Un ancien directeur d’une entreprise de télécommunications du New Jersey a plaidé coupable à des accusations de complot pour avoir accepté de l’argent pour effectuer des échanges de cartes SIM non autorisés qui ont permis à un complice de pirater les comptes clients.
L’échange de carte SIM est un portage non autorisé du numéro de téléphone d’une personne ciblée vers une autre carte SIM physique ou une puce eSIM contrôlée par l’attaquant. Ces types d’attaques sont généralement menées via des attaques d’ingénierie sociale contre des agents du support client ou par l’intermédiaire d’initiés dans des entreprises de téléphonie mobile.
Cette attaque vise à prendre le contrôle du numéro de téléphone de la cible pour recevoir des mots de passe à usage unique (OTP) basés sur SMS envoyés dans le cadre de la protection par authentification à deux facteurs sur les comptes en ligne.
La réception de ces codes permet aux attaquants de s’emparer des comptes de la cible en utilisant des informations d’identification volées, généralement acquises par hameçonnage ou d’autres fuites de données.
Les fournisseurs de services de télécommunications ont maintenant mis en œuvre des mesures pour empêcher de tels événements de portage de numéros arbitraires sans la participation ou l’autorisation du propriétaire.
Cependant, l’ancien responsable informatique, Jonathan Katz, a abusé de son poste de direction et de son compte hautement privilégié dans un magasin de télécommunications mobiles pour contourner les mesures de sécurité et effectuer des ports de numéros non autorisés.
Une annonce et des documents judiciaires publiés plus tôt cette semaine par le département américain de la Justice (DoJ) expliquent que Katz (alias « Luna ») a effectué les échanges de cartes SIM entre le 10 et le 20 mai 2021, alors qu’il était directeur d’une entreprise de télécommunications.
Des documents judiciaires de décembre 2021, publiés après l’arrestation de Katz, indiquent cinq victimes dans le Wyoming, le New Jersey, la Californie et le Tennessee.
Les actions de Katz ont permis à son complice de détourner les numéros de téléphone portable des victimes et d’accéder par la suite à des comptes, notamment des courriels, des médias sociaux et des portefeuilles de crypto-monnaie.
Pour avoir effectué le portage de numéros non autorisé, Katz a reçu 1 000 Bitcoin en Bitcoin par échange de carte SIM (total de 5 000 total), plus un pourcentage (non spécifié) des bénéfices tirés de l’accès illicite aux appareils des victimes.
Pour ses actions, Katz encourt un maximum légal de cinq ans de prison et une amende pouvant aller jusqu’à 250 000 dollars, soit le double du gain ou de la perte financière résultant du crime.