S – Smishing et SIM swapping: techniques de fraude aux paiements et moyens de prévention en Europe et en France.

06/18/2024

Abécédaire de la fraude

Voilà des noms bien barbares pour décrire des techniques de fraudes avancées utilisant le téléphone portable.

Le Smishing – un SMS malveillant non sollicité

La première, le Smishing est en fait au SMS ce que le phishing est au mail, d’où le nom de Smishing qui est une contraction entre Sm-(S) et (phi)-shing. En envoyant des SMS, les fraudeurs envoient des messages texte prétendant provenir d’une source fiable (livreur, banque, service d’Etat en ligne), pour inciter la victime à divulguer des informations personnelles, et/ou la rediriger vers un faux site de paiement pour subtiliser les coordonnées de carte bancaire et réaliser un paiement frauduleux.

Pour prémunir les usagers d’utilisation frauduleuse des SMS, les opérateurs mobiles doivent respecter des procédures renforcées, notamment la réglementation eIDAS sur l’identification numérique et les services de confiance, ainsi que les Directives et recommandations de l’ARCEP et de l’ANSSI. Une collaboration se met en place également avec l’ACPR. En Europe et en France, les opérateurs de téléphonie ont ainsi mis en place des procédures de vérification strictes avant de procéder à un transfert de carte SIM afin de garantir l’identité du bénéficiaire de la carte SIM et d’éviter toute usurpation d’identité. Toutefois, en utilisant des numéros anonymes disponibles en grande surface (cartes prépayées), il reste possible d’envoyer des SMS de nature frauduleuse sans que l’on sache qui en est l’émetteur.

Le SIM swapping – la prise de contrôle détournée de votre numéro de téléphone

La deuxième technique est le SIM swapping : le SIM swapping (ou échange de carte SIM en français) est une technique de fraude où les criminels prennent le contrôle du numéro de téléphone d’une victime en transférant celui-ci vers une nouvelle carte SIM. Du fait des contrôles et vérification strictes qui ont été mis en place auprès des opérateurs de téléphonie, la technique de SIM swapping est devenue une technique évoluée de fraude, qui se décompose en trois phases :

  1. Collecte d’informations : Les fraudeurs recueillent des informations personnelles sur la victime (nom, adresse, date de naissance, etc.) par le biais de techniques de phishing, smishing, de réseaux sociaux ou de bases de données piratées.
  2. Ingénierie sociale : Ils contactent le service client de l’opérateur mobile en se faisant passer pour la victime et demandent le transfert du numéro de téléphone sur une nouvelle carte SIM, souvent en prétextant la perte ou le vol de l’ancienne carte. Pour convaincre l’opérateur télécom, les fraudeurs vont notamment se servir de l’adresse de résidence, de la date de naissance ou de l’adresse mail de la cible. Dès que les contrôles de l’opérateur de téléphonie sont passés, les fraudeurs sollicitent l’envoi d’une nouvelle carte SIM à l’adresse de leur choix. Dans le cas d’une eSIM, c’est le même procédé, sans envoi de carte SIM physique.
  3. Prise de contrôle : Une fois la carte SIM reçue et le transfert effectué, les criminels reçoivent tous les appels et messages destinés à la victime, y compris les codes de vérification pour l’authentification à deux facteurs (2FA) utilisés par les banques et autres services. Dès que l’opération de SIM Swapping est effective, les fraudeurs pourront collecter tous les éléments de sécurité transmis par les services associés au téléphone dont ils ont pris le contrôle.

De son côté, la victime de l’opération de SIM Swapping n’a plus aucun accès à l’opérateur de téléphone : elle ne peut plus ni recevoir ni émettre d’appels, de SMS… pour alerter de sa propre vulnérabilité.

Les conséquences du Sim Swapping peuvent être dévastatrices. Les fraudeurs peuvent accéder aux comptes bancaires, aux comptes de messagerie et aux réseaux sociaux de la victime, vidant ses comptes bancaires, volant des informations sensibles et usurpant son identité.

En janvier 2024, le compte X de la SEC[1] a été détourné par un pirate, qui a ainsi pu tweeter une fausse décision de la SEC ce qui a entraîné la liquidation de positions.
Auparavant, en 2019, c’était Jack Dorsey, le fondateur de Twitter qui se faisait hacker son propre compte Twitter via une opération de SIM Swap…

Pour se prémunir de conséquences dévastatrices liées au SIM Swap, il est préférable d’activer une authentification forte via des applications comme GoogleAuthenticator.

Heptalytics permet de se prémunir d’une prise de contrôle d’un compte associée au SIM Swapping
Heureusement, l’assistant Heptalytics permet d’identifier une prise de contrôle abusive d’un compte bancaire via SIM swapping. Ainsi un opérateur financier utilisant les services de Heptalytics protège utilement ses clients.

[1] https://www.reuters.com/technology/cybersecurity/us-secs-x-account-hacked-with-sim-swapping-agency-says-2024-01-22/

Related Posts

Intelligence Artificielle

Les réseaux de neurones en graphes : une solution énergétique efficace pour l’analyse de données structurées
En cette fin d’année 2024, quels sont les types de fraudes les plus courants et comment s’en prémunir ?
Actualités

Les fraudes aux paiements en fin d’année : un phénomène à surveiller
V - Vente fictive
Abécédaire de la fraude

V- Vente fictive