Décidément, les fraudes autour des opérateurs n’en finissent plus. Après cette nouvelle arnaque téléphonique, on vous parle aujourd’hui du SIM Swap, une méthode encore plus élaborée qui pourrait bien vous ruiner si vous ne connaissez pas ses rouages.
France Info relaye l’histoire de Jean-Michel, un habitant de Graulhet, dans le Tarn, qui s’est fait vider son compte en banque après avoir été piégé de la sorte. Au début de l’année, il reçoit un simple SMS qui semble provenir de son opérateur — Orange, en l’occurrence — et qui l’informe que sa « demande de résiliation a bien été prise en compte ». Interloqué, il contacte alors Orange, qui lui explique que son compte n’a pas été modifié. Soulagement. Sauf que, vous allez le voir, l’arnaque ne fait que commencer.
Le piège se referme
Quelques semaines après avoir reçu ce premier SMS, Jean-Michel reçoit un appel provenant d’un 05 63. « Un numéro local, je ne me suis pas méfié », explique-t-il. Au bout du fil, celui qui allait devenir son arnaqueur se présente comme un conseiller Orange. « Il parlait français parfaitement, très calmement. Il m’explique que si je n’étais pas à l’origine de la demande de résiliation, il fallait que je change mes codes d’accès » affirme la future victime.
C’est là que l’arnaque commence. Jean-Michel fait confiance à son interlocuteur qu’il pensait réellement être un salarié d’Orange, et clique sur le lien avant de modifier ses identifiants liés à son espace client chez son opérateur. Les arnaqueurs entrent alors en possession de ses identifiants et peuvent aisément prendre contact avec Orange pour transférer sa ligne vers une nouvelle carte SIM. Coup de grâce. Quelques jours plus tard, la carte SIM de Jean-Michel a effectivement été désactivée, et il constate de multiples prélèvements sur son compte bancaire.
SIM Swap, une arnaque redoutable
Voilà où cette arnaque baptisée SIM Swap se montre ingénieuse : en ayant accès au compte chez l’opérateur de la victime ainsi que d’une carte SIM avec son numéro, les arnaqueurs peuvent aisément tirer profit de l’authentification à double facteur pour valider des paiements, des virements, etc. Cette méthode de sécurité repose en effet sur un SMS de validation. Avec le SIM Swap, cette sécurité tombe à l’eau. Pire encore, puisque la victime n’a même plus la possibilité d’accéder elle-même à certains comptes, privé de son numéro de téléphone.
Et malheureusement pour Jean-Michel, l’accès à sa banque reposait sur l’authentification à double facteur. Dans cette histoire, il se sera fait extorqué 850 euros au total, et ce n’est pas fini. Une broutille pour certains, mais pas pour celui qui avait déjà perdu son emploi dans le secteur de la culture durant la crise sanitaire, comme l’explique France Info. De plus, il n’a rien pu faire pour récupérer les sommes dérobées, même en ayant fait plusieurs fois opposition avec sa banque et changé sept fois de carte de crédit. « Je ne sais pas comment ils font, c’est impossible de s’en défaire » conclut-il.
Si le même schéma semble se reproduire pour vous, vous saurez désormais comment réagir. Si votre opérateur ou une entreprise vous appelle, soyez particulièrement vigilants, et ne rentrez ô grand jamais vos identifiants sur une page web provenant d’un lien reçu par SMS ou par mail. Concernant l’authentification à double facteur, dont le point faible est justement soulevé par cette arnaque, il est peu à peu délaissé par certains organismes bancaires au profit de méthodes plus sécurisées. Néanmoins, la prudence reste toutefois de mise car cette sécurité reste largement répandue.
🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.
Je pense qu’il y a un peu plus qu’un simple SMS.
Ce qui me parait relativement étrange c’est que juste en prenant possession du compte FAI mobile tout devient possible.
Je vois bien pour le fait de récupérer la ligne, pas besoin de plus que du RIO, s’il est accessible dans le compte client c’est facile. Même si de mon expérience on reçoit un message sur la ligne actuelle prévenant du transfert avant même ce dernier, ce qui devrait laisser le temps de réagir.
Par contre je ne vois pas comment ils peuvent accéder à son compte bancaire sans plus d’information. je ne sais pas comment fonctionne les autres banques mais celles que j’aient utilisé jusqu’à aujourd’hui, repose toujours sur une authentification qui n’a jamais dépendu de mon email.
Et même la récupération du mot de passe se faisait il me semble uniquement via un courrier.
J’ai vraiment beaucoup de mal à croire que juste en donnant ses identifiants Orange par exemple sur une page de phishing cela suffise à aller siphonner le compte sans rien d’autre.
En tout cas ca devrait devenir impossible par la suite car les validations par simple SMS sont amenées à disparaître, dans ma banque actuelle c’est l’application qui sert, et le mobile sur lequel elle est installée et associée au compte. Et pour les virements c’est “à l’ancienne” mais toujours aussi efficace une carte de code personnel.
“[…] Et même la récupération du mot de passe se faisait il me semble uniquement via un courrier.[…]”
Non le crédit mutuel par ex. propose le changement de mot de passe par téléphone justement.
Enfin bon c’est le crédit mutuel aussi , quand il y a quelques années le site “zataz” annoncait que suite à un contrôle de la CNIL je crois , les ordinateurs du réseau n’était même pas protégé ce qui avait eu pour conséquence que n’importe quel employé pouvait en interne avoir accès au compte en banque de n’importe quel client sans mot de passe .
Pour les connaitre moi même , j’ai eu une gestion de mes comptes étrange qui après avoir été consulté l’union fédérale des consommateurs de ma commune leur a envoyé un courrier de demande d’explication et ils ont arrêté ces pratiques et ont tout remis en ordre …
C’est aussi une banque où les employés se batent avec leur siège sociale , un truc du genre ( à l’origine le siège social voulait remplacé les employés par l’I.A.WATSON d’I.B.M. , ils ont gueulé mais avec du recul je pense que ça aurait peut être été mieux …) .
Ils n’ont pas transféré sa ligne, ils ont commandé une nouvelle carte sim. Par contre il a du se faire piraté sa cb en parallèle (ou sur le site qui lui a demandé ses identifiants orange)
Généralement les cartes sont récupérés via des hacks de sites marchands ou des *snif* de réseaux wifi public. Ensuite il suffit souvent du nom prénom date de naissance pour faire un duplicata de la SIM par téléphone sous prétexte de perte/vol.
Les opérateurs ne sachant pas bien sécuriser les comptes clients, les banques sont en train d’abandonner le SMS comme méthode 2FA, sur ordre des instances UE c’est vrai.
Le mieux reste de ne pas utiliser le SMS ou numéro de téléphone (réel) comme identification et utiliser des cartes virtuelles à usage unique pour les paiements en ligne.
Bien sûr, on arrivera à la sécurité qu’il faudrait en 2020 en 2030… et rebelotte :/
Ça paraît totalement invraisemblable que les choses se soient passées comme décrit dans l’article… Fake ou journalisme bâclé ?
Pour s’identifier à sa banque il faut plus qu’une sim…. La sim, c’est la confirmation, il reste le mot de passe et surtout l’identifiant bancaire. Au final, ca reste du fishing un peu plus élaboré… le mec a recu un lien qu’il n’a pas vérifié ou il a entré ses identifiants…..
Mais ca n’explique pas comment les infos compte ont été trouvées….. article un peu bancale, c’est dommage :/
Récupérer les mots de passe qui sont stockés dans les browser internet… Stocké sur le cloud pour faciliter le passage téléphone ordinateur.
Les mots de passe sont souvent identiques.
Je pense que le téléphone fait aussi des sauvegardes sur le cloud, pas seulement des photos !
Avec la nouvelle SIM, l’arnaqueur récupère l’image du téléphone.
Je ne suis pas un spécialiste, si quelqu’un peut voir dans ces directions et dire ce qu’il en pense.
Amusant, merci beaucoup
Je savais pas que la police nationale utilisait maintenant des adresses en Gmail !!!! En voilà une bonne blague !
Virginie,
Vous avez pas honte de continuer à vouloir arnaquer des personnes déjà arnaquées ?
Virginie qui ne doit pas s’appeler Virginie et qui doit habiter dans un pays cité est encore plus dangereuse pour vous !
Attention danger !!