Dans le cadre d'une enquête internationale* sur une série d'attaques de SIM swapping, Europol annonce que huit personnes âgées entre 18 et 26 ans ont été arrêtées en début de semaine. Ces arrestations ont eu lieu en Angleterre et en Écosse. Deux autres personnes suspectées de faire partie du même réseau cybercriminel avaient au préalable été interpellées à Malte et en Belgique.

Selon l'agence de police européenne, les attaques orchestrées par ce gang criminel ont ciblé en 2020 des milliers de victimes, dont des influenceurs sur internet, stars du sport, musiciens et membres de leurs familles. Il est uniquement fait mention de victimes aux États-Unis.

Le SIM swapping (ou échange de carte SIM) est une technique où un attaquant parvient à tromper un opérateur de téléphonie mobile pour le convaincre d'assigner un numéro de téléphone d'une victime à une carte SIM en sa possession. Avec diverses informations glanées, il peut se faire passer pour la victime et par exemple prétexter une perte ou un vol.

Avec l'accès au numéro de téléphone de la victime, l'attaquant est en capacité de modifier des mots de passe de comptes en ligne et contourner des mesures de sécurité reposant sur l'envoi par SMS. En sollicitant une modification des mots de passe et en recevant des codes de réinitialisation via SMS, il peut prendre le contrôle d'applications ou de comptes.

Un gros butin à la clé

D'après Europol, c'est avec du SIM swapping que le groupe démantelé a pu dérober de l'argent, des cryptomonnaies et diverses informations personnelles, dont des contacts synchronisés avec des comptes en ligne. Il a également détourné des comptes sur les réseaux sociaux pour y publier des messages en se faisant passer pour les victimes.

Cela laisse notamment supposer un accès à des applications bancaires et à des portefeuilles de cryptomonnaies. On se souviendra également de messages frauduleux sur les réseaux sociaux pour inciter à des dons en cryptomonnaies.

Les suspects auraient dérobé pour plus de 100 millions de dollars en cryptomonnaies. Les autorités britanniques précisent la cryptomonnaie bitcoin et du blanchiment d'argent.

Hormis les conseils habituels en matière de sécurité informatique (application des mises à jour logicielles sur les appareils, ne pas répondre à des messages suspects ou des appels demandant des informations personnelles, limiter la quantité de données personnelles partagées en ligne...), Europol recommande d'utiliser l'authentification à deux facteurs pour les services en ligne et ne s'appuyant pas sur l'envoi d'un code par SMS, de ne pas associer dans la mesure du possible un numéro de téléphone à des comptes en ligne sensibles.

* États-Unis, Canada, Royaume-Uni, Belgique, Malte, avec une coordination par Europol.