Les procureurs du nord de la Californie ont accusé deux hommes d’avoir utilisé des échanges de carte SIM non autorisés pour voler et extorquer de l’argent aux victimes. L’un des individus inculpés aurait utilisé un surnom de hacker appartenant à un personnage clé de l’underground qui s’est bâti une solide réputation en détournant des numéros de téléphone portable à des fins lucratives.
Selon les actes d’accusation non scellé cette semaine, résident de Tucson, Arizona Ahmad Wagaafe Hared et Matthieu Gene Ditman de Las Vegas faisaient partie d’un groupe spécialisé dans la ruse ou la corruption de représentants des principaux fournisseurs de services sans fil pour leur donner le contrôle des numéros de téléphone appartenant à des personnes qu’ils ont ensuite ciblées pour extorsion et vol.
Les enquêteurs affirment qu’entre octobre 2016 et mai 2018, Hared et Ditman sont devenus compétents dans l’échange de cartes SIM, une forme complexe de fraude par téléphone mobile souvent utilisée pour voler de grandes quantités de crypto-monnaies et d’autres objets de valeur aux victimes.
Le ministère de la Justice affirme que Hared était mieux connu de ses co-conspirateurs sous le nom de «winblo.” Ce surnom correspond à un membre extrêmement actif et autrefois vénéré du forum ogusers[.]comun marché pour les personnes qui souhaitent vendre des noms de comptes de réseaux sociaux très prisés, y compris des noms d’utilisateur courts sur Twitter, Instagram et d’autres sites pouvant rapporter des milliers de dollars chacun.
Compte de Winblo sur ogusers[.]com
Winblo était un associé et un partenaire commercial d’un autre membre de premier plan d’Oguser, un échangeur de cartes SIM en série connu des membres d’Oguser sous le nom de « Xzavy.” En août 2018, les autorités californiennes ont arrêté un pirate informatique du même nom – dont le vrai nom est Xzavyer Clemente Narvaez – l’accusant d’usurpation d’identité, de grand vol et d’intrusion informatique.
Les procureurs allèguent que Narvaez a utilisé le produit de ses crimes (estimé à plus d’un million de dollars en devises virtuelles) pour acheter des articles de luxe, notamment une McLaren – une voiture de sport haute performance de 200 000 $.
Selon les actes d’accusation contre Hared et Ditman, l’un des hommes (l’acte d’accusation ne précise pas lequel) aurait utilisé ses gains mal acquis pour acheter une BMW i8, une automobile qui se vend environ 150 000 $.
Les enquêteurs affirment également que les deux hommes ont volé environ 40 bitcoins à leurs victimes d’échange de carte SIM. Cela représente environ 136 000 $ dans la conversion d’aujourd’hui, mais cela aurait été beaucoup plus en 2017 lorsque le prix d’un seul bitcoin a atteint près de 20 000 $.
Fait intéressant, BreachTrace a été contacté en 2018 par un homme californien qui a déclaré avoir été échangé par SIM par Winblo et plusieurs associés. Cette victime, qui a demandé à ne pas être identifiée par crainte de représailles, a déclaré que son numéro de mobile Verizon avait été piraté par Winblo et d’autres qui ont utilisé cet accès pour prendre le contrôle de ses comptes Twitter et PayPal, puis exiger le paiement du retour des comptes.
Informaticien de métier, la victime a déclaré qu’il était ciblé parce qu’il avait investi dans une startup de crypto-monnaie et que les pirates avaient trouvé ses coordonnées dans une liste d’investisseurs qu’ils avaient obtenus d’une manière ou d’une autre. Par chance, il n’avait pas beaucoup de valeur à voler dans ses comptes.
La victime a déclaré qu’il en avait appris davantage sur ses bourreaux et sur la manière exacte dont ils avaient repris son numéro de téléphone portable après l’avoir invité à un chat en ligne pour négocier un prix pour le retour de ses comptes.
« Ils m’ont dit qu’ils avaient appelé une ligne d’employés de Verizon [posing as a Verizon employee] et j’ai réussi à obtenir mon numéro d’identification de compte Verizon », a déclaré ma source victime. « Une fois qu’ils l’ont eu, ils ont appelé le service client de Verizon et leur ont demandé de réinitialiser le mot de passe. Ils ont littéralement appelé et se sont fait passer pour moi, et ont réussi à lier mon compte à une autre carte SIM.
La victime a déclaré que ses agresseurs avaient même appelé sa mère parce que le compte mobile était à son nom. Peu de temps après, son téléphone est tombé en panne.
« Le plus drôle, c’est qu’après avoir récupéré mon compte le lendemain, il y a eu un message vocal d’un agent du service client de Verizon qui a dit quelque chose comme, ‘Hey [omitted]j’ai entendu que vous aviez des problèmes avec votre ligne, j’espère que la nouvelle carte SIM fonctionne bien, appelez-nous sinon, passez une bonne journée.
COMPTE
Les actes d’accusation contre Hared et Ditman interviennent au milieu d’une série d’arrestations, d’accusations et de condamnations visant les échangeurs de cartes SIM reconnus et présumés. La semaine dernière, Joël Ortiz – un étudiant de 20 ans, major de la promotion, accusé d’avoir volé plus de 5 millions de dollars en crypto-monnaie lors d’une série d’attaques de piratage de carte SIM – est devenu le premier à être condamné pour le crime, accepter un accord de plaidoyer pour une peine de 10 ans de prison.
De nombreuses personnes arrêtées et accusées d’échange de cartes SIM faisaient partie d’un cercle restreint d’individus qui dépensaient de l’argent presque aussi vite qu’ils le volaient. La vidéo ci-dessous a été publiée sur le compte Instagram « 0 », un nom d’utilisateur qui a été détourné par Ortiz. La vidéo montre une fête d’anniversaire pour Xzavyer Narvarez au club Hyde Sunset à Los Angeles. Remarquez les symboles d’oiseaux Twitter au bas de chaque carte mis en évidence par les préposées du club.
Une autre vidéo publiée par Ortiz – sur un compte Instagram « T » piraté et très recherché – montre des membres de ce groupe déversant 200 dollars de bouteilles de champagne Dom Perignon brillant dans le noir sur des montres de créateurs qui coûtent des milliers de dollars chacune.
Aussi la semaine dernière, 20 ans Biscuits Dawson a plaidé non coupable devant la Cour suprême de Manhattan pour 52 chefs d’accusation de vol d’identité, de vol qualifié et d’intrusion informatique liée à une activité présumée d’échange de carte SIM. Selon le Poste de New YorkBakies, qui vit avec sa mère à Columbus, dans l’Ohio, aurait appelé des représentants du service client en se faisant passer pour ses victimes et aurait pu transférer leurs numéros de téléphone sur un appareil qu’il contrôlait.
En novembre 2018, les autorités de New York ont arrêté un habitant de Manhattan âgé de 21 ans Nicolas Truglia soupçonné d’avoir utilisé des échanges de cartes SIM pour voler environ 1 million de dollars de crypto-monnaies à un dirigeant de la Silicon Valley. Truglia est également poursuivi par l’investisseur providentiel en crypto-monnaie Michael Terpin, qui allègue que Truglia a utilisé un échange de carte SIM contre AT&T pour lui voler 24 millions de dollars en crypto-monnaies.
QUE POUVEZ-VOUS FAIRE?
Les échangeurs de cartes SIM ont tendance à cibler les personnes disposant de beaucoup de fonds à la banque ou dans les échanges de crypto-monnaie, mais comme le montre l’histoire de ma victime, ils échangent souvent aussi des personnes qui ne semblent être que de gros joueurs. Dans le processus, ils peuvent également fouiller dans votre courrier électronique personnel et essayer d’extorquer les victimes en échange de la remise de l’accès aux comptes piratés.
Les lecteurs peuvent suivre plusieurs étapes pour se protéger des attaques par échange de carte SIM. Avant tout, ne réutilisez pas les mots de passe de comptes importants ailleurs. Tirez également pleinement parti de la forme d’authentification multifacteur la plus robuste disponible pour les comptes qui vous intéressent.
Le site Web 2fa.répertoire répartit les fournisseurs de services en ligne selon les types d’authentification secondaire proposés (SMS, appel, codes à usage unique basés sur une application, clés de sécurité). Prenez un moment pour passer en revue cette ressource importante et renforcer votre posture de sécurité dans la mesure du possible.
Si la seule authentification à deux facteurs proposée par une entreprise que vous utilisez est basée sur l’envoi d’un code à usage unique par SMS ou appel téléphonique automatisé, c’est toujours mieux que de se fier uniquement à un mot de passe. Mais les codes à usage unique générés par une application de téléphonie mobile telle que Authy ou Authentificateur Google sont plus sécurisées que les options basées sur SMS car elles ne sont pas directement vulnérables aux attaques par échange de carte SIM. Si elles sont disponibles, les clés de sécurité physiques sont une option encore meilleure.
Lecture complémentaire :
Raccrocher sur mobile au nom de la sécurité
Briser les échangeurs de cartes SIM et les mythes de l’échange de cartes SIM