deux facteurs. La situation pourrait être sur le point de s’aggraver encore, à mesure que nous apprenons une tentative apparente à grande échelle de soudoyer les travailleurs de T-Mobile et de Verizon pour faciliter les échanges.
Alors que les nouvelles règles et fonctionnalités de sécurité sont censées rendre ces attaques plus difficiles à réaliser, ce serait le moment idéal pour garantir que vos comptes sont protégés par des applications d’authentification plutôt que par des messages texte…
Que sont les échanges de cartes SIM ?
Les attaques par échange de carte SIM se produisent lorsque quelqu’un parvient à attribuer votre numéro de téléphone portable à une nouvelle carte SIM. Cela signifie que tous les appels ou SMS qui devraient vous parvenir seront adressés à l’attaquant.
Cela est particulièrement problématique lorsque les services utilisent des messages texte pour envoyer des codes d’accès à usage unique pour une authentification à deux facteurs.
Les attaques par échange de carte SIM sont généralement menées à l’aide d’ingénierie sociale et peuvent être ridiculement simples à réaliser.
Un test alarmant réalisé par Princeton montre que les cinq plus grands opérateurs américains ne parviennent pas à protéger correctement leurs clients contre les attaques dites de type SIM-swap. Ils ont réussi à persuader les opérateurs d’attribuer des numéros de téléphone aux nouvelles cartes SIM sans succès. n’importe lequel des questions de sécurité standards (…)
La méthode utilisée était ridiculement simple : l’appelant prétendait avoir oublié la réponse à la question de sécurité principale, puis affirmait que la raison pour laquelle il ne pouvait pas répondre à des questions sur des éléments tels que sa date et son lieu de naissance était qu’il devait avoir fait une erreur lors de la création du compte.
Ces attaques fonctionnent que vous utilisiez une carte SIM physique ou une eSIM.
300 $ de pots-de-vin pour les échanges de cartes SIM
Un autre vecteur d’attaque consiste à soudoyer les employés du transporteur pour qu’ils effectuent les échanges, et Le rapport mobile J’ai constaté que quelqu’un faisait un effort concerté pour trouver du nouveau personnel disposé à le faire.
Selon plusieurs publications sur Reddit, ainsi que des personnes distinctes nous envoyant des conseils ici à Le rapport mobileles employés de T-Mobile de tout le pays reçoivent des SMS leur proposant de l’argent en échange d’un échange de carte SIM.
Les SMS offrent à l’employé 300 $ par échange de carte SIM et lui demandent de le contacter par télégramme. Les textes proviennent tous d’une variété de numéros différents répartis dans plusieurs indicatifs régionaux, ce qui rend le blocage plus difficile.
Ordinateur qui bipe rapporte que le personnel de Verizon a également reçu ces textes.
Alors qu’on pensait initialement que ces textes ciblaient uniquement les employés de T-Mobile, les employés de Verizon ont également déclaré recevoir des variantes du même texte.
Un changement de règle de la FCC en novembre de l’année dernière signifie que les opérateurs sont censés utiliser des procédures d’authentification plus minutieuses avant de mettre en œuvre un échange de carte SIM, ainsi qu’écrire à l’abonné pour lui faire savoir que cela a été fait.
Comment pouvez-vous vous protéger contre les échanges de cartes SIM ?
Verizon propose une option de verrouillage du numéro que les abonnés peuvent utiliser pour rendre les échanges de cartes SIM plus difficiles, T-Mobile ayant sa propre version connue sous le nom de protection SIM. Cependant, ce dernier « n’empêche pas le transfert eSIM sur les appareils Apple », selon la propre documentation de l’entreprise. Cela vaut néanmoins la peine de les activer.
Mais l’étape la plus importante que vous puissiez prendre est de toujours sélectionner une application d’authentification comme méthode d’authentification à deux facteurs et de désactiver toute option de message texte. iOS propose son propre authentificateur, et Authentificateur Google est une autre option populaire.
Avec ceux-ci, vous verrez un code QR que vous scannez avec l’application sur votre iPhone pour ajouter le service. L’application générera alors un code à 6 chiffres dont vous aurez besoin après avoir saisi votre mot de passe.
photo par Brett Jordan sur Unsplash
FTC : Nous utilisons des liens d’affiliation automatique générateurs de revenus. Plus.
