Elle se fait pirater sa carte SIM et perd 17 000 €

Un pirate a réussi à pirater la carte SIM d'une utilisatrice à de multiples reprises, interceptant à sa place les SMS de double authentification. Malgré de nombreuses tentatives pour stopper le processus, le hacker a réussi à voler 17 000 € depuis le compte de la propriétaire.

Connaissez-vous le SIM Swapping ? Ce procédé consiste pour un hacker à transférer le numéro de téléphone d'une personne vers une carte SIM en sa possession. Pour ce faire, le pirate n'a pas 36 solutions. Soit il parvient à se faire passer pour la victime auprès des services clients de l'opérateur, ou bien il soudoie l'un des salariés.

Une fois le numéro récupéré, un pirate peut recevoir à la place de la victime les SMS de double authentification, nécessaires pour accéder aux comptes bancaires ou pour valider des paiements. Quand le hacker est dans la place, la victime perd son réseau et sa connexion 3G/4G puisque la carte SIM se désactive.

À lire également : Valak – ce malware qui fait des ravages vole vos données le plus simplement du monde

Difficile de se défendre contre le SIM Swapping

Dans les deux cas, difficile pour la cible de se protéger par soi-même. Dans ce cas précis, seul l'opérateur peut réagir pour empêcher de telles manipulations, en repérant par exemple de nouvelles demandes de carte SIM suspectes. Dans le cas de la victime que nous appellerons Sophie, les deux opérateurs successifs qui ont été confrontés au problème n'ont pas réussi à contrecarrer les plans du hacker.

En effet, d'après son témoignage recueilli par nos confrères de Cyberguerre, la jeune femme s'est fait voler une première fois son numéro lorsqu'elle était cliente SFR. Après une suspension de ligne, une nouvelle carte SIM et un autre vol, elle décide de résilier son contrat pour aller chez Orange.

Seulement, au bout de deux semaines, Sophie perd soudainement l'accès au réseau sur son smartphone. Elle contacte le SAV d'Orange, qui l'informe qu'une nouvelle carte SIM a été demandée en boutique à Bordeaux. Elle habite Paris. Craignant le retour de ce hacker décidément acharné, elle décide de changer immédiatement de numéro et de désactiver sa ligne pour se protéger. Problème, le nouveau numéro sera envoyé par Orange par SMS.

Il utilise le numéro pour valider trois virements de 17 000 €

Or, c'est le pirate qui récupère le SMS à la place de Sophie, souvenez-vous. Résultat, il réussit à se faire passer pour elle auprès du SAV, afin d'annuler sa demande de résiliation et de réactiver la ligne. Il faut préciser qu'Orange demande seulement un nom, un prénom et une adresse postale pour vérifier l'identité du client au bout du fil. Après quelques recherches, Sophie comprend pourquoi le pirate cherche tant à garder son numéro.

Le hacker est parvenu à rajouter trois bénéficiaires sur le compte bancaire de l'entreprise de Sophie et son compagnon, et a validé trois virements de 17 000 €. Soit l'intégralité des liquidités de l'entreprise. Un virement est malheureusement passé, les deux autres ayant été annulés après que la banque ait contacté la jeune femme.

Comment le hacker a-t-il réussi à valider cette opération ? Le SIM Swapping lui a uniquement permis d'accéder au SMS de double authentification. Pour compromettre le compte, le pirate devait déjà être en possession des identifiants et mots de passe de Sophie. Comment les a-t-il volés ? Un malware ? Une fuite de données de la banque ? C'est la question à 17 000 €.