Un Irlandais de 21 ans qui a plaidé coupable à des accusations d’avoir aidé à voler des millions de dollars en crypto-monnaies à des victimes a été condamné à un peu moins de trois ans de prison. L’accusé fait partie d’un complot présumé impliquant au moins huit autres personnes aux États-Unis qui sont accusées de vol via Échange de carte SIMun crime qui consiste à convaincre les employés d’une entreprise de téléphonie mobile de transférer la propriété du numéro de téléphone de la cible à un appareil contrôlé par les attaquants.
Conor Freeman de Dublin a pris part au vol de plus de deux millions de dollars de crypto-monnaie à différentes victimes tout au long de 2018. Freeman a été nommé membre d’un groupe d’échangeurs de cartes SIM présumés appelé « The Community » accusé l’année dernière de fraude électronique en relation avec SIM échanger des attaques qui ont rapporté plus de 2,4 millions de dollars.
Parmi les huit autres accusés figurent trois anciens employés d’une compagnie de téléphonie sans fil qui auraient aidé le gang à détourner des numéros de portable liés à leurs cibles. Les procureurs disent que les hommes identifieraient les personnes susceptibles de détenir d’importants avoirs en crypto-monnaie, puis paieraient leurs cohortes de compagnies de téléphone pour transférer le service mobile de la victime vers une nouvelle carte SIM – la puce intelligente de chaque téléphone qui relie l’appareil d’un client à son numéro.
Un échange de carte SIM frauduleux permet aux pirates d’intercepter les appels téléphoniques et les SMS entrants d’une cible. Ceci est dangereux car de très nombreux sites et services permettent encore aux clients de réinitialiser leur mot de passe simplement en cliquant sur un lien envoyé par SMS. À partir de là, les attaquants peuvent accéder à tous les comptes qui autorisent la réinitialisation des mots de passe par SMS ou appels automatisés, des profils de messagerie et de réseaux sociaux aux plateformes de trading de devises virtuelles.
Comme d’autres membres accusés de The Community, Freeman était un membre actif d’OGUsers, un forum qui s’adresse aux personnes vendant l’accès à des médias sociaux piratés et à d’autres comptes en ligne. Mais contrairement à d’autres membres du groupe, Freeman a utilisé son vrai nom (nom d’utilisateur : Conor) et a révélé sa ville natale et sa date de naissance aux autres sur le forum. Au moins deux fois au cours des dernières années, OGUsers a été piraté et sa base de données de profils et de messages d’utilisateurs a été publiée en ligne.
Selon un rapport en Le temps irlandais, Freeman a dépensé environ 130 000 €, qu’il avait convertis en espèces à partir de la crypto-monnaie volée. Conor a publié sur OGUsers qu’il avait dépensé environ 14 000 $ pour une montre Rolex. Le reste a été remis à la police sous la forme d’un portefeuille électronique contenant l’équivalent de plus de 2 millions de dollars.
L’Irish Times affirme que le juge chargé de l’affaire a insisté sur le fait que la peine de trois ans était justifiée afin de dissuader l’accusé et d’empêcher d’autres de suivre ses traces. Le juge a déclaré que le vol de l’argent de cette ordonnance est grave car personne ne peut savoir l’effet que cela aura sur la victime, notant que les économies d’une victime ont été prises et que le produit de la vente de sa maison a été volé.
Une façon de protéger vos comptes contre les permutateurs de carte SIM consiste à supprimer votre numéro de téléphone en tant que mécanisme d’authentification principal ou secondaire dans la mesure du possible. De nombreux services en ligne exigent que vous fournissiez un numéro de téléphone lors de l’enregistrement d’un compte, mais dans de nombreux cas, ce numéro peut être supprimé de votre profil par la suite.
Il est également important que les gens utilisent autre chose que des messages texte pour l’authentification à deux facteurs sur leurs comptes de messagerie lorsque des options d’authentification plus solides sont disponibles. Envisagez plutôt d’utiliser une application mobile comme Authy, Duoou Authentificateur Google pour générer le code à usage unique. Ou mieux encore, une clé de sécurité physique si c’est une option.