Des cybercriminels ont réussi à obtenir de certains opérateurs de téléphonie mobile des cartes SIM de remplacement au nom de leurs victimes, qu'ils utilisent ensuite pour contourner les protections des services bancaires en ligne, et notamment recevoir les codes de sécurité envoyés par les banques. C'est ce qu'a pu établir un chercheur du fournisseur de solutions de sécurité Trusteer. Dans un blog, celui-ci explique avoir identifié récemment des variantes du cheval de Troie Gozi, lequel injecte des formulaires frauduleux dans les pages web de services bancaires en ligne pour tromper les victimes et les inciter à dévoiler le numéro IMEI (International Mobile Equipment Identity) de leur téléphone mobile, plus des renseignements personnels et d'autres informations de sécurité.
« L'explication probable de l'arrivée de ces trojans spécialisés dans le phishing, c'est que les données sont ensuite utilisées pour obtenir une carte SIM correspondant au numéro de téléphone de la victime quand celui-ci a été déclaré comme volé, » a déclaré Oren Kedem, directeur marketing produit chez Trusteer. En effet, les fraudeurs peuvent ainsi contourner les protections des banques, en récupérant les mots de passe à usage unique (One Time Password - OTP) que les clients reçoivent sur leurs téléphones lorsqu'ils veulent effectuer une opération impliquant un transfert d'argent depuis leur compte en banque. Le code, reçu par SMS, doit être reproduit sur le site web de la banque pour autoriser l'opération.
Déposer plainte au nom de l'abonné
Les cybercriminels ont mis au point plusieurs techniques afin de contourner ces systèmes anti-fraude. Certains piègent leurs victimes en installant des applications mobiles malveillantes qui transfèrent les messages texte des OTP vers des numéros de mobiles sous leur contrôle. D'autres parviennent à convaincre les victimes à livrer des informations personnelles qui leur permettraient ensuite de modifier le numéro de téléphone sur lequel recevoir ces OTP. Dernière technique en vogue, et dont l'objectif est identique : l'usurpation d'identité, qui permet aux fraudeurs de récupérer auprès des opérateurs une carte Sim au nom de la victime.
Sur certains forums underground, ils ont constaté que la fraude à la carte SIM faisait l'objet de nombreuses discussions. L'une d'elle décrit un système complexe où les pirates vont jusqu'à déposer un rapport de police au nom de la victime afin de déclarer le téléphone volé, puisque certains opérateurs exigent une copie du rapport de police avant d'émettre une carte SIM. « Mais, l'obtention de ce type de preuve est assez risquée pour les cybercriminels, et ils doivent réserver la méthode à des cas qui en valent vraiment la peine, c'est à dire impliquant de gros volumes de transactions, » a estimé Oren Kedem.
Le chercheur en sécurité conseille aux utilisateurs des services bancaires en ligne d'utiliser un logiciel de sécurité qui empêche les intrusions pendant leur session de navigation et leurs recommande de ne pas livrer d'informations sensibles sur eux-mêmes ou sur leurs téléphones mobiles (comme le numéro IMEI de leur téléphone) sur les sites de services bancaires tant qu'ils n'ont pas vérifié l'authenticité de ces demandes auprès de leurs banques.
Des cartes SIM frauduleuses à l'assaut des banques en ligne
1
Réaction
Une société spécialisée dans les solutions de sécurité pointe du doigt les méthodes de certains cybercriminels pour obtenir des cartes SIM d'abonnés et réaliser ainsi des transactions frauduleuses en contournant les protections des banques en ligne.
Newsletter LMI
Recevez notre newsletter comme plus de 50000 abonnés
Le titre de cet article est assez trompeur et étonnant de la part de LMI. En fait il s' agit plutôt d'ingénierie sociale pour commettre ces forfaits. Par ailleurs, la situation pourrait plutôt évoluer en sens contraire, car plutôt que de continuer à cacher le statut d'un IMEI ou à le limiter à des bases de données légales , peu à jour, et aux capacités d' accès très restrictives) ( créant du coup beaucoup de problèmes et rendant les usagers inégaux devant l' accès à l'info vu la capacité de certains à utiliser des moyens sophistiqués pour accéder ou détourner l'info vraie sur le statut d'un IMEI), IL VAUDRAIT MIEUX DU COUP ENCOURAGER à LE RENDRE PUBLIC, ou SURTOUT immédiatement interrogeable simplement par le public typiquement via INTERNET et n'importe quel moteur de recherche, et par contre controlable (éditable) par son propriétaire original (légitime).
Signaler un abusIl est désormais possible en effet d'enregistrer l' IMEI de son nouveau smartphone sous forme de nom de domain adapté aux télécoms mobiles (dot TEL omains, with DATA in the DNS ) , et de pouvoir indiquer soi même quel est le statut de son telephone correspondant, voire sa localisation géographique "habituelle" ( sans etre trop précis ...).
Et en cas de vol cela permet selon le site IMEI .TEL de réduire fortement les possibilités de revente "en toute ignorance" et " de bonne foi" . Un sérieux coup d'arrêt potentiel aux évolutions vertigineuses du trafic de Smartphones volés, comme l' illustre l 'excellent dossier du Huffington Post sur le sujet aux USA ( en accès via www IMEI.TEL aussi) et dont on veut nous cacher les statistiques réelles en Europe.
Pourtant une évolution des mentalités et des pratiques urgemment nécessaires en parallèle du développement du paiement via le mobile ... Peut être d'ailleurs un nouveau cheval de bataille pour les assureurs de mobile, qui pourraient même sponsoriser le coup du nom de domain pour l 'IMEI de leur assuré, y compris avec quelques infos promotionnelles en échange... Un aussi un pas de plus vers l' Internet of (mobile) Things ? voir le site IMEI .TEL