Huit Américains et un Irlandais ont été accusés de fraude par fil cette semaine pour avoir prétendument détourné des téléphones portables par échange de carte SIM, une forme de fraude dans laquelle les escrocs soudoient ou trompent les employés des magasins de téléphonie mobile pour qu’ils prennent le contrôle du numéro de téléphone de la cible et détournent tous les textes et les appels téléphoniques vers l’appareil mobile de l’attaquant. À partir de là, les attaquants commencent simplement à demander des liens de réinitialisation de mot de passe par SMS pour une variété de comptes liés au numéro de téléphone piraté.
Tout compte fait, le gouvernement a déclaré que ce gang – prétendument connu de ses membres sous le nom de «La communauté » – a gagné plus de 2,4 millions de dollars en volant des crypto-monnaies et en extorquant des personnes pour restaurer l’accès aux comptes de médias sociaux qui ont été piratés après un échange de carte SIM réussi.
Six d’entre eux inculpé cette semaine devant le tribunal fédéral du Michigan auraient été membres de la communauté des échangeurs de cartes SIM en série. Ils font face à un acte d’accusation de quinze chefs d’accusation, y compris des accusations de fraude électronique, de complot et de vol d’identité aggravé (une accusation passible d’une peine obligatoire de deux ans). Une plainte pénale distincte descellée cette semaine accuse trois anciens employés de fournisseurs de téléphonie mobile de collaboration avec les membres de The Community.
Plusieurs des personnes accusées ont déjà été mentionnées par ce blog. En août 2018, BreachTrace a annoncé que la police de Floride avait arrêté un employé de la ville de Pasco County, en Floride, âgé de 25 ans. Ricky Joseph Handschumacher, l’accusant de vol qualifié et de blanchiment d’argent. Comme je l’ai rapporté dans cette histoire, « les enquêteurs allèguent que Handschumacher faisait partie d’un groupe d’au moins neuf personnes dispersées dans plusieurs États qui, au cours des deux dernières années, ont vidé les comptes bancaires via un stratagème de plus en plus courant impliquant des échanges de cartes SIM de téléphones portables.
Ce blog a également présenté plusieurs histoires sur les escapades de Ryan Stevenson, un homme de 26 ans de West Haven, dans le Connecticut, qui s’appelle « Phobia ». Plus récemment, j’ai écrit sur la façon dont M. Stevenson a gagné un nombre décent de primes de bogues et la reconnaissance publique des plus grandes entreprises de télécommunications pour avoir trouvé et signalé des failles de sécurité dans leurs sites Web – tout en exploitant secrètement un service qui exploitait ces mêmes failles pour vendre les données personnelles de leurs clients à des personnes actives dans la communauté SIM swapping.
L’un des six hommes accusés de complot… Colton Jurisic20 ans, Dubuque, Iowa — est plus connu sous son pseudonyme de hacker « Forza, » et « ForzaLeDieu.” En décembre 2016, BreachTrace a eu des nouvelles d’une femme dont les comptes Gmail, Instagram, Facebook et LinkedIn avaient été piratés après qu’un groupe d’individus dirigé par Forza l’ait raillée sur Twitter alors qu’ils s’emparaient de son compte téléphonique.
« Ils n’ont pas réussi à obtenir [her three-letter Twitter account name, redacted] parce que j’avais activé l’authentification à deux facteurs pour Twitter, combinée à un nouveau numéro de téléphone dont ils n’étaient pas au courant », a déclaré la source dans un e-mail à BreachTrace en 2016. « @forzathegod a même eu l’audace de me tweeter pour dire que j’étais sur le point d’être piraté.
Fait également partie de la prétendue communauté des échangeurs de cartes SIM. Conor Freeman20 ans, de Dublin, Irlande ; Reyad Gafar Abbas19 ans, de Rochester, New York ; Garrett Endicott21 ans, de Warrensburg, Missouri.
Les trois hommes accusés au pénal d’avoir travaillé avec les six dans le cadre de leur emploi dans des magasins de téléphonie mobile sont Fendley-Joseph28 ans, de Murrietta, Californie ; Jarrat Blanc22, et Robert Jack22 ans, tous deux de Tucson, Arizona. Joseph était un Verizon employé; White et Jack travaillaient tous les deux à AT&T magasins.
S’il est reconnu coupable de complot en vue de commettre une fraude électronique, chaque accusé encourt une peine maximale légale de 20 ans de prison. Les accusations de fraude électronique sont passibles chacune d’une peine maximale légale de 20 ans de prison.
Le mois dernier, étudiant de 20 ans et major de promotion Joël Ortiz est devenu la première personne à être condamnée pour échange de carte SIM – plaidant coupable à une peine de dix ans de prison pour avoir volé plus de 5 millions de dollars en crypto-monnaies à des victimes, puis les avoir dépensés généreusement lors de fêtes de club élaborées à Las Vegas et Los Angeles.
Une copie de l’acte d’accusation contre les six hommes est ici (PDF). La plainte contre les anciens employés de l’entreprise de téléphonie mobile est ici (PDF).