La police de Floride a arrêté un homme de 25 ans accusé de faire partie d’un réseau de cyberfraude multi-États qui a détourné des numéros de téléphone portable lors d’attaques en ligne qui ont détourné des centaines de milliers de dollars de bitcoins et d’autres crypto-monnaies des victimes.
Le 18 juillet 2018, les autorités du comté de Pasco ont arrêté Ricky Joseph Handschumacher, un employé de la ville de Port Richey, en Floride, l’accusant de vol qualifié et de blanchiment d’argent. Les enquêteurs allèguent que Handschumacher faisait partie d’un groupe d’au moins neuf personnes dispersées dans plusieurs États qui, au cours des deux dernières années, ont vidé des comptes bancaires via un stratagème de plus en plus courant impliquant des «échanges SIM» de téléphones portables.
Une carte SIM est la minuscule puce amovible d’un appareil mobile qui lui permet de se connecter au réseau du fournisseur. Les clients peuvent légitimement demander un échange de carte SIM lorsque leur carte SIM existante a été endommagée ou lorsqu’ils passent à un autre téléphone nécessitant une carte SIM d’une autre taille.
Mais les échanges de cartes SIM sont fréquemment utilisés abusivement par des escrocs qui incitent les fournisseurs de téléphonie mobile à lier le service d’une cible à une nouvelle carte SIM et à un nouveau téléphone portable contrôlés par les attaquants. Les échanges de carte SIM non autorisés sont souvent perpétrés par des fraudeurs qui ont déjà volé ou hameçonné le mot de passe d’une cible, car de nombreuses banques et services en ligne s’appuient sur des SMS pour envoyer aux utilisateurs un code à usage unique qui doit être saisi en plus d’un mot de passe pour l’authentification en ligne.
Dans certains cas, les échanges frauduleux de cartes SIM réussissent grâce à des procédures d’authentification laxistes dans les magasins de téléphonie mobile. Dans d’autres cas, les employés des magasins mobiles travaillent directement avec les cybercriminels pour aider à effectuer des échanges de carte SIM non autorisés, comme cela semble être le cas avec le gang criminel qui aurait inclus Handschumacher.
UNE MAMAN INQUIET
Selon des documents judiciaires, les enquêteurs ont appris les activités du groupe pour la première fois en février 2018, lorsqu’une femme du Michigan a appelé la police après avoir entendu son fils parler au téléphone et se faire passer pour un AT&T employé. Les agents qui ont répondu au rapport ont fouillé la résidence et ont trouvé plusieurs téléphones portables et cartes SIM, ainsi que des fichiers sur l’ordinateur de l’enfant qui comprenaient « une longue liste de noms et de numéros de téléphone de personnes du monde entier ».
Le mois suivant, les autorités du Michigan ont trouvé le même individu accédant aux données personnelles des consommateurs via le Wi-Fi public dans une bibliothèque locale et ont saisi 45 cartes SIM, un ordinateur portable et un Portefeuille Trezor – un périphérique matériel conçu pour stocker les données de compte de crypto-monnaie. En avril 2018, la mère a de nouveau appelé les flics au sujet de son fils – identifié uniquement comme source confidentielle n° 1 (« CS1 ») dans la plainte pénale – disant qu’il avait obtenu un autre téléphone portable.
Une fois de plus, les forces de l’ordre ont été invitées à fouiller la résidence de l’enfant et ont cette fois trouvé deux sacs de cartes SIM et de nombreux permis de conduire et passeports. Les enquêteurs ont déclaré avoir utilisé ces faux documents pour localiser et contacter plusieurs victimes ; deux des victimes ont chacune déclaré avoir perdu environ 150 000 dollars en crypto-monnaies après le clonage de leurs téléphones ; la troisième a déclaré aux enquêteurs que son compte avait été vidé de 50 000 $.
CS1 a déclaré plus tard aux enquêteurs qu’il effectuait régulièrement le clonage téléphonique et les retraits en collaboration avec huit autres personnes, dont Handschumacher, qui aurait utilisé la poignée « coinmission » dans les conversations quotidiennes du groupe via Discorde et Télégramme. Des mandats de perquisition ont révélé qu’à la mi-mai 2018, le groupe avait travaillé en tandem pour voler 57 bitcoins à une victime – alors évalués à près de 470 000 $ – et avait accepté de répartir le butin entre les membres.
GRANDS PLANS
Les enquêteurs ont rapidement obtenu des mandats de perquisition pour surveiller les conversations de chat du serveur Discord du groupe et ont observé Handschumacher se vanter prétendument dans ces chats d’avoir utilisé le produit de ses crimes présumés pour acheter un terrain, une maison, un véhicule et un « véhicule quad ». De façon intéressante, Page Facebook publique de Handschumacher reste public et regorge de photos qu’il a publiées de récentes acquisitions de véhicules, y compris une camionnette et plusieurs véhicules tout-terrain et jet-skis.
Le bureau du shérif du comté de Pasco affirme que leur surveillance du serveur Discord a révélé que le groupe payait régulièrement les employés des compagnies de téléphonie cellulaire pour les aider dans leurs attaques, et qu’ils avaient même discuté d’un plan pour pirater les comptes appartenant au PDG de l’échange de crypto-monnaie. Société de fiducie Gémeaux. La plainte ne mentionne pas le nom du PDG, mais le PDG actuel est un milliardaire en bitcoins Tyler Winklevossqui a cofondé l’échange avec son frère jumeau Cameron.
« Handschumacher et un autre co-conspirateur parlent de compromettre le PDG de Gemini et ont publié son nom, sa date de naissance, son nom d’utilisateur Skype et son adresse e-mail dans la conversation », indique la plainte. «Handschumacher et les co-conspirateurs discutent de la compromission du compte Skype et du compte T-Mobile du PDG. Le co-conspirateur déclare qu’il appellera son « mec » chez T-Mobile pour lui poser des questions sur le compte du PDG.
Des documents judiciaires indiquent que le groupe a utilisé Coinbase.com et plusieurs autres échanges de crypto-monnaie pour blanchir le produit de leurs vols dans le but de masquer la source des fonds volés. Les citations à comparaître à Coinbase ont révélé que Handschumacher avait un total de 82 bitcoins vendus ou envoyés sur son compte, et que pratiquement tous les fonds avaient été reçus via des sources extérieures (au lieu d’être achetés via Coinbase).
Ni Handschumacher ni son avocat n’ont répondu aux demandes de commentaires. La plainte contre Handschumacher indique qu’après son arrestation, il a avoué son implication dans le groupe et qu’il a admis avoir utilisé son téléphone portable pour blanchir de la crypto-monnaie pour des montants supérieurs à 100 000 dollars.
Mais le 23 juillet, l’avocat de Handschumacher a plaidé « non coupable » au nom de son client, qui fait maintenant face à des accusations de vol qualifié, de blanchiment d’argent et d’accès à un ordinateur ou à un appareil électronique sans autorisation.
L’arrestation de Handschumacher fait suite à une apparente répression des forces de l’ordre contre les personnes impliquées dans des stratagèmes d’échange de cartes SIM. Comme signalé pour la première fois par Motherboard.com au début du moisle 12 juillet, la police californienne a arrêté Joël Ortiz – un étudiant de 20 ans accusé de faire partie d’un groupe de criminels qui ont piraté des dizaines de numéros de téléphone portable pour voler plus de 5 millions de dollars en crypto-monnaie.
L’histoire de Motherboard note qu’Ortiz aurait été un membre actif de Utilisateurs OG[dot]com, un marché pour les noms d’utilisateur Twitter et Instagram que les pirates utilisant l’échange de carte SIM utilisent pour vendre des comptes volés – généralement des noms d’utilisateur de une à six lettres. Les noms d’utilisateur courts sont en quelque sorte un symbole de prestige ou de statut pour de nombreux jeunes, et certains sont prêts à payer des sommes d’argent surprenantes pour eux.
Des sources proches de l’enquête ont déclaré à BreachTrace que Handschumacher était également membre d’OGUsers, bien que l’on ne sache pas à quel point il était actif là-bas.
CE QUE TU PEUX FAIRE
Les quatre principales sociétés de téléphonie mobile américaines permettent aux clients de définir des numéros d’identification personnels (PIN) sur leurs comptes pour aider à lutter contre les échanges de cartes SIM, ainsi qu’un autre type de piratage de téléphone connu sous le nom d’escroquerie par port de numéro. Mais ces précautions peuvent constituer une faible protection contre les initiés véreux travaillant dans les points de vente de téléphones portables. Le 18 mai, BreachTrace a publié une histoire sur un homme de Boston qui s’est fait détourner son nom d’utilisateur Instagram à trois lettres après que des attaquants ont exécuté un échange de carte SIM contre son compte T-Mobile. Selon T-Mobile, cette attaque a été menée avec l’aide d’un employé voyou de l’entreprise.
Les escroqueries par échange de carte SIM illustrent un point faible crucial des méthodes d’authentification multifactorielle qui reposent sur un code à usage unique envoyé soit par SMS, soit par un appel téléphonique automatisé. Si un compte en ligne que vous appréciez offre des formes plus robustes d’authentification multifactorielle, telles que des codes à usage unique générés par une application ou, mieux encore, des clés de sécurité matérielles, veuillez envisager de tirer pleinement parti de ces options.
Si, toutefois, l’authentification par SMS est la seule option disponible, cela reste bien mieux que de simplement compter sur un nom d’utilisateur et un mot de passe pour protéger le compte. Si vous ne l’avez pas fait récemment, rendez-vous sur 2fa.répertoirequi maintient probablement la liste la plus complète des sites prenant en charge l’authentification multifacteur, indexant chacun par type de site (e-mail, jeux, finance, etc.) et le type d’authentification supplémentaire proposée (SMS, appel téléphonique, jeton logiciel/matériel, etc.).