Deux jeunes hommes de l’est des États-Unis ont été accusés d’usurpation d’identité et de complot pour avoir prétendument volé des comptes de bitcoins et de médias sociaux en incitant les employés d’entreprises de téléphonie sans fil à donner les informations d’identification nécessaires pour accéder à distance et modifier les informations des comptes clients.
Les procureurs disent Jordan K. Milleson21 ans de Timonium, Md. et 19 ans, résident de Kingston, Pennsylvanie Kyell A. Bryan piraté des réseaux sociaux et des comptes bitcoin en utilisant un mélange d’attaques de phishing vocal ou de « vishing » et de « SIM swapping », une forme de fraude qui consiste à soudoyer ou à tromper les employés des entreprises de téléphonie mobile.
Les enquêteurs allèguent que le duo a créé des sites Web de phishing qui imitaient des portails d’employés légitimes appartenant à des fournisseurs de services sans fil, puis a envoyé des e-mails et/ou appelé des employés de ces fournisseurs dans le but de les inciter à se connecter à ces faux portails.
Selon l’acte d’accusation (PDF), Milleson et Bryan ont utilisé leur accès hameçonné aux outils des employés de l’entreprise sans fil pour réattribuer le module d’identité d’abonné (SIM) lié à l’appareil mobile d’une cible. Une carte SIM est une petite puce intelligente amovible dans les téléphones mobiles qui relie l’appareil au numéro de téléphone du client, et leur accès volé aux outils des employés signifiait qu’ils pouvaient réattribuer le numéro de téléphone de n’importe quel client à une carte SIM dans un appareil mobile qu’ils contrôlaient.
Cela leur a permis de prendre le contrôle des appels téléphoniques et des SMS entrants d’une cible, qui ont été utilisés pour réinitialiser le mot de passe des comptes de messagerie, de réseaux sociaux et de crypto-monnaie liés à ces numéros.
Fait intéressant, le complot semble s’être déroulé à la suite d’un différend commercial entre les deux hommes. Les procureurs ont déclaré le 26 juin 2019 que « Bryan a appelé le département de police du comté de Baltimore et a faussement signalé qu’il, prétendant être un résident de la résidence de la famille Milleson, avait tiré sur son père à la résidence ».
« Pendant l’appel, Bryan, se faisant passer pour le tireur présumé, a menacé de se tirer une balle et de tirer sur des policiers s’ils tentaient de le confronter », lit-on. une déclaration du bureau du procureur américain pour le district du Maryland. « L’appel était une attaque » swatting « , une tactique de harcèlement criminel dans laquelle une personne passe un faux appel aux autorités qui déclenchera une réponse de la police ou de l’équipe d’armes et tactiques spéciales (SWAT) – provoquant ainsi une situation potentiellement mortelle. »
L’acte d’accusation allègue que Bryan a écrasé son partenaire présumé en représailles pour que Milleson n’ait pas partagé le produit d’un vol de monnaie numérique. Milleson et Bryan font face à des accusations de fraude électronique, d’accès non autorisé à des ordinateurs protégés, d’usurpation d’identité aggravée et de complot de fraude électronique.
L’acte d’accusation ne précise pas les sociétés sans fil ciblées par les stratagèmes de phishing et de vishing, mais des sources proches de l’enquête ont déclaré à BreachTrace que les deux hommes étaient des membres actifs de Utilisateurs OGun forum en ligne qui s’adresse aux personnes vendant l’accès à des comptes de réseaux sociaux piratés.
Bryan aurait utilisé le surnom de « Champagne » sur OGusers. À au moins deux reprises au cours des dernières années, le forum OGusers a été piraté et sa base de données d’utilisateurs – y compris les messages privés entre les membres du forum – a été publiée en ligne. Dans un message privé daté du 15 novembre 2019, on peut voir Champagne demander à un autre membre OGusers de créer un site de phishing imitant la page de connexion des employés de T-Mobile (t-mobileupdates[.]com).
Des sources disent à BreachTrace que les deux hommes font partie d’un complot plus large impliquant des individus des États-Unis et du Royaume-Uni qui ont utilisé le vishing et le phishing pour inciter les employés travaillant à domicile à donner les informations d’identification nécessaires pour accéder à distance aux réseaux de leurs employeurs.