Les autorités de Santa Clara, en Californie, ont arrêté et inculpé un homme de 19 ans soupçonné d’avoir détourné des numéros de téléphone portable dans le cadre d’un stratagème visant à voler de grosses sommes de bitcoins et d’autres crypto-monnaies. L’arrestation est la troisième action policière connue ce mois-ci ciblant les « SIM swappers », des personnes spécialisées dans le vol de numéros de téléphone sans fil et le détournement de comptes de médias sociaux et financiers en ligne liés à ces numéros.
Xzavyer Clemente Narvaez a été arrêté le 17 août 2018 par des enquêteurs travaillant avec le «Groupe de travail REACT« , qui dit qu’il cible les personnes impliquées dans » les prises de contrôle de téléphones portables, de courriers électroniques et de comptes financiers entraînant le vol de crypto-monnaie « .
Les procureurs allèguent que Narvaez a utilisé le produit de ses crimes (estimé à plus d’un million de dollars en devises virtuelles) pour acheter des articles de luxe, notamment une McLaren – une voiture de sport haute performance de 200 000 $. Les enquêteurs ont déclaré avoir interrogé plusieurs victimes présumées de Narvaez, dont un homme qui a déclaré s’être fait voler 150 000 dollars en monnaies virtuelles après le piratage de son numéro de téléphone.
Un échange de carte SIM frauduleux se produit lorsque le service de téléphonie mobile d’une victime est redirigé depuis une carte SIM sous le contrôle de la victime à un autre sous le contrôle du suspect, à l’insu ou sans l’autorisation du titulaire du compte de la victime.
Lorsqu’une victime subit un échange de carte SIM frauduleux, son téléphone n’a soudainement plus de service et tous les appels et SMS entrants sont envoyés à l’appareil de l’attaquant. Cela inclut tous les codes à usage unique envoyés par SMS ou par appel téléphonique automatisé que de nombreuses entreprises utilisent pour compléter les mots de passe de leurs comptes en ligne.
Narvaez a attiré l’attention des forces de l’ordre après l’arrestation de Joël Ortizune doué Étudiant universitaire de 20 ans de Boston qui était chargé en juillet 2018 avec l’utilisation d’échanges de cartes SIM pour voler plus de 5 millions de dollars en crypto-monnaies à 40 victimes.
Un « exposé des faits » expurgé dans l’affaire obtenue par BreachTrace indique que les enregistrements obtenus de Google ont révélé qu’un appareil cellulaire utilisé par Ortiz pour engager des échanges de carte SIM avait à un moment donné été utilisé pour accéder au compte Google identifié comme [email protected].
Cette déclaration fait souvent référence au terme IMEI; c’est le Identité internationale des équipements mobiles numéro, qui est un numéro d’identification unique ou numéro de série que possèdent tous les téléphones portables et smartphones.
Les procureurs ont utilisé les données recueillies auprès d’un grand nombre d’entreprises technologiques pour placer le téléphone de Narvaez à des endroits spécifiques près de son domicile à Tracy, Californie. au moment où ses victimes présumées ont déclaré avoir été détournées de leurs téléphones. Sa prétendue réutilisation du même appareil mobile pour plusieurs détournements de carte SIM l’a finalement trahi :
« Le 18/07/18, les enquêteurs ont reçu des informations d’un enquêteur d’AT&T concernant des échanges de carte SIM non autorisés effectués par l’intermédiaire d’un détaillant agréé AT&T. Il a signalé qu’environ 28 échanges de cartes SIM ont été effectués en utilisant le même numéro d’identification d’employé sur une période d’environ deux semaines en novembre 2017. Des enregistrements ont été obtenus qui comprenaient une liste de numéros IMEI utilisés pour reprendre les numéros de téléphone portable des victimes.
« AT&T a fourni des enregistrements détaillés des appels concernant les numéros IMEI répertoriés pour effectuer les échanges de cartes SIM. L’un de ces numéros IMEI, se terminant par 3218, a été utilisé pour prendre en charge le téléphone portable d’un résident de l’Illinois. J’ai contacté la victime qui a vérifié que certains de ses comptes avaient été « piratés » fin 2017 mais a déclaré qu’il n’avait subi aucune perte financière. sergent. Tarazi a analysé les données de localisation AT&T relatives à cette prise de contrôle de compte. Ces données ont indiqué que le 27/07/17, lorsque la victime de l’Illinois a perdu l’accès à ses comptes, l’IMEI (se terminant par 3218) du téléphone portable contrôlant le numéro de téléphone portable de la victime était situé à Tracy, en Californie.
«La tour spécifique est située à environ 0,6 miles de l’adresse 360 Yosemite Drive à Tracy. Plusieurs enregistrements « NELOS » (coordonnées GPS enregistrées par AT&T pour estimer l’emplacement des appareils sur leur réseau) indiquent que le téléphone se trouvait à moins de 1000 mètres du 360 Yosemite Drive à Tracy. AT&T a également fourni des enregistrements détaillés des appels concernant le compte de téléphone portable de Narvaez, qui lui était lié via les enregistrements de compte de services financiers. sergent. Tarazi a examiné ces enregistrements et a déterminé que le propre téléphone portable de Narvaez était connecté à la même tour et au même secteur pendant à peu près la même période que l’appareil suspect (se terminant par 3218) était connecté au compte de la victime.
Pomme répondu aux demandes avec des enregistrements relatifs aux comptes clients liés à ce même numéro IMEI suspect. Ces enregistrements ont identifié trois résidents californiens dont les comptes Apple étaient liés au même numéro IMEI.
Un extrait d’un « exposé des faits » expurgé déposé par les procureurs dans l’affaire Narvaez.
Verizon a fourni des enregistrements détaillés des appels concernant le numéro IMEI se terminant par 3218. D’après l’exposé des faits :
Ces enregistrements indiquent que ce téléphone avait en fait été utilisé pour accéder aux deux numéros Verizon indiqués ci-dessus et qu’il était en même temps connecté à une tour cellulaire Verizon située à environ 2,1 km du 360 Yosemite Drive à Tracy, en Californie. Cette tour cellulaire était la tour Verizon la plus proche du 360 Yosemite Drive.
« Les dossiers obtenus auprès de DMV indiquent que la McLaren 2018 a été achetée chez un concessionnaire automobile du sud de la Californie. Les dossiers de vente obtenus auprès du concessionnaire indiquaient que le paiement du véhicule avait été effectué par Tiffany Ross, principalement à l’aide de bitcoin, accepté par le processeur du commerçant BitPay au nom du concessionnaire. Le reste du prix du véhicule a été financé par la reprise d’une Audi R8 2012. L’adresse e-mail indiquée par l’acheteur était une adresse Gmail. Les dossiers indiquaient également que l’Audi R8 avait été achetée en juin 2017 par Xzavyer Narvaez. La totalité du solde de ce véhicule a été payée en bitcoins.
« Une autre adresse Gmail a été répertoriée sous les coordonnées de l’acheteur. Google a fourni des enregistrements indiquant que les deux adresses e-mail utilisées pour payer les véhicules appartenaient à Xzavyer Narvaez.
«BitPay a fourni des enregistrements identifiant les transactions Bitcoin dans lesquelles les véhicules ont été achetés. L’enquêteur Berry a utilisé la blockchain Bitcoin, qui est le registre public distribué de toutes les transactions historiques sur le réseau Bitcoin, pour retracer le flux des bitcoins utilisés pour acheter la McLaren jusqu’à une adresse attribuée à l’échangeur de crypto-monnaie Bittrex.
« Bittrex a vérifié que les fonds de Bittrex à l’adresse de sortie identifiée dans la blockchain qui a conduit à l’achat de la McLaren provenaient du compte de Narvaez, et a vérifié l’adresse utilisée pour le dépôt de bitcoin sur ce compte. La blockchain Bitcoin indique actuellement que l’adresse de dépôt Bittrex de Narvaez a été parcourue par plus de 157 bitcoins, en 208 transactions, entre le 7/12/18 et le 3/12/18. Sur la base de la valeur marchande actuelle d’un bitcoin, 157 bitcoins valent actuellement environ 1 000 000 S.
Narvaez fait face à quatre chefs d’accusation d’utilisation d’informations d’identification personnelle sans autorisation ; quatre chefs d’accusation de modification et d’endommagement de données informatiques dans l’intention de frauder ou d’obtenir de l’argent ou toute autre valeur ; et grand vol de biens personnels d’une valeur supérieure à neuf cent cinquante mille dollars. Il devrait émettre un plaidoyer le 26 septembre 2018. Une copie des accusations portées contre lui est ici (PDF).
Les autorités fédérales ont également été actives dans le ciblage des échangeurs de cartes SIM ces derniers temps. Un jour après l’arrestation de Narvaez, la police de Floride a arrêté un homme de 25 ans accusé de faire partie d’un groupe d’environ neuf personnes qui aurait volé des centaines de milliers de dollars en devises virtuelles à des victimes d’échange de carte SIM. Cette affaire s’appuyait sur la collaboration avec Enquêtes de sécurité intérieurequi a agi sur les conseils d’une mère inquiète du Michigan qui a entendu son fils se faire passer pour un employé d’AT&T et a trouvé des sacs de cartes SIM dans sa chambre.
Toutes les principales sociétés de téléphonie mobile permettent aux clients de protéger leurs comptes contre l’échange de carte SIM en sélectionnant un numéro d’identification personnel (NIP) censé être requis lorsque des modifications de compte sont demandées en personne ou par téléphone. Mais une grande partie du problème est que bon nombre de ces échangeurs de cartes SIM travaillent directement avec les employés des magasins de téléphonie mobile qui savent comment contourner ces protections.
Si vous êtes préoccupé par la menace de piratage de la carte SIM, les experts disent qu’il est peut-être temps de déconnecter votre numéro de téléphone portable des comptes importants. Nous avons discuté des options pour faire exactement cela dans la colonne de la semaine dernière, Raccrocher sur mobile au nom de la sécurité.