Un homme de Floride qui faisait partie d’un gang de cybercriminels qui s’en prenait aux portefeuilles de crypto-monnaie a été condamné pour son rôle dans un cybercasse qui aurait rapporté aux participants plus de 20 000 000 $.
Les escrocs, dont un Nicholas Truglia, 25 ans, ont pris le contrôle de divers comptes en ligne appartenant à la victime en utilisant une astuce connue dans le commerce sous le nom de Échange de carte SIMaussi connu sous le nom portage de numéro.
Migrer votre numéro de téléphone
Comme vous le savez, si jamais vous avez perdu un téléphone ou endommagé une carte SIM, les numéros de téléphone portable ne sont pas gravés dans le téléphone lui-même, mais sont programmés dans le module d’identité d’abonné (SIM) que vous insérez dans votre téléphone (ou peut-être, de nos jours, que vous installez électroniquement sous la forme d’un soi-disant eSIM).
Ainsi, un escroc qui peut parler gentiment, soudoyer ou convaincre en utilisant une fausse carte d’identité, ou intimider votre fournisseur de téléphonie mobile pour qu’il vous délivre « vous » (c’est-à-dire eux) une nouvelle carte SIM…
… peut sortir du magasin de téléphonie mobile [a] avec votre numéro dans leur téléphone, et [b] avec votre carte SIM invalidée et donc incapable de se connecter au réseau pour recevoir des appels ou se connecter.
En termes simples, votre téléphone s’éteint et le leur commence à recevoir vos appels et vos SMS, y compris notamment les codes d’authentification à deux facteurs (2FA) qui pourraient être envoyés à votre téléphone dans le cadre d’une connexion sécurisée ou d’une réinitialisation du mot de passe.
Le problème du SIM-swap, à savoir que le droit de réémettre des cartes SIM de remplacement est dévolu à trop de personnes différentes à trop de niveaux d’ancienneté différents dans trop d’entreprises de téléphonie mobile à contrôler de manière fiable), est la raison pour laquelle le service public américain ne recommande plus le SMS- basé sur 2FA pour un usage général, et l’a désapprouvé pour le personnel du gouvernement.
Apportez les crypto-monnaies
Dans ce cas, il semble qu’un membre du cybergang ait recherché les informations de connexion des comptes de la victime, les ait partagées avec de nombreux autres participants, puis ait demandé à Truglia d’agir en tant que récepteur des fonds de crypto-monnaie prélevés sur la victime.
Truglia a ensuite apparemment reversé les fonds volés à de nombreux autres portefeuilles de crypto-monnaie appartenant aux autres participants, en gardant une part inconnue comme sa part de l’accord.
Le ministère américain de la justice (DOJ) note que « [the] Les participants au stratagème ont volé plus de 20 millions de dollars de la crypto-monnaie de la victime, le défendeur conservant au moins environ 673 000 dollars des fonds volés.
Truglia a reçu une peine de 18 mois de prison plus trois ans de libération surveillée pour la suivre, a immédiatement perdu 983 010,72 $ et a été condamnée à rembourser la somme exorbitante de 20 379 007 $.
Tout à fait comment il fera cela sans la coopération des autres dans l’escroquerie, qui semblent avoir divisé la majeure partie de ces 20 millions de dollars entre eux, et ce qui se passe s’il ne parvient pas à les convaincre de le faire, n’est pas mentionné dans le rapport du DOJ.
Que faire?
- Limitez la quantité de cryptomonnaie que vous conservez en ligne et directement accessible. Soi-disant portefeuilles froids qui ne sont pas accessibles à distance vous protégera des escroqueries par vol de mot de passe et 2FA où des criminels distants accèdent directement à vos comptes.
- Envisagez d’abandonner la 2FA basée sur SMS si vous ne l’avez pas déjà fait. Les codes de connexion à usage unique basés sur des messages texte valent mieux que pas de 2FA du tout, mais ils souffrent clairement de la faiblesse qu’un escroc qui décide de vous cibler peut attaquer votre compte sans vous attaquer directementet donc d’une manière contre laquelle vous ne pouvez pas vous défendre de manière fiable.
- Utilisez un gestionnaire de mots de passe si vous le pouvez. Nous ne savons pas comment les criminels ont acquis les mots de passe de la victime dans ce cas, mais un gestionnaire de mots de passe rend au moins peu probable que vous vous retrouviez avec des mots de passe qu’un attaquant pourrait deviner ou trouver facilement à partir d’informations publiques vous concernant, telles que le nom de votre chien ou l’anniversaire de votre enfant.
- Faites attention si votre téléphone tombe en panne de manière inattendue. Après un échange de carte SIM, votre téléphone n’affichera aucune connexion à votre opérateur de téléphonie mobile. Si vous avez des amis sur le même réseau qui sont toujours en ligne, cela suggère que c’est probablement vous qui êtes hors ligne et non l’ensemble du réseau. Pensez à contacter votre compagnie de téléphone pour obtenir des conseils. Si vous le pouvez, rendez-vous en personne dans une boutique de téléphonie, avec une pièce d’identité, pour savoir si votre compte a été piraté.