Un entrepreneur et investisseur en monnaie virtuelle poursuit AT&T pour 224 millions de dollars, affirmant que le fournisseur de services sans fil a fait preuve de négligence lorsqu’il n’a pas empêché les voleurs de détourner son compte mobile et de voler des millions de dollars en crypto-monnaies. Des attaques de plus en plus fréquentes et très médiatisées comme celles-ci incitent certains experts à dire que le moyen le plus sûr de protéger ses comptes en ligne pourrait être de les déconnecter complètement des fournisseurs de téléphonie mobile.
Les réclamations arrivent un procès déposée cette semaine à Los Angeles au nom de Michel Terpinqui a cofondé le premier groupe d’investisseurs providentiels pour les passionnés de bitcoin en 2013. Terpin allègue que des escrocs ont volé près de 24 millions de dollars de crypto-monnaie après avoir frauduleusement exécuté un « SIM swap » sur son compte de téléphone mobile chez AT&T au début de 2018.
Une carte SIM est la minuscule puce amovible d’un appareil mobile qui lui permet de se connecter au réseau du fournisseur. Les clients peuvent légitimement demander un échange de carte SIM lorsque leur carte SIM existante a été endommagée ou lorsqu’ils passent à un autre téléphone nécessitant une carte SIM d’une autre taille.
Mais les échanges de cartes SIM sont fréquemment utilisés abusivement par des escrocs qui incitent les fournisseurs de téléphonie mobile à lier le service d’une cible à une nouvelle carte SIM et à un nouveau téléphone portable contrôlés par les attaquants. Les échanges de carte SIM non autorisés sont souvent perpétrés par des fraudeurs qui ont déjà volé ou hameçonné le mot de passe d’une cible, car de nombreuses banques et services en ligne s’appuient sur des SMS pour envoyer aux utilisateurs un code à usage unique qui doit être saisi en plus d’un mot de passe pour l’authentification en ligne.
Terpin allègue que le 7 janvier 2018, quelqu’un a demandé un échange de carte SIM non autorisé sur son compte AT&T, provoquant la mort de son téléphone et envoyant tous les SMS et appels téléphoniques entrants vers un appareil contrôlé par les attaquants. Armés de cet accès, les intrus ont pu réinitialiser les informations d’identification liées à ses comptes de crypto-monnaie et siphonner près de 24 millions de dollars de devises numériques.
Selon Terpin, c’était la deuxième fois en six mois que quelqu’un piratait son numéro AT&T. Le 11 juin 2017, le téléphone de Terpin est tombé en panne. Il a vite appris que son mot de passe AT&T avait été changé à distance après 11 tentatives dans les magasins AT&T avaient échoué. À l’époque, AT&T a suggéré à Terpin de tirer parti de la fonction de « sécurité supplémentaire » de l’entreprise – un code PIN à six chiffres spécifié par le client qui est requis avant que toute modification de compte puisse être effectuée.
Terpin affirme qu’une enquête d’AT&T sur la violation de 2018 a révélé qu’un employé d’un magasin AT&T à Norwich, dans le Connecticut, a exécuté d’une manière ou d’une autre l’échange de carte SIM sur son compte sans avoir à saisir son code PIN de « sécurité supplémentaire », et qu’AT&T savait ou aurait dû savoir que les employés pourraient contourner les mesures de sécurité de ses clients.
Terpin poursuit AT&T pour ses 24 millions de dollars de crypto-monnaies, plus 200 millions de dollars de dommages-intérêts punitifs. Une copie de sa plainte est ici (PDF).
AT&T a refusé de commenter des revendications spécifiques dans le procès, déclarant seulement dans un communiqué que « nous contestons ces allégations et sommes impatients de présenter notre cas devant le tribunal ».
UNE « CRISE D’IDENTITÉ » ?
Les entreprises de téléphonie mobile sont un point faible majeur en matière d’authentification, car de nombreuses entreprises ont maintenant construit toute leur procédure d’authentification des clients sur un processus qui consiste à envoyer un code à usage unique au client par SMS ou par appel téléphonique automatisé.
Dans certains cas, les voleurs exécutant des échanges de carte SIM ont déjà hameçonné ou autrement volé le mot de passe bancaire ou de messagerie d’une cible. Mais de nombreuses grandes plateformes de médias sociaux, telles que Instagram — permettre aux utilisateurs de réinitialiser leurs mots de passe en utilisant rien de plus qu’une authentification basée sur du texte (SMS)ce qui signifie que les voleurs peuvent détourner ces comptes simplement en contrôlant le numéro de téléphone mobile de la cible.
Allison Nixon est directeur de la recherche sur la sécurité à Point de ruptureune société de sécurité basée à New York qui suit de près le monde souterrain trouble des communautés qui enseignent aux gens comment détourner les numéros de téléphone attribués aux comptes clients chez tous les principaux fournisseurs de téléphonie mobile.
Nixon appelle l’engouement actuel pour le détournement de cartes SIM « une crise d’identité majeure » pour la cybersécurité à plusieurs niveaux.
« Les numéros de téléphone n’ont jamais été conçus à l’origine comme un document d’identité, ils ont été conçus comme un moyen de contacter les gens », a déclaré Nixon. « Mais à cause de toutes ces autres entreprises qui mettent en place des mesures de sécurité, un numéro de téléphone est devenu un document d’identité. »
Essentiellement, les entreprises de téléphonie mobile sont devenues des « infrastructures critiques » pour la sécurité, précisément parce que tout dépend de qui contrôle un numéro de téléphone mobile donné. Dans le même temps, il suffit de si peu pour défaire les faibles contrôles de sécurité mis en place pour prévenir les abus.
« L’infrastructure n’a pas été conçue pour résister au type d’attaques qui se produisent actuellement », a déclaré Nixon. « Les protocoles doivent être modifiés, et il y a probablement des lois affectant les entreprises de télécommunications qui doivent être revues à la lumière de l’évolution de ces entreprises. »
Malheureusement, avec les principaux fournisseurs de téléphonie mobile si étroitement liés à votre sécurité, il est impossible de supprimer les éléments les plus vulnérables de cette infrastructure – les employés des magasins mobiles qui peuvent être payés ou autrement induits en erreur pour aider ces attaques à réussir.
Pas question, à moins que vous ne déconnectiez complètement votre numéro de téléphone mobile de toute sorte d’authentification par SMS que vous utilisez actuellement, et que vous le remplaciez par des services téléphoniques basés sur Internet qui n’offrent pas de support client « utile » – comme la voix de Google.
Google Voice permet aux utilisateurs de choisir un numéro de téléphone lié à leur compte Google, et tous les appels ou messages vers ce numéro seront transférés vers votre numéro de mobile. Mais contrairement aux numéros de téléphone émis par les principaux fournisseurs de téléphonie mobile, les numéros Google Voice ne peuvent pas être volés à moins que quelqu’un ne pirate également votre mot de passe Google, auquel cas vous aurez probablement des problèmes beaucoup plus importants.
Avec Google Voice, aucune personne du service client ne peut être escroquée par téléphone pour aider. Il n’y a pas d’employé de magasin de détail qui vendre l’accès à vos informations SIM pour un salaire dérisoire de 80 $. Dans cette vision de la sécurité, le service client devient un mauvais service client.
Attention, ce n’est pas mon conseil. La déclaration ci-dessus résume les arguments prétendument avancés par l’un des voleurs d’échange de cartes SIM les plus accomplis du jeu aujourd’hui. Le 12 juillet 2018, la police de Californie arrêtée Joël Ortizun étudiant de 20 ans de Boston accusé d’avoir utilisé des échanges de carte SIM pour voler plus de 5 millions de dollars en crypto-monnaies à 40 victimes.
Ortiz aurait eu l’aide d’un certain nombre de complices anonymes qui ont collectivement ciblé des personnes de haut niveau et riches dans l’espace de la crypto-monnaie. Dans l’une des trois attaques effrontées lors d’une conférence sur le bitcoin cette année, Ortiz aurait utilisé ses compétences en matière d’échange de carte SIM pour voler plus de 1,5 million de dollars à un entrepreneur en crypto-monnaie, dont près d’un million de dollars que la victime avait financés par crowdfunding.
Une publication de juillet 2018 du compte Instagram « OG » « 0 », prétendument un compte détourné par Joel Ortiz (photo tenant une brassée de champagne Dom Perignon).
Ortiz aurait été un membre essentiel de OGUsers[dot]com, un forum qui est devenu extrêmement populaire parmi les criminels qui se livrent à des échanges de carte SIM pour voler de la crypto-monnaie et détourner des comptes de médias sociaux de grande valeur. OG est l’abréviation de «gangster original» et fait référence à un type de «crédibilité de rue» pour la possession de noms de comptes de médias sociaux relativement courts (entre un et six caractères). Sur les utilisateurs[dot]com, Ortiz aurait choisi le nom d’utilisateur « j ». Les noms d’utilisateur courts sont considérés comme plus précieux car ils confèrent au titulaire du compte l’apparence d’un adopteur précoce sur la plupart des réseaux sociaux.
Les discussions sur le forum Ogusers indiquent qu’Ortiz serait l’occupant actuel du nom d’utilisateur peut-être le plus OG sur Twitter – un compte représenté par le chiffre zéro « 0 ». L’alias affiché sur ce profil Twitter est « j0 ». Il contrôle aussi apparemment le compte Instagram par le même numéroaussi bien que Compte Instagram « t »dont le pseudonyme est « Joel ».
Montré ci-dessous est un extrait en cache d’un forum Ogusers posté par « j » (prétendument Ortiz), conseillant aux gens de supprimer leur numéro de téléphone mobile de toutes les options d’authentification multi-facteurs importantes et de le remplacer par quelque chose comme Google Voice.
Ogusers SIM swapper « j » conseille les membres du forum sur la façon de ne pas devenir victimes de l’échange de cartes SIM. Cliquez pour agrandir.
QUE POUVEZ-VOUS FAIRE?
Les quatre principaux opérateurs de téléphonie mobile : AT&T, Sprint, T Mobile et Verizon – laissez les clients ajouter une sécurité contre les échanges de cartes SIM et les schémas associés en définissant un code PIN qui doit être fourni par téléphone ou en personne dans un magasin avant que des modifications de compte ne soient apportées. Mais ces fonctionnalités de sécurité peuvent être contournées par des employés de magasins mobiles incompétents ou corrompus.
Les employés des magasins mobiles qui peuvent être achetés ou amenés à effectuer des échanges de cartes SIM sont connus sous le nom de «plugs» dans la communauté Ogusers, et sans eux, les systèmes d’échange de cartes SIM deviennent beaucoup plus difficiles.
La semaine dernière, BreachTrace a annoncé que la police de Floride avait arrêté un homme de 25 ans accusé de faire partie d’un groupe d’au moins neuf personnes qui effectuaient régulièrement des échanges de carte SIM frauduleux sur des cibles de grande valeur. Les enquêteurs dans cette affaire disent qu’ils ont des journaux de surveillance qui montrent que le groupe a discuté de travailler directement avec les employés du magasin mobile pour terminer les braquages de numéros de téléphone.
En mai, j’ai écrit à propos d’un homme de 27 ans de Boston qui s’est fait voler le nom de son compte Instagram à trois lettres après que des voleurs ont détourné son numéro chez T-Mobile. Tout comme M. Terpin, la victime dans cette affaire avait déjà suivi les conseils de T-Mobile et placé un code PIN sur son compte censé empêcher le transfert de son numéro de mobile. T-Mobile a finalement reconnu que le braquage avait été effectué par un employé voyou du magasin T-Mobile.
Pensez donc à créer un compte Google Voice si vous n’en avez pas déjà un. Lors de la configuration d’un nouveau numéro, Google vous demande de fournir un numéro capable de recevoir des SMS. Une fois que votre numéro Google Voice est lié à votre mobile, l’appareil au numéro de mobile que vous avez donné à Google devrait vous avertir instantanément si quelqu’un appelle ou envoie un message au numéro Google (cela suppose que votre téléphone dispose d’une connexion Wi-Fi ou mobile à Internet) .
Après avoir fait cela, faites le point sur tous les comptes majeurs auxquels vous pouvez penser, en remplaçant votre numéro de téléphone mobile par votre numéro Google Voice dans tous les cas où il est répertorié dans votre profil.
C’est là que ça devient délicat. Si vous êtes prêt à suivre les conseils anti-piratage SIM prétendument offerts par M. Ortiz, une fois que vous avez modifié toutes vos options d’authentification multifacteur de votre numéro de mobile à votre numéro Google Voice, vous devez ensuite supprimer ce numéro de mobile que vous avez fourni à Google de votre compte Google Voice. Après cela, vous pouvez toujours gérer les appels/messages vers et depuis votre numéro Google Voice à l’aide de l’application mobile Google Voice.
Et notez ce qu’Ortiz conseille d’autre dans la capture d’écran ci-dessus pour sécuriser son compte Gmail et d’autres comptes Google : utiliser une clé de sécurité physique (si possible) pour remplacer les mots de passe. Cet article d’il y a quelques semaines explique ce que sont les clés de sécurité, comment elles peuvent vous aider à renforcer votre posture de sécurité et comment les utiliser. Si les propres processus de sécurité internes de Google comptent pour quelque chose, la société a récemment déclaré à cet auteur qu’aucun de ses 85 000 employés n’avait été victime d’hameçonnage avec succès pour leurs informations d’identification professionnelles depuis janvier 2017, lorsque Google a commencé à exiger que tous les employés utilisent des clés de sécurité physiques à la place d’une seule. mots de passe temporels envoyés à un appareil mobile.
Clause de non-responsabilité standard : Si la seule authentification à deux facteurs proposée par une entreprise que vous utilisez est basée sur l’envoi d’un code à usage unique par SMS ou appel téléphonique automatisé, c’est toujours mieux que de se fier uniquement à un mot de passe. Mais les codes à usage unique générés par une application de téléphonie mobile telle que Authy ou Authentificateur Google sont plus sécurisées que les options basées sur SMS car elles ne sont pas directement vulnérables aux attaques par échange de carte SIM.
Le site Web 2fa.répertoire répartit les fournisseurs de services en ligne selon les types d’authentification secondaire proposés (SMS, appel, codes à usage unique basés sur une application, clés de sécurité). Prenez un moment pour passer en revue cette ressource importante et renforcer votre posture de sécurité dans la mesure du possible.