Attention aux arnaques à la carte SIM

Alors que les services bancaires par Internet sont de plus en plus utilisés au détriment de la banque traditionnelle, les banques doivent relever de nouveaux challenges pour protéger leurs clients des vols de données.

Les banques doivent aussi pouvoir vérifier l’identité de leurs clients, et souvent cela demande plus que l’utilisation classique d’un code PIN ou mot de passe. Par exemple, certaines banques choisissent de synchroniser les comptes de leurs clients avec leur numéro de téléphone portable. Pour ce faire, elles procèdent à l’envoi d’un SMS  – à réception, les clients s’identifient en tant que titulaires du compte et mettent à jour leurs coordonnées.  Ce dispositif est ainsi utilisé comme dispositif d’authentification.

Mais, ce procédé ne prend pas en considération le fait que les cartes SIM peuvent aussi avoir des vulnérabilités. Contrairement à des procédés d’identification sécurisés comme ceux des données biométriques (comportementales ou physiologiques), un numéro de téléphone ou une carte SIM offrent peu d’options de vérification d’identité. En laissant cette porte ouverte, les banques risquent de rendre vulnérables les comptes de leurs clients aux hackers, via un procédé appelé la fraude SIM Swap ou piratage à la carte SIM.

Cette arnaque est une fraude sophistiquée qui relève de l’ingénierie sociale: Le point de départ est similaire à une attaque de type phishing.  Les hackers envoient de faux emails plus ou moins conformes et obtiennent en retour les données et informations personnelles de leurs victimes. Par exemple, ils prétendent être un opérateur de téléphonie mobile ou une société d’assurance.  Le destinataire dupé va alors fournir ses données complètes : nom, date de naissance, adresse, numéro de téléphone.  (Notez que les hackers peuvent aussi tenter de trouver ces informations sur les réseaux sociaux ou via des bases de données détenues frauduleusement par d’autres criminels).

Dans le cas de l’arnaque à la carte SIM, les hackers se font ensuite passer pour leur victime et contactent son opérateur de téléphonie mobile. Ils prétendent avoir perdu ou endommagé leur carte SIM et en utilisant les informations fournies, ils demandent une nouvelle carte SIM, avec le même numéro de téléphone.

Ce stratagème leur permet de prendre le contrôle de la ligne mobile et de cibler une attaque de compte bancaire : comme expliqué précédemment, certaines banques lient un numéro de téléphone à un client – il est alors très simple pour un hacker de se servir de ce numéro de téléphone pour demander l’envoi par SMS d’un nouveau code secret. A réception du SMS, le hacker peut se connecter au compte en ligne de sa victime et procéder à des débits et transferts d’argent frauduleux.

Afin d’éviter de vous faire piéger, voici quelques conseils:

  • Faites toujours attention lorsque vous partagez vos données personnelles en ligne
  • Utilisez des applications d’identification sécurisées afin de crypter vos messages et évitez de lier vos informations à votre carte SIM
  • Evitez d’utiliser les SMS comme procédé d’authentification pour accéder à votre compte bancaire
  • Vérifiez que votre opérateur de téléphonie n’a pas délivré d’autres cartes SIM que celles que vous avez en votre possession.

Avez-vous déjà été confronté à ce type de fraude? Partagez votre expérience dans les commentaires ci-dessous ou sur Twitter @JustAskGemalto.