Chaque année, on estime que les consommateurs perdent plusieurs millions d’euros à cause de l’échange de cartes SIM. Régulièrement, de nombreuses personnes sont arrêtées et accusées de participer à un réseau criminel vidant des comptes bancaires lors de série d’attaques par échange de cartes SIM.
Qu’est-ce que l’échange de cartes SIM ?
L’échange de cartes SIM, également connu sous le nom de détournement de cartes SIM ou de piratage de cartes SIM, est un type d’attaque par prise de contrôle de compte (ATO) au cours de laquelle des cybercriminels font transférer le numéro de téléphone mobile d’une victime sur une nouvelle carte SIM. Les attaques par échange de cartes SIM se déroulent généralement de l’une des trois manières suivantes :
- Attaques de phishing contre les consommateurs. Dans ce cas, les cybercriminels utilisent le phishing pour obtenir les informations d’identification personnelle des clients mobiles, puis utilisent ces informations pour se faire passer pour des clients et convaincre les employés de l’opérateur mobile d’émettre de nouvelles cartes SIM avec le numéro de téléphone ciblé.
- Attaques de phishing contre les opérateurs de téléphonie mobile. Dans ce scénario, les cybercriminels utilisent les techniques d’hameçonnage pour inciter les employés des opérateurs de téléphonie à fournir leurs mots de passe ou à télécharger des logiciels malveillants, qui sont utilisés pour pénétrer dans les systèmes des opérateurs afin que les cybercriminels puissent procéder eux-mêmes aux échanges de cartes SIM.
- Des initiés malveillants chez les opérateurs de téléphonie mobile. Cela se produit lorsqu’un cybercriminel travaille directement avec un employé de l’opérateur mobile qui a l’autorisation d’effectuer des échanges de cartes SIM.
Quelle que soit la manière dont l’attaque est menée, le résultat final est le même. Une fois que les cybercriminels ont commuté le numéro de téléphone mobile du consommateur sur la carte SIM en leur possession, ils peuvent l’insérer dans un nouvel appareil, l’utiliser pour contourner l’authentification multi-facteur (AMF) basée sur le téléphone, réinitialiser les identifiants de connexion du consommateur et prendre le contrôle de ses comptes et applications en ligne.
Stopper l’échange de cartes SIM
- Dans la mesure du possible, protégez toujours vos comptes en ligne à l’aide du système d’authentification double facteur (2FA), mais n’utilisez pas d’appels téléphoniques ou de SMS pour vous authentifier. Utilisez plutôt la biométrie, un token de sécurité physique ou une application d’authentification autonome.
- Évitez de communiquer en ligne votre numéro de téléphone portable ou d’autres informations personnelles, telles que votre adresse.
- Ne partagez jamais d’informations bancaires en ligne.
- Ne fournissez jamais les informations relatives à votre numéro de téléphone mobile en réponse à des appels téléphoniques ou des e-mails non sollicités provenant prétendument de votre opérateur de téléphonie mobile. Vérifiez le contact en appelant le service clientèle de votre opérateur ou en vous connectant directement à son site web.
- Utilisez des mots de passe forts et uniques pour tous vos comptes en ligne.
- Ne stockez jamais vos identifiants de connexion ou d’autres informations sensibles dans un fichier texte, une feuille de calcul ou tout autre support non chiffré. Utilisez plutôt un gestionnaire de mots de passe, qui stocke vos identifiants de connexion et d’autres informations personnelles dans un coffre-fort chiffré auquel vous seul avez accès.
Les attaques par échanges de cartes SIM sous souvent sous-estimées. Pourtant, elles peuvent avoir des répercussions importantes et irrémédiables. Gardez ces conseils en tête pour limiter les risques de piratage de vos données.
Pour les professionnels, une plateforme de gestion et de sécurité des mots de passe peut aussi vous donner une visibilité complète sur les pratiques des employés en matière de mots de passe. Pour plus de sécurité, elle vous permet de surveiller leur utilisation des mots de passe et d’appliquer les politiques de sécurité des mots de passe adéquates dans toute votre entreprise, y compris les exigences de complexité des mots de passe, le 2FA, le RBAC et d’autres politiques de sécurité.
