dans

Qu’est-ce que c’est et que pouvez-vous faire pour éviter le «  échange SIM  », la cyberattaque qui fait des ravages et vous permet de vider les comptes bancaires

Si votre mobile cesse d’être couvert, ayez peur: a nouvelle fraude téléphonique connue sous le nom de «échange de carte SIM» Il est utilisé par un cyber-attaquant pour dupliquer notre numéro de téléphone et utiliser ce système pour usurper notre identité, s’authentifier dans notre banque et nous voler tout l’argent.

Il y a déjà des victimes d’une fraude qui a été utilisée à d’autres fins: Jack Dorsey, co-fondateur de Twitter, s’est fait voler son compte sur le service avec le même système, qui une fois de plus révèle la faiblesse des mécanismes tels que les SMS pour les systèmes d’authentification en deux étapes. Ils étaient une bonne option à l’origine, mais comme nous l’avons déjà dit dans le passé, il est beaucoup plus conseillé d’utiliser des applications d’authentification indépendantes, et non les SMS qui sont de plus en plus vulnérables dans ce domaine.

Attention, cette histoire d’horreur pourrait t’arriver

À El País, ils ont récemment raconté un cas dans lequel un utilisateur était soudainement sans couverture. Il a éteint le téléphone portable, l’a rallumé et rien. De retour chez lui, il a appelé son opérateur depuis un autre mobile, et il s’est avéré quelqu’un s’était fait passer pour lui pour demander un duplicata de votre carte SIM dans un magasin opérateur dans une autre ville.

Cela a alerté l’utilisateur, qui est rapidement allé vérifier son compte bancaire et a constaté qu’il était bloqué. Son entité avait détecté des mouvements étranges, des milliers d’euros avaient disparu et il avait un prêt demandé en son nom d’une valeur de 50 000 euros. Une véritable catastrophe qui, selon les responsables de la Garde civile, répond parfaitement à cette tendance à la hausse des cas d’échange de cartes SIM.

A lire :  Le MIT crée un concept d'avion hybride qui capte également ses propres émissions polluantes

Hier, un cas nouveau et inquiétant de ce type de cas est à nouveau apparu: un utilisateur de Twitter, Otto Más (@Otto_Mas) a raconté des événements très similaires. Il a cessé d’avoir une ligne sur son mobile avec un contrat Vodafone et à son retour chez lui, il a connecté le mobile au WiFi et s’est rendu compte que « ils avaient vidé mon compte courant« à Banco Santander.

Quelqu’un avait dupliqué sa ligne mobile et avec le SMS de confirmation, il avait effectué plusieurs virements « prenant l’argent petit à petit ». Il a pu annuler les virements et verrouiller le compte après plusieurs heures au téléphone avec eux, même s’il s’est plaint de la mauvaise réponse de son opérateur, qui a critiqué les quelques mesures de sécurité requises pour ceux qui demandaient une carte SIM en double.

Il y a ici deux problèmes clairs: premièrement, que commander une carte SIM en double est relativement facile. Deuxièmement, que l’utilisation du SMS comme système de proposition d’authentification à deux ou deux facteurs (2FA) a longtemps été vulnérable à diverses attaques, et ce n’est que la dernière – mais probablement la plus inquiétante – de toutes. .

L’échange de cartes SIM permet de se faire passer pour n’importe qui, y compris le PDG de Twitter

Cette technique permet contourner les mesures de sécurité qui placent le téléphone mobile comme un instrument de vérification de notre identité, et cela est dangereux comme nous l’avons vu dans le domaine économique, mais aussi dans de nombreux autres scénarios.

Cela a été démontré ces jours-ci lorsque le co-fondateur et PDG de Twitter, Jack Dorsey, a subi une attaque similaire qui a soudainement provoqué son compte Twitter (@Jack) des messages offensants et racistes apparaîtront qui ont ensuite été éliminés.

A lire :  Un tireur de la baie gay du Missouri emprisonné mais non reconnu coupable de crime de haine

Le problème était dû à ce vol d’identité qui a fait qu’un opérateur téléphonique aux États-Unis – on ne précise pas lequel – a permis à l’attaquant d’obtenir un duplicata de la carte SIM de Dorsey, qui à son tour a permis à cet attaquant utiliser la fonction de publication sur Twitter via des messages SMS C’était l’une des caractéristiques originales du service.

Messages offensants a provoqué une réaction immédiate à Dorsey, qui a annoncé que Twitter avait désactivé l’envoi de messages à la plateforme par SMS.

La solution est entre nos mains (mais aussi entre celles des opérateurs et des banques)

Comme nous l’avons déjà dit, le problème de cette cyberattaque est qu’elle a deux faces très distinctes, toutes deux avec leur propre solution interdépendante: si les deux ne sont pas résolus, le problème restera.

Le premier concerne ceux qui gèrent ces informations, les opérateurs, qui devraient être beaucoup plus exigeants lorsqu’il s’agit de fournir des duplicata d’une carte SIM. Les contrôles d’identité ici doivent être approfondis pour éviter les problèmes qui se sont produits avec ces cas.

Les banques, les institutions financières et toute autre plate-forme qui continue d’utiliser le SMS comme système d’authentification en deux étapes ont également des tâches en attente. C’est une méthode populaire et confortable, mais comme nous l’avons vu, elle est très vulnérable depuis un certain temps, comme l’a souligné l’expert en sécurité Bruce Schneier. C’est pour cette raison que toutes ces entreprises devraient supprimer les SMS de leurs systèmes d’authentification en deux étapes et utilisez d’autres alternatives.

A lire :  La société russe Zvezda fabriquera des combinaisons spatiales pour les astronautes indiens dans le cadre de la mission Gaganyaan

Les applications d’authentification qui remplacent les SMS et qui peuvent être installées sur nos mobiles sont parmi les plus recommandées actuellement. Microsoft Authenticator, Google Authenticator ou Authy Ils sont parmi les plus connus, et si nous pouvons les utiliser – la plate-forme avec laquelle nous travaillons doit prendre en charge cette option – ils sont beaucoup plus sécurisés que l’authentification par SMS.

Dsadas

Les touches U2F sont encore plus intéressantes (Universal 2nd Factor keys), une norme d’authentification ouverte qui utilise des clés physiques et dont la dernière implémentation est la norme FIDO2. Des fabricants comme Yubico sont bien connus pour ces solutions, mais même Google a récemment voulu entrer dans ce segment avec ses clés de sécurité Titan, bien qu’il ait récemment annoncé qu’un téléphone Android pourrait également devenir une clé de sécurité.

45secondes est un nouveau média, n’hésitez pas à partager notre article sur les réseaux sociaux afin de nous donner un solide coup de pouce. 🙂

  • Cevrai C'est Vrai Miel Des Mille Fleurs D'été Pot 500g
    C'est Vrai Miel Des Mille Fleurs D'été Pot 500g vous ravira grâce à sa saveur unique et son délicat parfum. N'attendez plus pour régaler vos papilles !
  • Hill's Prescription Diet Urinary Care C/D Multicare poulet et poisson pour chat 5Kg poulet + 5Kg poisson
    Hill's Prescription Diet Feline Chat C/D poulet et poisson est une alimentation spécialisée pour les chats ayant de sproblèmes urinaires dans les voies basses (FLUTD ou SUF) * Des résultats en 14 jours * Contrôle du poids corporel * Evite la récidive de cristaux
  • Kipling Sac à dos Kipling Class Room S CP/CE1/CE2 Deep Aqua C vert Solde
    Sac pour enfants, pour un usage scolaire dès le CP, revêtement en nylon, doublure intérieure, finitions façon cuir, compartiment zippé, poche ordinateur, poche zippée, dos et bretelles renforcés