Cet entrepreneur a été victime de changements de carte SIM si fréquents qu'il a créé une entreprise pour lutter contre ce phénomène.

Lors du premier changement de carte SIM en 2018, Haseeb Awan a encaissé la situation en espérant que cela T se reproduirait plus. Puis est arrivé le deuxième incident. Puis le troisième. Puis le quatrième. Après ce dernier changement, Awan a cessé de faire confiance à son opérateur mobile pour la sécurité de son compte et a pris les choses en main : il a créé sa propre entreprise de téléphonie mobile.

Il s'agissait d'un changement majeur par rapport à son ancien travail quotidien de gestion du réseau de distributeurs automatiques de Bitcoin BitAccess, une société qu'il avait cofondée et qui, soit dit en passant, faisait de lui une cible de PRIME pour l'échange de cartes SIM.

Sa nouvelle entreprise,Éfani, se consacre à mettre fin à un problème qui est trop répandu pour les utilisateurs de Cryptomonnaie - un problème que la plupart des opérateurs mobiles, comme en témoignent les propres problèmes d'Awan, n'ont pas réussi à résoudre de manière adéquate.

Qu'est-ce que l'échange de carte SIM ?

L'échange de carte SIM est un piratage par ingénierie sociale où un attaquant transfère le numéro de téléphone d'une victime sur une carte SIM qu'il contrôle. Pour pirater un compte mobile, un attaquant peut se faire passer pour une victime afin de convaincre un conseiller client d'échanger le numéro sur la nouvelle carte SIM. Dans des cas plus complexes, l'échange de carte SIM peut être une opération interne ou être effectué par corruption d'un REP client.

Ces attaques d'ingénierie sociale sont devenues un problème bien trop fréquent dans l'univers du Bitcoin et des Cryptomonnaie , en particulier pour leurs personnalités les plus en vue. Généralement, les utilisateurs de cartes SIM s'en prennent aux utilisateurs de Cryptomonnaie dans l'espoir d'accéder à leurs comptes d'échange par SMS et grâce à une authentification à deux facteurs.

L'exemple le plus célèbre de ce vecteur d'attaque vient peut-être de Michael Terpin, qui a perdu environ 24 millions de dollars à cause d'un échange de carte SIM, ce qui a provoqué unePoursuite de 220 $ contre AT&T. Beaucoup deautres utilisateurs de Cryptomonnaieont été victimes de telles attaques et ont vu leurs comptes d'échange vidés de leurs fonds. Le pirate Twitter de 2020 a même étéfait partie d'un syndicat qui a orchestré des échanges de cartes SIM.

Sur le même sujet : Un juge rejette une demande de dommages et intérêts de 200 millions de dollars dans le cadre du procès contre AT&T pour piratage de Crypto

Efani : une entreprise de cybersécurité qui fournit des services de télécommunications

Awan fait partie de la longue liste des victimes de l'échange de Crypto -cartes SIM, c'est pourquoi il a fondé Efani en 2019.

L'entreprise fonctionne un BIT comme un opérateur de réseau mobile virtuel. Elle utilise l'infrastructure réseau de Verizon, AT&T et T-Mobile pour servir ses clients. Mais elle ne s'appuie sur cette infrastructure que pour assurer la couverture cellulaire. Tout le reste, de la gestion des données au service client, est géré en interne selon les pratiques d'Efani.

Notre priorité est la cybersécurité. D'autres entreprises sont des opérateurs de télécommunications qui confient leur sécurité à d'autres entreprises. Nous sommes une entreprise de cybersécurité qui fournit des services de télécommunications.

Selon Awan, la plupart des opérateurs mobiles n'exigent qu'un numéro de téléphone et un numéro de compte pour modifier un forfait existant. Ils offrent également la possibilité de définir un code PIN, mais même cette protection peut être contournée si le pirate est suffisamment malin. Les pots-de-vin et les manipulations internes sont encore plus difficiles à contrôler.

11 couches de défense

La solution d'Efani à ce problème ? Rendre les modifications d'un compte tellement difficiles qu'une attaque est quasiment impossible.

« Vous ne pouvez pas modifier votre compte en appelant le service client », a déclaré Awan à CoinDesk. « Même en appelant, ils ne sont pas autorisés à effectuer de modifications. Pour un changement de carte SIM, par exemple, vous devrez peut-être passer par 11 niveaux d'authentification. »

Ces 11 niveaux d'authentification constituent le nombre maximal de méthodes de vérification disponibles pour les utilisateurs d'Efani. Chaque compte comporte un minimum de sept étapes d'authentification lorsqu'un utilisateur souhaite remplacer sa carte SIM. Ces vérifications impliquent la fourniture des quatre derniers chiffres de la carte bancaire enregistrée, du numéro de téléphone, du numéro de carte SIM et d'autres informations.

« Nous avons rendu ce processus si rigoureux qu'il élimine tout risque d'échange de carte SIM. La plupart des utilisateurs abandonnent après la deuxième ou la troisième étape d'authentification », a déclaré Awan.

Sur le même sujet : Ingénierie sociale : un fléau pour les Crypto et Twitter, qui ne risque pas de s'arrêter

La fonctionnalité la plus importante – et la dernière étape pour autoriser une modification de compte – consiste probablement à faire authentifier une lettre d'intention. Chaque utilisateur doit se rendre chez un notaire pour autoriser une modification de son service, et ce notaire est vérifié par l'équipe juridique d'Efani.

Même après cette dernière étape, une période de réflexion de sept jours s'applique avant l'activation de la nouvelle carte SIM. Il T peut s'agir d'une ancienne carte SIM achetée en magasin ; Efani envoie à chaque titulaire de compte deux cartes SIM cryptées lors de son inscription, et seule la carte de secours est autorisée à conserver le numéro de l'utilisateur en cas de perte de l'ancienne carte.

Vieux trucs, nouveaux chiens

En plus de ces mesures, Efani vérifie les antécédents de tous ses employés, requiert l'autorisation de plusieurs employés pour modifier les comptes et stocke les informations clients dans des serveurs séparés afin de KEEP la ségrégation des données. De plus, les noms et numéros de téléphone des clients sont conservés séparément.

Les plans d’Efani sont également assurés jusqu’à 5 millions de dollars par Lloyd’s of London pour tout vol ou violation de données pouvant survenir via les services d’Efani.

Awan, qui a lancé l'entreprise avec ses propres moyens, a déclaré qu'elle était rentable et en bonne voie pour atteindre un chiffre d'affaires à sept chiffres cette année. Environ un tiers de ses clients sont des utilisateurs de Cryptomonnaie , a-t-il précisé, ajoutant que les autres sont généralement des personnalités de premier plan, notamment des athlètes professionnels des Lakers de Los Angeles et des Giants de San Francisco, d'autres célébrités et un bon nombre d'avocats.

Interrogé sur les solutions envisageables pour remédier à la situation actuelle en matière d'échange de cartes SIM (sans créer d'activité concurrente), Awan s'est montré pessimiste quant à la capacité d'évolution des fournisseurs traditionnels. La plupart des employés du service client, initialement sous-traitants, « ne sont pas suffisamment expérimentés pour comprendre le niveau de menace ».

De plus, changer quelque chose qui affecte si peu de clients n’est probablement pas dans leur radar, surtout si l’on considère que cela nécessiterait une refonte complète de leurs processus.

« Je ne pense T que ce problème soit résolu par un opérateur. Changer le système actuel nécessiterait de mettre à jour le système et les processus de chaque compte mobile aux États-Unis, ce qui n'est pas chose aisée », a déclaré Awan.

Le deuxième problème, c'est que les transporteurs veulent croire que ce n'est pas un problème. Cela touche probablement 1 % de la population. Ce serait comme dire : "D'accord, toutes les voitures vendues aux États-Unis sont équipées de vitres pare-balles."