Pour développer des voitures autonomes capables de communiquer entre elles, Audi, BMW et Daimler ont fondé la 5G Automotive Association avec le concours de partenaires IT.

L'Image du jour

Pour développer des voitures autonomes capables de communiquer entre elles, Audi, BMW et Daimler ont fondé la 5G Automotive Association avec le concou...

Les Fintech bousculent la finance

Dernier Dossier

Les Fintech bousculent la finance

Quelque 4 000 Fintechs existeraient dans le monde, sûrement une faible minorité d'entre elles subsistera dans les trois ans. Une chose est sûre, depui...

Restez proche de l'actualité IT

NEWSLETTERS THEMATIQUES

Découvrez nos différentes newsletters adaptées à vos besoins d'actualités IT Pro : Mobilité, Réseaux, Stockages, ...

Abonnez-vous 
FERMER

LMI MARKET

Votre comparateur de prestataires IT : Comparez les devis, Evaluez les prestataires, Trouvez le juste prix!...

Accéder à ce service 

BLOG

Découvrez les contenus exclusifs publiés par les lecteurs du Monde Informatique avec la plateforme LMI Blog...

Accéder à ce service 

COMPARATEUR DE SALAIRE

Partagez votre situation salariale anonymement, consultez les statistiques depuis 2009 et faites vos propres analyses...

Accéder à ce service 

IT TOUR

LMI vous invite à sa Matinée-Débats dans votre région.
Inscrivez-vous

Accéder au site 
FERMER
1
Réagissez Imprimer Envoyer

Des cartes SIM frauduleuses à l'assaut des banques en ligne

Crédit Photo: D.R

Crédit Photo: D.R

Une société spécialisée dans les solutions de sécurité pointe du doigt les méthodes de certains cybercriminels pour obtenir des cartes SIM d'abonnés et réaliser ainsi des transactions frauduleuses en contournant les protections des banques en ligne.

Des cybercriminels ont réussi à obtenir de certains opérateurs de téléphonie mobile des cartes SIM de remplacement au nom de leurs victimes, qu'ils utilisent ensuite pour contourner les protections des services bancaires en ligne, et notamment recevoir les codes de sécurité envoyés par les banques. C'est ce qu'a pu établir un chercheur du fournisseur de solutions de sécurité Trusteer. Dans un blog, celui-ci explique avoir identifié récemment des variantes du cheval de Troie Gozi, lequel injecte des formulaires frauduleux dans les pages web de services bancaires en ligne pour tromper les victimes et les inciter à dévoiler le numéro IMEI (International Mobile Equipment Identity) de leur téléphone mobile, plus des renseignements personnels et d'autres informations de sécurité.

« L'explication probable de l'arrivée de ces trojans spécialisés dans le phishing, c'est que les données sont ensuite utilisées pour obtenir une carte SIM correspondant au numéro de téléphone de la victime quand celui-ci a été déclaré comme volé, » a déclaré Oren Kedem, directeur marketing produit chez Trusteer. En effet, les fraudeurs peuvent ainsi contourner les protections des banques, en récupérant les mots de passe à usage unique (One Time Password - OTP) que les clients reçoivent sur leurs téléphones lorsqu'ils veulent effectuer une opération impliquant un transfert d'argent depuis leur compte en banque. Le code, reçu par SMS, doit être reproduit sur le site web de la banque pour autoriser l'opération.

Déposer plainte au nom de l'abonné


Les cybercriminels ont mis au point plusieurs techniques afin de contourner ces systèmes anti-fraude. Certains piègent leurs victimes en installant des applications mobiles malveillantes qui transfèrent les messages texte des OTP vers des numéros de mobiles sous leur contrôle. D'autres parviennent à convaincre les victimes à livrer des informations personnelles qui leur permettraient ensuite de modifier le numéro de téléphone sur lequel recevoir ces OTP. Dernière technique en vogue, et dont l'objectif est identique : l'usurpation d'identité, qui permet aux fraudeurs de récupérer auprès des opérateurs une carte Sim au nom de la victime.

Sur certains forums underground, ils ont constaté que la fraude à la carte SIM faisait l'objet de nombreuses discussions. L'une d'elle décrit un système complexe où les pirates vont jusqu'à déposer un rapport de police au nom de la victime afin de déclarer le téléphone volé, puisque certains opérateurs exigent une copie du rapport de police avant d'émettre une carte SIM. « Mais, l'obtention de ce type de preuve est assez risquée pour les cybercriminels, et ils doivent réserver la méthode à des cas qui en valent vraiment la peine, c'est à dire impliquant de gros volumes de transactions, » a estimé Oren Kedem.

Le chercheur en sécurité conseille aux utilisateurs des services bancaires en ligne d'utiliser un logiciel de sécurité qui empêche les intrusions pendant leur session de navigation et leurs recommande de ne pas livrer d'informations sensibles sur eux-mêmes ou sur leurs téléphones mobiles (comme le numéro IMEI de leur téléphone) sur les sites de services bancaires tant qu'ils n'ont pas vérifié l'authenticité de ces demandes auprès de leurs banques.

COMMENTAIRES de l'ARTICLE1

le 08/11/2013 à 11h33 par Visiteur3298 :

Le titre de cet article est assez trompeur et étonnant de la part de LMI. En fait il s' agit plutôt d'ingénierie sociale pour commettre ces forfaits. Par ailleurs, la situation pourrait plutôt évoluer en sens contraire, car plutôt que de continuer à cacher le statut d'un IMEI ou à le limiter à des bases de données légales , peu à jour, et aux capacités d' accès très restrictives) ( créant du coup beaucoup de problèmes et rendant les usagers inégaux devant l' accès à l'info vu la capacité de certains à utiliser des moyens sophistiqués pour accéder ou détourner l'info vraie sur le statut d'un IMEI), IL VAUDRAIT MIEUX DU COUP ENCOURAGER à LE RENDRE PUBLIC, ou SURTOUT immédiatement interrogeable simplement par le public typiquement via INTERNET et n'importe quel moteur de recherche, et par contre controlable (éditable) par son propriétaire original (légitime).
Il est désormais possible en effet d'enregistrer l' IMEI de son nouveau smartphone sous forme de nom de domain adapté aux télécoms mobiles (dot TEL omains, with DATA in the DNS ) , et de pouvoir indiquer soi même quel est le statut de son telephone correspondant, voire sa localisation géographique "habituelle" ( sans etre trop précis ...).
Et en cas de vol cela permet selon le site IMEI .TEL de réduire fortement les possibilités de revente "en toute ignorance" et " de bonne foi" . Un sérieux coup d'arrêt potentiel aux évolutions vertigineuses du trafic de Smartphones volés, comme l' illustre l 'excellent dossier du Huffington Post sur le sujet aux USA ( en accès via www IMEI.TEL aussi) et dont on veut nous cacher les statistiques réelles en Europe.
Pourtant une évolution des mentalités et des pratiques urgemment nécessaires en parallèle du développement du paiement via le mobile ... Peut être d'ailleurs un nouveau cheval de bataille pour les assureurs de mobile, qui pourraient même sponsoriser le coup du nom de domain pour l 'IMEI de leur assuré, y compris avec quelques infos promotionnelles en échange... Un aussi un pas de plus vers l' Internet of (mobile) Things ? voir le site IMEI .TEL

Signaler un abus

Commenter cet article

commenter cet article en tant que membre LMI

CONNEXION

Commenter cet article en tant que visiteur






* Les liens HTML sont interdits dans les commentaires

Publicité
35 ans
10 Avril 1998 n°761
Publicité
Publicité