Des pirates vident des comptes bancaires en détournant des SMS

Des e-mails et des numéros de téléphone de célébrités sont en vente pour 10 dollars par compte piraté. La manière dont ces données ont été obtenues n’est pas clair pour le moment.  

Depuis des années, les chercheurs en sécurité alertent les opérateurs de télécommunication sur des failles sur leurs réseaux et le risque qu’elles représentent pour les abonnés... sans grand résultat. Or, il s’avère que ces failles sont désormais exploitées par des pirates, notamment pour vider des comptes bancaires grâce à des virements effectués en ligne. D’après le journal Süddeutsche Zeitung, plusieurs personnes ont été victimes de ce type d’attaque en Allemagne en janvier dernier, comme l’a confirmé l’opérateur O2.

L’attaque, relativement complexe, se déroule en deux étapes. Dans un premier temps, il s’agit de piéger la victime par des e-mails de phishing, pour qu’ils révèlent leur numéro de compte, leur mot de passe et le numéro de leur téléphone portable. Ces informations permettent aux attaquants de se connecter en ligne sur son compte bancaire et de voir s’il est bien approvisionné. Si c’est le cas, les pirates vont alors vider le compte par un virement en ligne.

SS7, un réseau ouvert à tout vent

Cette deuxième étape n’est pas si simple. En Allemagne, les virements doivent être validés par l’utilisateur en renseignant un code reçu par SMS, appelé « mTAN ». Mais cette protection n’est pas suffisante, car les pirates sont capables de détourner ce SMS pour qu’il tombe sur l’un de leurs téléphones portables. Dès lors, rien n’empêche...

Lire la suite sur 01net.com

A lire aussi

En utilisant Yahoo vous acceptez les cookies de Yahoo/ses partenaires aux fins de personnalisation et autres usages