Des cybercriminels ont réussi à obtenir de certains opérateurs de téléphonie mobile des cartes SIM de remplacement au nom de leurs victimes, qu'ils utilisent ensuite pour contourner les protections des services bancaires en ligne, et notamment recevoir les codes de sécurité envoyés par les banques. C'est ce qu'a pu établir un chercheur du fournisseur de solutions de sécurité Trusteer. Dans un blog, celui-ci explique avoir identifié récemment des variantes du cheval de Troie Gozi, lequel injecte des formulaires frauduleux dans les pages web de services bancaires en ligne pour tromper les victimes et les inciter à dévoiler le numéro IMEI (International Mobile Equipment Identity) de leur téléphone mobile, plus des renseignements personnels et d'autres informations de sécurité.

« L'explication probable de l'arrivée de ces trojans spécialisés dans le phishing, c'est que les données sont ensuite utilisées pour obtenir une carte SIM correspondant au numéro de téléphone de la victime quand celui-ci a été déclaré comme volé, » a déclaré Oren Kedem, directeur marketing produit chez Trusteer. En effet, les fraudeurs peuvent ainsi contourner les protections des banques, en récupérant les mots de passe à usage unique (One Time Password - OTP) que les clients reçoivent sur leurs téléphones lorsqu'ils veulent effectuer une opération impliquant un transfert d'argent depuis leur compte en banque. Le code, reçu par SMS, doit être reproduit sur le site web de la banque pour autoriser l'opération.

Déposer plainte au nom de l'abonné


Les cybercriminels ont mis au point plusieurs techniques afin de contourner ces systèmes anti-fraude. Certains piègent leurs victimes en installant des applications mobiles malveillantes qui transfèrent les messages texte des OTP vers des numéros de mobiles sous leur contrôle. D'autres parviennent à convaincre les victimes à livrer des informations personnelles qui leur permettraient ensuite de modifier le numéro de téléphone sur lequel recevoir ces OTP. Dernière technique en vogue, et dont l'objectif est identique : l'usurpation d'identité, qui permet aux fraudeurs de récupérer auprès des opérateurs une carte Sim au nom de la victime.

Sur certains forums underground, ils ont constaté que la fraude à la carte SIM faisait l'objet de nombreuses discussions. L'une d'elle décrit un système complexe où les pirates vont jusqu'à déposer un rapport de police au nom de la victime afin de déclarer le téléphone volé, puisque certains opérateurs exigent une copie du rapport de police avant d'émettre une carte SIM. « Mais, l'obtention de ce type de preuve est assez risquée pour les cybercriminels, et ils doivent réserver la méthode à des cas qui en valent vraiment la peine, c'est à dire impliquant de gros volumes de transactions, » a estimé Oren Kedem.

Le chercheur en sécurité conseille aux utilisateurs des services bancaires en ligne d'utiliser un logiciel de sécurité qui empêche les intrusions pendant leur session de navigation et leurs recommande de ne pas livrer d'informations sensibles sur eux-mêmes ou sur leurs téléphones mobiles (comme le numéro IMEI de leur téléphone) sur les sites de services bancaires tant qu'ils n'ont pas vérifié l'authenticité de ces demandes auprès de leurs banques.