Comment éviter les arnaques à la carte SIM
La mauvaise nouvelle : nos numéros de téléphone sont accessibles (car associés à bon nombre de comptes et d’applications), et les acteurs malveillants savent comment s’en emparer. La bonne nouvelle : lorsqu'on vous demande votre numéro de téléphone dans un bar, vous avez une bonne raison de plus pour refuser. (Ne pas en avoir envie est un motif tout aussi légitime.)
Notre numéro de téléphone peut être une information anodine ou un véritable talon d’Achille, s’il tombe entre de mauvaises mains. Voici comment les pirates peuvent exploiter votre numéro, comment ils le trouvent et comment les en empêcher.
Votre numéro est accessible sur le Web
Lorsque vous créez votre profil sur une nouvelle application sociale (Clubhouse, Hinge, etc.), il vous est souvent demandé de fournir un numéro de téléphone. Si vous oubliez vos mots de passe, votre numéro de téléphone est généralement utilisé comme méthode de secours pour accéder à vos comptes en ligne, y compris à votre boîte e-mail. Notre numéro de téléphone est souvent requis pour réaliser des achats en ligne, et nous sommes nombreux à nous en servir pour activer l’authentification multifacteur.
Alors, comment votre numéro de téléphone tombe-t-il entre de mauvaises mains ?
Comment les pirates s’emparent de votre numéro
Malheureusement, refuser tout simplement de donner votre numéro de téléphone aux pirates intéressés n’est pas une option. Voici deux façons de siphonner vos informations, dont l’une plus courante de nos jours :
- À l’ancienne : fouiller tout simplement dans vos poubelles pour trouver une vieille facture téléphonique papier. (En quelle année sommes-nous ?)
- Dans l’air du temps : fuites de données, copies de base de données et collecte de données PII auprès des applications ou comptes mentionnés ci-dessus, disponibles à la vente ou divulguées gratuitement, généralement sur le dark Web.
Comment ils peuvent exploiter cette information
Nous étions loin d’imaginer que ces appels indésirables nous informant que la garantie de notre voiture avait expiré n’étaient que le début. Une fois en possession de votre numéro de téléphone portable, les pirates peuvent causer de vrais dégâts :
Arnaques à la carte SIM
Également connue sous le nom de « transfert de numéro », cette technique frauduleuse consiste à transférer votre numéro vers un nouvel opérateur. Grâce au hameçonnage et à d'autres tactiques, l’acteur malveillant réunit suffisamment d’informations personnelles vous concernant pour pouvoir contacter votre opérateur mobile et « transférer » votre numéro sur sa carte SIM. En plus d’envoyer des SMS et d’effectuer des appels en votre nom, il s’empare des comptes dont le mot de passe est réinitialisé à l’aide de votre numéro de téléphone.
Clonage de carte SIM
Une autre pratique, moins courante et plus sophistiquée, consiste à scanner le numéro de votre carte SIM. Le pirate doit se trouver à proximité et être équipé d’une technologie appropriée. La plupart des téléphones étant dotés d’une sécurité intégrée contre ce type d’attaque, l’escroc aurait probablement besoin de la carte SIM pour réussir son coup.
Pour citer Hackernoon, une fois en possession de votre numéro de téléphone, le cybercriminel s’empare de votre identité. Il peut désormais :
- Réinitialiser les mots de passe des comptes associés à votre numéro pour y accéder ;
- Utiliser diverses techniques d’hameçonnage pour obtenir d’autres informations personnelles auprès de vos contacts ou mener des attaques d’ingénierie sociale.
Précautions à prendre pour éviter les arnaques à la carte SIM
Aussi ingénieux que soient les cybercriminels et leurs arnaques à la carte SIM, il est possible de s’en prémunir. Voici comment protéger votre numéro et votre identité :
- Contactez votre opérateur de téléphonie mobile pour activer la double authentification. Pour empêcher quiconque de transférer votre numéro de téléphone, demandez à votre opérateur de paramétrer un mot de passe secondaire ou un code de sécurité. Ce code ou mot de passe doit être fort et unique.
- Optez pour une authentification multifacteur ne requérant pas votre numéro de téléphone. Les applications d’authentification comme Duo s’avèrent très sûres, car le délai qu’elles proposent pour autoriser l’accès à un compte est très court. Qui plus est, l’application ne requiert pas votre numéro pour être installée sur votre téléphone. Notez également l’efficacité des clés de sécurité physiques comme Yubikey. En effet, ces authentificateurs qui se branchent sur votre port USB ou se placent à proximité de votre appareil restent inaccessibles pour les pirates informatiques.
Inscrivez-vous pour connaître toute l'actualité de Dashlane