T Mobile enquête sur un employé d’un magasin de détail qui aurait apporté des modifications non autorisées au compte d’un abonné dans le cadre d’un stratagème élaboré pour voler le code à trois lettres du client Instagram nom d’utilisateur. Les modifications, qui auraient pu laisser l’employé voyou vider les comptes bancaires associés à l’abonné T-Mobile ciblé, ont été apportées même si le client victime avait déjà pris les mesures recommandées par l’opérateur de téléphonie mobile pour aider à minimiser les risques de prise de contrôle du compte. Voici ce qui s’est passé et quelques conseils pour vous protéger d’un sort similaire.
Plus tôt ce mois-ci, BreachTrace a entendu de Paul Rosenzweig, un client T-Mobile de Boston âgé de 27 ans dont le compte sans fil a été brièvement piraté. Rosenzweig avait précédemment adopté les conseils de T-Mobile aux clients sur le blocage des escroqueries de transfert de numéro de mobile, un schéma de plus en plus courant dans lequel des voleurs d’identité armés d’une fausse carte d’identité au nom d’un client ciblé se présentent dans un magasin de détail géré par un autre réseau sans fil. fournisseur de services mobiles et demander que le numéro soit transféré sur le réseau de l’entreprise de téléphonie mobile concurrente.
Les escroqueries dites de «port out» permettent aux escrocs d’intercepter vos appels et vos messages pendant que votre téléphone s’éteint. Le portage d’un numéro vers un nouveau fournisseur éteint le téléphone de l’utilisateur d’origine et transfère tous les appels vers le nouvel appareil. Une fois en contrôle du numéro de mobile, les voleurs qui ont déjà volé le(s) mot(s) de passe d’une cible peuvent demander n’importe quel second facteur qui est envoyé à l’appareil nouvellement activé, comme un code à usage unique envoyé par SMS ou un appel automatisé qui lit le code à usage unique à haute voix.
Dans ce cas, cependant, l’agresseur n’a pas essayé de transférer le numéro de téléphone de Rosenzweig : au lieu de cela, l’attaquant a appelé plusieurs magasins de détail T-Mobile à moins d’une heure de route de l’adresse du domicile de Rosenzweig jusqu’à ce qu’il réussisse à convaincre un employé du magasin de mener ce qu’on appelle un « échange de carte SIM ».
Un échange de carte SIM est un processus légitime par lequel un client peut demander qu’une nouvelle carte SIM (la minuscule puce amovible d’un appareil mobile qui lui permet de se connecter au réseau du fournisseur) soit ajoutée au compte. Les clients peuvent demander un échange de carte SIM lorsque leur carte SIM existante a été endommagée ou lorsqu’ils passent à un autre téléphone nécessitant une carte SIM d’une autre taille.
Cependant, les voleurs et autres vauriens peuvent abuser de ce processus en se faisant passer pour un client ou un technicien mobile ciblé et en incitant les employés du fournisseur de téléphonie mobile à échanger une nouvelle carte SIM pour ce client sur un appareil qu’ils contrôlent. En cas de succès, l’échange de carte SIM produit plus ou moins le même résultat qu’un transfert de numéro (au moins à court terme) – donnant effectivement aux attaquants l’accès à tous les messages texte ou appels téléphoniques envoyés au compte mobile de la cible.
Rosenzweig a déclaré que la première idée qu’il avait que quelque chose n’allait pas avec son téléphone était le soir du 2 mai 2018, lorsqu’il a repéré un e-mail automatisé de Instagram. Le message indiquait que l’adresse e-mail liée au compte à trois lettres qu’il avait sur la plate-forme de médias sociaux pendant sept ans – instagram.com/par – avait été modifiée. Il s’est rapidement connecté à son compte Instagram, a changé son mot de passe, puis a renvoyé l’e-mail sur le compte à son adresse d’origine.
À ce moment-là, l’échange de carte SIM effectué par l’attaquant avait déjà été effectué, bien que Rosenzweig ait déclaré qu’il n’avait pas remarqué que son téléphone n’affichait aucune barre et aucune connexion à T-Mobile à ce moment-là, car il était chez lui et naviguait joyeusement sur le Web. sur son appareil en utilisant son propre réseau sans fil.
Le lendemain matin, Rosenzweig a reçu un autre avis – celui-ci de Snapchat — indiquant que le mot de passe de son compte là-bas (« p9r ») avait été changé. Il a ensuite réinitialisé le mot de passe Instagram, puis eactivé l’authentification à deux facteurs sur son compte Snapchat.
« C’est à ce moment-là que j’ai réalisé que mon téléphone n’avait pas de barres », se souvient-il. « Mon téléphone était mort. Je ne pouvais même pas appeler le 611 », [the mobile short number that all major wireless providers make available to reach their customer service departments].”
Il semble que l’auteur de l’échange de carte SIM ait abusé non seulement des connaissances internes des systèmes de T-Mobile, mais également d’un processus de réinitialisation de mot de passe laxiste sur Instagram. Le réseau social permet aux utilisateurs d’activer les notifications sur leur téléphone mobile lorsque des réinitialisations de mot de passe ou d’autres modifications sont demandées sur le compte.
Mais il ne s’agit pas exactement d’une authentification à deux facteurs, car elle permet également aux utilisateurs de réinitialiser leurs mots de passe via leur compte mobile en demandant l’envoi d’un lien de réinitialisation de mot de passe sur leur appareil mobile. Ainsi, si quelqu’un contrôle votre compte de téléphone portable, il peut réinitialiser votre mot de passe Instagram (et probablement un tas d’autres types de comptes).
Rosenzweig a déclaré que même s’il avait pu réinitialiser son mot de passe Instagram et restaurer son ancienne adresse e-mail liée au compte, le mal était déjà fait : toutes ses images et autres contenus qu’il avait partagés sur Instagram au fil des ans étaient toujours liés à son compte, mais l’attaquant avait réussi à voler son nom d’utilisateur « par », le laissant avec un « par54384321 » légèrement moins sexy (apparemment choisi pour lui au hasard par Instagram ou l’attaquant).
Comme je l’écrivais en novembre 2015, les noms d’utilisateur courts sont en quelque sorte un symbole de prestige ou de statut pour de nombreux jeunes, et certains sont prêts à payer des sommes d’argent surprenantes pour eux. Connus sous le nom de « OG » (abréviation de « original » et aussi de « gangster original ») dans certains cercles en ligne, il peut s’agir de noms d’utilisateur pour pratiquement n’importe quel service, des comptes de messagerie des fournisseurs de messagerie Web aux services de médias sociaux tels que Instagram, Snapchat, Twitter et Youtube.
Les personnes qui traitent des comptes OG les apprécient car elles peuvent donner l’impression que le titulaire du compte a été un adepte précoce et avisé du service avant qu’il ne devienne populaire et avant que tous les noms d’utilisateur courts ne soient pris.
Rosenzweig a déclaré qu’un ami l’avait aidé à travailler avec T-Mobile pour reprendre le contrôle de son compte et désactiver la carte SIM malveillante. Il a dit qu’il était reconnaissant que les attaquants qui ont piraté son téléphone pendant quelques heures n’aient pas essayé de vider les comptes bancaires qui s’appuient également sur son appareil mobile pour l’authentification.
« Cela aurait certainement pu être bien pire compte tenu de l’accès dont ils disposaient », a-t-il déclaré.
Mais tout au long de cette épreuve, il a semblé étrange à Rosenzweig qu’il n’ait jamais reçu un seul e-mail de T-Mobile indiquant que sa carte SIM avait été échangée.
« Je suis un ingénieur logiciel et je pensais avoir d’assez bonnes habitudes de sécurité pour commencer », a-t-il déclaré. « Je ne réutilise jamais les mots de passe, et il est difficile de voir ce que j’aurais pu faire différemment ici. Le défaut ici était principalement avec T-Mobile, mais aussi avec Instagram. Il semble qu’en ayant la capacité de changer son [Instagram] mot de passe par email ou par mobile seul annule le deuxième facteur et il devient l’un ou l’autre du point de vue des attaquants.
Des sources proches de l’enquête affirment que T-Mobile enquête sur un employé actuel ou ancien comme étant le coupable probable. L’entreprise mobile a également reconnu qu’il n’envoyait pas actuellement d’e-mail aux clients à l’adresse e-mail enregistrée lors des échanges de cartes SIM.. Un porte-parole de T-Mobile a déclaré que la société envisageait de modifier la politique actuelle, qui envoie au client un SMS pour l’avertir de l’échange de carte SIM.
« Nous prenons très au sérieux la confidentialité et la sécurité de nos clients et nous regrettons que cela se soit produit », a déclaré la société dans un communiqué écrit. « Nous informons immédiatement nos clients lorsque des changements de carte SIM se produisent, mais actuellement nous n’envoyons pas ces notifications par e-mail. Nous recherchons activement des moyens d’améliorer nos processus dans ce domaine.
En résumé, lorsqu’un échange de carte SIM se produit sur un compte T-Mobile, T-Mobile enverra un SMS au téléphone équipé de la nouvelle carte SIM. Mais évidemment, cela n’aide pas quelqu’un qui est la cible d’une escroquerie par échange de carte SIM.
Comme nous pouvons le voir, le simple fait de suivre les conseils de T-Mobile pour placer un numéro d’identification personnel (PIN) sur votre compte pour bloquer les escroqueries de transfert de numéro ne fait rien pour signaler son compte pour rendre plus difficile la conduite d’escroqueries par échange de carte SIM.
Au lieu de cela, T-Mobile indique que les clients doivent appeler la ligne d’assistance client de l’entreprise et placer un « verrou SIM » séparé sur leur compte, qui ne peut être supprimé que si le client se présente dans un magasin de détail avec une pièce d’identité (ou, vraisemblablement, toute personne possédant une fausse carte d’identité et connaissant également le numéro de sécurité sociale et la date de naissance de la cible).
J’ai vérifié auprès des autres opérateurs pour voir s’ils prennent en charge le verrouillage de la carte SIM actuelle du client sur le compte enregistré. Je soupçonne qu’ils le font, et je mettrai à jour cet article quand/si j’ai de leurs nouvelles. En attendant, il serait peut-être préférable de téléphoner à votre opérateur et de lui demander.
Veuillez noter qu’un verrou SIM sur votre compte mobile est distinct d’un code PIN SIM que vous pouvez définir via le système d’exploitation de votre téléphone mobile. Un code PIN SIM est essentiellement une couche supplémentaire de sécurité physique qui verrouille la carte SIM actuelle sur votre appareil, vous obligeant à saisir un code PIN spécial lorsque l’appareil est allumé afin d’appeler, d’envoyer des SMS ou d’accéder à votre forfait de données sur votre téléphone. Cette fonctionnalité peut aider à empêcher les voleurs d’utiliser votre téléphone ou d’accéder à vos données si vous perdez votre téléphone, mais cela n’empêchera pas les voleurs d’échanger physiquement leur propre carte SIM.
Les utilisateurs d’iPhone peuvent suivre ces consignes pour définir ou modifier le code PIN SIM d’un appareil. Les utilisateurs d’Android peuvent voir cette page. Vous devrez peut-être saisir un code PIN par défaut spécifique à l’opérateur avant de pouvoir le modifier. Par défaut, le code PIN de la carte SIM pour tous les téléphones Verizon et AT&T est « 1111 ; » pour T-Mobile et Sprint, la valeur par défaut est « 1234 ».
Sachez toutefois que si vous oubliez le code PIN de votre carte SIM et que vous entrez trop souvent le mauvais code PIN, vous devrez peut-être contacter votre opérateur de téléphonie mobile pour obtenir une « clé de déverrouillage personnelle » (PUK) spéciale.
À tout le moins, si vous ne l’avez pas déjà fait, veuillez prendre un moment pour placer un code PIN de blocage de port sur votre compte. Cette histoire explique exactement comment faire cela.
Pensez également à revoir 2fa.répertoire pour voir si vous tirez pleinement parti des offres d’authentification multifacteur afin que vos différents comptes ne puissent pas être piratés de manière triviale si un attaquant arrive à deviner, voler, hameçonner ou autrement connaître votre mot de passe.
Codes de connexion à usage unique produits par des applications mobiles telles que Authy, Duo ou Authentificateur Google sont plus sûrs que les codes à usage unique envoyés via un appel téléphonique ou un SMS automatisé, principalement parce que les escrocs ne peuvent pas voler ces codes s’ils réussissent à transférer votre numéro de mobile vers un autre service ou en exécutant un échange de carte SIM sur votre compte mobile [full disclosure: Duo is an advertiser on this blog].
Mise à jour, 19 mai, 15 h 16 HE : Rosenzweig rapporte qu’il a maintenant repris le contrôle de son nom de compte Instagram d’origine, « par ». Bon sur Instagram pour résoudre ce problème, mais il n’est pas clair que l’entreprise dispose d’un processus de signalement très solide pour les personnes qui découvrent que leurs noms d’utilisateur sont piratés.