Qu'est-ce qu'une arnaque au port?
Les «escroqueries au port» sont un gros problème pour l’ensemble du secteur cellulaire. Dans cette arnaque, un criminel fait semblant d'être vous et transfère votre numéro de téléphone actuel vers un autre opérateur. Ce processus est appelé «portage» et est conçu pour vous permettre de conserver votre numéro de téléphone lorsque vous passez à un nouvel opérateur cellulaire. Tous les messages texte et les appels sur votre numéro de téléphone sont ensuite envoyés à leur téléphone au lieu du vôtre.
C'est un gros problème car de nombreux comptes en ligne, y compris des comptes bancaires, utilisent votre numéro de téléphone comme méthode d'authentification à deux facteurs. Ils ne vous laisseront pas vous connecter sans envoyer un code à votre téléphone au préalable. Mais après l’escroquerie de portage, le criminel recevra ce code de sécurité sur son téléphone. Ils pourraient l'utiliser pour accéder à vos comptes financiers et à d'autres services sensibles.
Bien entendu, ce type d’attaque est particulièrement dangereux si un attaquant a déjà accès à vos autres comptes, par exemple s’il dispose déjà de votre mot de passe bancaire en ligne ou d’un accès à votre compte de messagerie. Mais cela permet à l’attaquant de contourner les messages de sécurité basés sur SMS conçus pour vous protéger dans cette situation.
Cette attaque est également appelée détournement de la carte SIM, car elle déplace votre numéro de téléphone de votre carte SIM actuelle vers la carte SIM de l'attaquant.
Comment fonctionne une arnaque Port Out?
Si la personne parvient à duper votre opérateur de téléphonie cellulaire, le commutateur est activé et les messages SMS qui vous sont envoyés ainsi que les appels téléphoniques qui vous sont destinés seront acheminés vers leur téléphone. Votre numéro de téléphone est associé à leur téléphone et votre téléphone actuel ne recevra plus d’appel téléphonique, de SMS ou de service de données.
C'est vraiment juste une autre variante d'une attaque d'ingénierie sociale. Quelqu'un appelle une entreprise prétendant être quelqu'un d’autre et utilise l’ingénierie sociale pour accéder à quelque chose qu’elle ne devrait pas avoir. À l'instar d'autres entreprises, les opérateurs de téléphonie mobile souhaitent que les clients légitimes soient aussi simples que possible. Par conséquent, leur sécurité peut ne pas être suffisante pour empêcher tous les attaquants.
Comment arrêter les escroqueries Port Out
Nous vous recommandons de vous assurer que vous avez un code PIN sécurisé avec votre opérateur de téléphonie mobile. Ce code PIN sera requis lors du portage de votre numéro de téléphone. Auparavant, de nombreux opérateurs de téléphonie mobile utilisaient simplement les quatre derniers chiffres de votre numéro de sécurité sociale comme code confidentiel, ce qui simplifiait grandement les tentatives d'escroquerie.
- AT & T: Assurez-vous que vous avez défini un «code d'accès sans fil» ou un code PIN en ligne. Ce mot de passe est différent du mot de passe standard que vous utilisez pour vous connecter à votre compte en ligne et doit comporter entre quatre et huit chiffres. Vous pouvez également activer la «sécurité supplémentaire» en ligne, ce qui rendra votre code d'authentification sans fil requis dans davantage de situations.
- Sprint: Fournissez un code PIN en ligne sur le site Web de My Sprint. Avec votre numéro de compte, ce code PIN sera utilisé pour confirmer votre identité lors du transfert de votre numéro de téléphone. Il est distinct du mot de passe du compte utilisateur en ligne standard.
- T Mobile: Appelez le service clientèle de T-Mobile et demandez à ajouter «Validation du port» à votre compte. Ceci est un nouveau mot de passe de six à quinze chiffres qui doit être fourni lorsque vous portez votre numéro. Nous ne savons pas pourquoi, mais T-Mobile ne vous permet pas de le faire en ligne et vous oblige à appeler.
- Verizon: Définissez un code PIN de compte à quatre chiffres. Si vous n'en avez pas encore défini ou si vous ne vous en souvenez plus, vous pouvez le modifier en ligne, dans l'application My Verizon ou en appelant le service clientèle. Vous devez également vous assurer que votre compte en ligne My Verizon a un mot de passe sécurisé, car ce mot de passe peut être utilisé lors du portage de votre numéro de téléphone.
Si vous avez un autre opérateur de téléphonie mobile, consultez le site Web de votre opérateur ou contactez le service clientèle pour savoir comment protéger votre compte.
Malheureusement, tous ces codes de sécurité peuvent être contournés. Par exemple, pour de nombreux opérateurs, un attaquant pouvant accéder à votre compte en ligne pourrait modifier votre code PIN. Nous ne serions pas non plus surpris si quelqu'un, tout votre opérateur cellulaire, pouvait dire «j'ai oublié mon code secret» et le réinitialiser d'une manière ou d'une autre s'il connaissait suffisamment d'informations personnelles. Les opérateurs ont besoin d'un moyen pour les personnes qui oublient leurs codes confidentiels de les réinitialiser. Mais c’est tout ce que vous pouvez faire pour vous protéger contre le portage.
Les réseaux mobiles travaillent à renforcer leur sécurité. Les quatre grandes entreprises de téléphonie mobile américaines - AT & T, Sprint, T-Mobile et Verizon - collaborent au sein du groupe de travail "Authentification mobile" pour rendre le portage des escroqueries et autres fraudes plus difficile.
Évitez de vous fier à votre numéro de téléphone comme méthode de sécurité
Au lieu de recevoir les codes de sécurité envoyés par SMS, nous vous recommandons d'utiliser d'autres méthodes de sécurité à deux facteurs, telles que l'application Authy pour générer des codes. Ces applications génèrent le code sur votre téléphone lui-même. Un criminel aura donc besoin de votre téléphone - et le déverrouille - pour obtenir le code de sécurité.
Malheureusement, de nombreux services en ligne vous obligent à utiliser la vérification par SMS avec un numéro de téléphone et ne fournissent aucune autre option. Et, même lorsque les services offrent une autre option, ils peuvent vous permettre d’envoyer un code à votre numéro de téléphone comme méthode de sauvegarde, au cas où. Vous ne pouvez pas toujours éviter les codes SMS.
Comme pour tout dans la vie, il est impossible de se protéger complètement. Tout ce que vous pouvez faire, c'est rendre la tâche plus difficile aux attaquants: sécurisez vos appareils et vos mots de passe, assurez-vous que votre compte de téléphone cellulaire est associé à un code PIN sécurisé et évitez d'utiliser la vérification par SMS pour des services importants.