Soyez très prudent si vous recevez un SMS indiquant qu’une eSim a été commandée sur votre ligne mobile : il s’agit de « SIM swapping », une nouvelle arnaque à la mode, encore une, visant à voler votre numéro, qui fait des ravages en ce moment !
Si la carte SIM reste encore la norme, les opérateurs français proposent depuis quelques années à leurs clients de lui préférer l’eSIM, à condition d’avoir un smartphone compatible avec cette technologie. Il s’agit d’une version miniaturisée de la carte SIM traditionnelle directement soudée à la carte mère qui permet aux constructeurs de se passer du tiroir à carte SIM, et donc de gagner de la place pour les composants. Elle permet également aux opérateurs de modifier plus facilement et à distance les informations écrites dessus – pour le meilleur et pour le pire. Les cybercriminels, qui n’ont pas mis longtemps avant d’y voir une formidable opportunité de piratage, ont mis en place un nouveau type d’arnaques dite de SIM swapping – “échange de SIM” en français. Et les escroqueries usant de cette méthode se se multiplient depuis plusieurs semaines, notamment auprès des clients SFR, comme le rapporte Capital.
« SIM swapping » : un faux SMS pour commander une eSIM
Tout commence par une tentative de phishing tout ce qu’il y a de plus banal. Les voleurs se font passer pour une entreprise de téléphonie mobile et envoient à leur victime un SMS prétendant qu’une demande de changement de sa SIM en eSIM a été demandée sur sa ligne. La personne est alors invitée à cliquer sur un lien afin d’annuler la commande. Pour ce faire, elle va sur le faux site Web et rentre ses identifiants et son mot de passe. Elle reçoit ensuite un deuxième SMS l’informant de potentiels dysfonctionnements sur sa ligne durant les prochaines 72 heures. À ce moment-là, le piège se referme, et il est déjà trop tard.
De leur côté, une fois les précieuses informations récupérées, les pirates contactent le service client de SFR en se faisant passer pour leur victime. Ils prétextent un vol ou la perte de leur téléphone pour demander l’envoi d’une nouvelle carte SIM. Ils fournissent toutes les informations nécessaires qu’ils ont trouvé sur le compte grâce aux identifiants et au mot de passe pour témoigner de leur identité à l’opérateur, qui n’y voit que du feu. Une fois le sésame reçu, c’est la porte ouverte aux arnaques.
« SIM swapping » : la porte ouverte à de nombreuses arnaques
Une fois qu’ils ont reçu la nouvelle carte SIM, toujours au nom de la victime, les pirates peuvent utiliser la ligne pour réaliser des campagnes de phishing et ainsi obtenir de précieuses informations personnelles et bancaires, qu’ils pourront revendre sur le Dark Net. Ils peuvent également s’en servir pour débloquer l’accès via la double authentification à certains services sensibles, comme l’application bancaire, ou pour des achats à distance. Autant dire que les pertes financières peuvent vite se révéler assez importantes…
Autre méthode : passer des appels surtaxés en direction de numéros qu’ils ont créés, ce qui peut entrainer une facture téléphonique de plusieurs centaines d’euros pour la victime.
C’est pourquoi il faut se méfier de tout SMS reçu par un numéro inconnu, surtout ceux commençant par 06 ou 07, en particulier s’il contient des fautes d’orthographe. L’URL du lien peut également être un bon indicateur. Dans tous les cas, il ne faut jamais appuyer sur le lien envoyé ! À la place, mieux vaut se rendre manuellement sur le site Internet. Il est également recommandé de ne pas partager d’informations sensibles sur les réseaux sociaux, ou d’au moins limiter au maximum leur accès (cercle d’amis restreint, etc.), car elles peuvent être utilisées par des personnes malveillantes pour usurper l’identité de la personne. Enfin, il faut opter systématiquement pour la double identification sur l’ensemble de ses comptes.
Source : Fédération GM 35
