Mme Maguina, qui dirige une entreprise de logistique événementielle avec son mari à Doral, en Floride, a déclaré qu’elle était sur le point de s’endormir le 5 juillet lorsqu’elle a remarqué que son téléphone avait perdu son signal. Au moment où le service de Mme Maguina a été restauré, a-t-elle déclaré, un utilisateur non autorisé avait changé ses mots de passe pour les plateformes de trading Binance et Coinbase et avait lancé des transactions qui vidaient ses comptes de crypto d’une valeur d’environ 80 000 $ à l’époque.

« C’était comme si quelqu’un entrait par la fenêtre ou la porte dérobée de votre maison », a déclaré Mme Maguina. « Vous sentez qu’il n’y a rien que vous puissiez faire. »

Les criminels ont l’habitude de voler de l’argent à des investisseurs cryptographiques riches ou bien connus par le biais d’échanges de cartes SIM, ou de passer un numéro de téléphone du module d’identité d’abonné d’un appareil à un autre. Mais le boom de la cryptographie parmi les investisseurs familiaux a conduit les pirates informatiques à encercler de plus en plus des cibles comme Mme Maguina, selon des experts en cybersécurité, des avocats et des responsables de l’application des lois.

Les attaques contre les petits investisseurs ont déclenché des batailles juridiques avec les opérateurs de téléphonie mobile, conduit les clients à modifier leurs plans et poussé certaines entreprises de télécommunications à modifier les mesures de sécurité. Les organismes chargés de l’application de la loi tentent de faire équipe dans toutes les juridictions en réponse à un nombre croissant de victimes potentielles. La Federal Communications Commission est en train de peaufiner les règles pour les opérateurs sans fil visant à limiter la fraude par échange de carte SIM, en proposant des restrictions plus strictes sur la façon dont ils changent de numéro entre les appareils et les opérateurs.

Certaines entreprises de téléphonie mobile affirment que les règles fédérales pourraient aggraver les choses pour les consommateurs.

AT&T Inc. a déclaré lundi que la réglementation proposée par l’agence pourrait donner aux pirates un plan d’attaque et ajouter des frictions pour les clients légitimes qui ont besoin de changer d’appareil ou d’opérateur. AT&T a déclaré que les clients font des centaines de milliers de demandes de ce type par mois. Une fraction de 1% d’entre eux – potentiellement des milliers – sont frauduleux, a déclaré la société.

« Les transporteurs doivent être agiles et innovants dans la lutte contre la fraude et ne doivent pas être ancrés dans des exigences normatives liées à des technologies ou des méthodes spécifiques », a déclaré AT&T.

La société a mis en garde contre certaines mesures lancées par la FCC, telles que les notifications aux utilisateurs de téléphones des demandes d’échange de carte SIM et les retards potentiels de 24 heures pour les exécuter.

Les clients effectuent des échanges de cartes SIM lorsqu’ils transfèrent leurs numéros sur de nouveaux téléphones, tandis que l’acte connexe de « portage » transfère les numéros vers différents opérateurs. Les pirates peuvent usurper l’identité des utilisateurs de téléphones avec divers types d’informations de compte ou de données personnelles, a déclaré Kevin Lee, auteur principal de une étude de 2020 de l’Université de Princeton sur les échanges de cartes SIM.

Le processus ne peut prendre « pas plus de 10 minutes, à l’exception de la musique d’attente du client et d’autres choses comme ça », a déclaré M. Lee, dont l’équipe a pu exploiter les mesures d’autorisation pour les forfaits prépayés proposés par AT&T, T-Mobile US Inc. et Verizon Communications Inc. M. Lee a déclaré que la plupart des clients des entreprises, qui dominent le marché national du sans fil, ont des forfaits postpayés qui pourraient avoir différentes mesures de sécurité.

AT&T a déclaré à la FCC qu’elle utilisait des outils d’analyse de données pour évaluer le risque de demandes d’échange de carte SIM des clients postpayés. Un porte-parole de Verizon a déclaré que les clients postpayés devaient utiliser un code d’accès à usage unique lorsqu’ils tentaient de passer à un autre opérateur. T-Mobile permet aux clients qui demandent des échanges SIM par téléphone d’utiliser le code PIN de leur compte, un mot de passe à usage unique ou une authentification à deux facteurs, a déclaré un représentant. L’entreprise a cessé d’utiliser des journaux indiquant les numéros d’appels entrants ou sortants récents dans son processus d’authentification à la suite de l’étude de Princeton.

US Mobile, un opérateur new-yorkais débutant avec environ 150 000 clients, a interdit les échanges de cartes SIM par téléphone et dirige les clients vers son application, où il peut vérifier leurs adresses de protocole Internet et leurs données biométriques, a déclaré le directeur général Ahmed Khattak.

« Beaucoup de ces piratages se produisent à cause de l’ingénierie sociale », a-t-il ajouté, faisant référence aux pirates informatiques trompant ou cooptant des employés sans fil.

Les criminels utilisent les numéros de téléphone piratés pour accéder aux comptes financiers ou aux réseaux sociaux des victimes, dupant souvent les mesures d’authentification multifactorielle basées sur des messages texte. Un Britannique en 2019 aurait volé 784 000 $ à une entreprise de crypto-infrastructure à New York à l’aide d’un échange de carte SIM, selon un acte d’accusation descellé ce mois-ci. L’homme aurait repris le numéro de téléphone d’un cadre, accédé à des systèmes informatiques internes et transféré des fonds à partir du portefeuille numérique d’un client.

Le virage apparent des pirates vers les investisseurs individuels a ajouté une couche de complexité aux enquêtes qui ont suivi, a déclaré David Berry, agent de React Task Force, un groupe d’enquête de la Bay Area axé sur la cybercriminalité.

« Si vous venez à [prosecutors] avec une perte d’un million de dollars, vous attirerez leur attention », a-t-il déclaré.

De telles pertes peuvent néanmoins être énormes pour des investisseurs comme Richard Harris, un entrepreneur indépendant à Philadelphie.

« C’était comme si quelqu’un avait pris mon 401 (k) ou ma sécurité sociale », a-t-il déclaré.

M. Harris a poursuivi T-Mobile en juillet, alléguant que les pratiques de l’entreprise ne respectaient pas les normes fédérales et ont permis à un pirate informatique de reprendre son numéro de téléphone en 2020 et de voler des bitcoins d’une valeur de près de 15 000 $ à l’époque, et plus maintenant.

T-Mobile a refusé de commenter la poursuite, mais a proposé de soumettre l’affaire à l’arbitrage. Comme Verizon et AT&T, l’entreprise a besoin d’un arbitrage pour résoudre les différends concernant ses conditions de service, conduisant souvent à des règlements à huis clos.

Au milieu des plaintes croissantes, la FCC a proposé en septembre des réglementations obligeant les sociétés de téléphonie mobile à vérifier les mots de passe des utilisateurs ou à envoyer des codes d’accès à usage unique. Les règles obligeraient également les entreprises à resserrer les procédures de modification des mots de passe perdus ou volés et à restreindre les données que les employés pourraient divulguer par téléphone ou dans les magasins.

Un responsable de la FCC, qui prévient que les violations de données sur les consommateurs peuvent fournir aux fraudeurs les informations dont ils ont besoin pour les échanges de cartes SIM, a déclaré que l’élaboration des règles pourrait prendre plusieurs mois.

Le groupe commercial de l’industrie du sans fil CTIA a appelé à une flexibilité dans la réglementation et a exhorté les institutions financières et les sociétés de médias sociaux à renforcer de la même manière la manière dont elles vérifient les utilisateurs.

Coinbase, le plus grand échange de crypto-monnaie basé aux États-Unis, utilise des modèles d’apprentissage automatique pour prédire les risques pour les utilisateurs qui demandent des changements de mot de passe, restreignant les transactions sur les comptes suspects, a déclaré un responsable de l’entreprise. Les données d’échange de carte SIM en temps réel des opérateurs aideraient le processus de filtrage de Coinbase, a ajouté le responsable, mais tous les fournisseurs ne partagent pas les informations rapidement. Il a refusé de les nommer.

Le responsable a déclaré que le taux de prise de contrôle de compte de Coinbase est resté constant car la plate-forme a gagné des utilisateurs, refusant de fournir des chiffres détaillés. Binance, le plus grand échange crypto au monde, n’a pas répondu à une demande de commentaire.

Depuis que le numéro de téléphone de Mme Maguina a été repris le 5 juillet, le prix du bitcoin a grimpé de plus de 70 % pour atteindre environ 59 000 $ pièce samedi.

« Je ne le suis plus », a déclaré le joueur de 53 ans. « Je n’ai pas besoin de rendre les choses pires que ce qu’elles sont. »