Des employés de T-Mobile à travers les États-Unis reçoivent des offres d’argent pour échanger illégalement des SIM

 (tmo.report)
1 points par GN⁺ 2024-04-16 | 1 commentaires | Partager sur WhatsApp

  • Des employés de T-Mobile se voient proposer de l’argent pour effectuer illégalement des échanges de carte SIM

    • Des acteurs malveillants contactent des employés de T-Mobile en leur proposant 300 $ par échange de SIM
    • L’offre demande de prendre contact via Telegram depuis différents indicatifs régionaux et affirme que les numéros ont été obtenus à partir de l’annuaire des employés de T-Mobile
    • Selon plusieurs publications sur Reddit et des personnes ayant informé The Mobile Report, des employés de T-Mobile dans tout le pays seraient concernés

  • Des questions sur l’origine de la fuite des données personnelles des employés

    • La principale question est de savoir comment les acteurs malveillants ont obtenu les numéros de téléphone des employés
    • Parmi les employés touchés, certains sont d’anciens salariés qui ne travaillent plus dans l’entreprise depuis plusieurs mois, ce qui laisse penser que les informations pourraient dater de plusieurs mois
    • Comme des employés du groupe sont aussi concernés, la source des données semble différente de la fuite survenue chez Connectivity Source
    • T-Mobile a déclaré qu’il n’y avait pas eu de compromission de ses systèmes et qu’il poursuivait son enquête sur ces messages incitant à des activités illégales

  • Impact pour les clients et mesures de prévention

    • Le fait que des criminels considèrent encore le SIM swapping comme une source de revenus montre que les efforts de prévention des entreprises restent insuffisants
    • Puisque l’offre a été envoyée à de nombreux employés, il est possible que certains l’acceptent, ce qui pourrait mettre en danger les comptes et les fonds des clients
    • Les clients peuvent prendre des mesures préventives, comme utiliser une authentification à deux facteurs basée sur une application plutôt que sur les SMS, et activer la protection SIM sur leur compte T-Mobile
    • Si une banque ou un portefeuille de cryptomonnaies ne prend en charge que les SMS, il faut envisager de changer de service

  • Espérons qu’il ne s’agisse pas d’une nouvelle fuite chez cet opérateur tristement célèbre pour ses violations de données récentes

    • Le meilleur scénario serait qu’il s’agisse encore des retombées de la fuite de septembre, mais l’hypothèse d’une nouvelle fuite reste possible
    • The Mobile Report continuera de mettre à jour l’article à mesure que de nouvelles informations seront disponibles

L’avis de GN⁺

  • Le SIM swapping n’est pas un problème nouveau, mais une tentative organisée visant directement des employés d’un opérateur reste inhabituelle. Il semble nécessaire de renforcer les mesures de sécurité des opérateurs face aux menaces internes
  • La majorité des clients des trois grands opérateurs utilise les SMS pour l’authentification à deux facteurs, ce qui donne à cette affaire un potentiel de dégâts important. Il est urgent d’améliorer à la fois la sensibilisation des clients et les contre-mesures techniques
  • La confiance envers T-Mobile a déjà été entamée par des fuites répétées de données clients, et cette affaire risque donc d’avoir un impact important. Une enquête approfondie et des mesures de prévention contre toute récidive paraissent indispensables
  • Concernant l’origine de la fuite des données des employés, l’hypothèse d’un acte interne ne peut pas être écartée. Le fait que des informations sur d’anciens employés ayant changé d’entreprise soient également incluses soulève des doutes
  • Au-delà du seul secteur des télécoms, il serait nécessaire d’encadrer juridiquement le SIM swapping et de durcir les sanctions. Au regard de l’ampleur des dommages possibles, les peines actuelles restent trop faibles et peuvent encourager ce type de criminalité

À lire aussi

1 commentaires

 
GN⁺ 2024-04-16
Avis Hacker News
  • Il est contraire à l’éthique et controversé que T-Mobile envoie de faux SMS pour licencier des employés
  • À la suite de la récente fuite de données de T-Mobile, une nouvelle technique d’attaque est apparue : des criminels obtiennent en masse les numéros de téléphone des employés afin de les pousser à effectuer des échanges de SIM frauduleux
  • Pour résoudre le problème du SIM swapping, il faut renforcer les procédures de vérification d’identité des clients, mais c’est difficile aux États-Unis faute de système universel de pièce d’identité
  • Il existe un problème de fond : le numéro de téléphone sert de base de confiance à la vie numérique. Des améliorations au niveau de l’OS, comme les passkeys, pourraient aider
  • Les OTP par SMS restent largement utilisés alors même qu’ils remplacent un vecteur d’attaque par un autre plus vulnérable
  • La FCC doit appliquer à partir de juillet 2024 des règles de prévention contre le SIM swapping, mais rien ne dit qu’elles suffiront à bloquer aussi les attaques internes
  • Il est nécessaire d’établir une définition juridique et des standards pour la MFA. Il serait souhaitable de classer les SMS comme 2SA et de réserver la MFA aux méthodes d’authentification matérielles
  • Les faibles salaires des agents du service client des opérateurs, leurs pouvoirs étendus et des contrôles d’accès insuffisants favorisent les attaques internes
  • Même une fois le problème des SIM résolu, les attaquants viseront d’autres failles ; il faut donc renforcer la sécurité en continu
  • On pourrait envisager une solution où, uniquement avec l’accord de l’utilisateur, le passage à une nouvelle SIM ne serait possible que lorsque l’ancienne SIM est hors ligne