La FCC lutte contre les attaques par échange de cartes SIM avec des règles strictes

« Les règles aideront à protéger les consommateurs contre les escrocs qui ciblent les données et les informations personnelles en échangeant secrètement les cartes SIM vers un nouvel appareil ou en portant les numéros de téléphone vers un nouvel opérateur sans jamais prendre le contrôle physique du téléphone d’un consommateur », a déclaré la FCC cette semaine.

Alors que l’échange de cartes SIM consiste à transférer le compte d’un utilisateur vers une carte SIM contrôlée par l’escroc en convainquant l’opérateur sans fil de la victime, la fraude par portage se produit lorsque le mauvais acteur, se faisant passer pour la victime, transfère son numéro de téléphone d’un fournisseur de services à un autre à son insu.

Les nouvelles règles, proposées pour la première fois en juillet 2023, obligent les fournisseurs de services sans fil à adopter des méthodes sécurisées d’authentification du client avant de rediriger son numéro de téléphone vers un nouvel appareil ou un nouveau fournisseur. Une autre exigence garantit que les clients sont immédiatement avertis lorsqu’un changement de carte SIM ou une demande de port-out est effectué sur leur compte, afin qu’ils puissent prendre les mesures nécessaires pour se prémunir contre de telles attaques.

L’échange de cartes SIM est devenu une menace sérieuse, permettant à des acteurs tels que LAPSUS$ et Scattered Spider d’infiltrer les réseaux d’entreprise. La migration du service vers un appareil contrôlé par l’acteur donne aux attaquants la possibilité de détourner les codes d’authentification à deux facteurs basés sur les SMS et de s’emparer des comptes en ligne des victimes.
« Étant donné que nous utilisons fréquemment nos numéros de téléphone pour l’authentification à deux facteurs, un acteur malveillant qui prend le contrôle d’un téléphone peut également prendre le contrôle de comptes financiers, de comptes de médias sociaux, et la liste est longue », a déclaré Geoffrey Starks, commissaire de la FCC. « Les consommateurs doivent pouvoir compter sur des procédures de vérification sûres et des garanties de confidentialité fiables de la part de leurs fournisseurs de services sans fil. Ils doivent pouvoir vaquer à leurs occupations sans craindre que quelqu’un, quelque part, prenne le contrôle de leur téléphone sans le moindre signe d’avertissement.

Ce développement intervient alors que la FCC a déclaré qu’elle lançait également une enquête pour comprendre l’impact de l’intelligence artificielle (IA) sur les robocalls et les robotexts. « L’IA pourrait améliorer les outils d’analyse utilisés pour bloquer les appels et les textes indésirables et rétablir la confiance dans nos réseaux », a déclaré l’agence. « Mais l’IA pourrait aussi permettre à de mauvais acteurs de frauder plus facilement les consommateurs par le biais d’appels et de SMS, par exemple en utilisant la technologie pour imiter les voix de fonctionnaires ou d’autres sources dignes de confiance. »