Un envoi de faux SMS pour commander une soit-disante eSIM :
Après l’abonnement Netflix, le CPF ou encore le compte Ameli, voici donc la dernière trouvaille pour extorquer des données. Bon, pas de chance, je ne suis pas chez @SFR… pic.twitter.com/rECNwKGI3y
— Melinda Davan-Soulas (@Melinda_DS) February 12, 2023
Tout commence par une tentative de phishing plutôt courante où les fraudeurs se font passer pour une entreprise de téléphonie mobile, en l'occurrence SFR, ils envoient un SMS à leur cible prétendant qu'une demande de changement de sa carte SIM en eSIM a été initiée sur sa ligne, la victime est alors incitée à cliquer sur un lien pour annuler cette commande, pour cela, elle est dirigée vers un site Web frauduleux où elle doit saisir ses informations de connexion, après cette étape, elle reçoit un deuxième SMS l'informant de possibles dysfonctionnements sur sa ligne dans les 72 prochaines heures, à ce stade, le piège se referme sur elle, mais il est déjà trop tard pour agir.
Après avoir récupéré les informations précieuses, les pirates contactent le service client de SFR en se faisant passer pour leur victime, ils prétendent avoir perdu leur téléphone ou avoir été victimes d'un vol et demandent à l'opérateur d'envoyer une nouvelle carte SIM, en utilisant les identifiants et le mot de passe trouvés sur le compte de la victime, ils sont en mesure de fournir toutes les informations nécessaires pour prouver leur identité auprès de l'opérateur, l'opérateur ne se doute de rien et envoie la carte SIM demandée, cela permet aux pirates de commettre des arnaques en toute impunité.
Une fois la carte SIM de leur victime obtenue , les pirates peuvent l'utiliser pour effectuer des campagnes de phishing afin de récupérer des informations personnelles et bancaires précieuses qu'ils peuvent vendre sur le Dark Net, ils peuvent également utiliser cette carte pour désactiver la double authentification d'applications sensibles, telles que les applications bancaires, ou pour effectuer des achats à distance.
Les pertes financières peuvent être considérables, notamment si les pirates font des appels surtaxés vers des numéros qu'ils ont créés, ce qui peut entraîner des factures téléphoniques de plusieurs centaines d'euros pour leur victime.
Ainsi, il est essentiel d'être prudent avec tous les SMS provenant d'un numéro inconnu, surtout ceux commençant par 06 ou 07, et de vérifier soigneusement l'URL avant de cliquer sur un lien.
Il est préférable de se rendre directement sur le site internet concerné plutôt que de cliquer sur le lien envoyé, en outre, il est conseillé de limiter la divulgation d'informations personnelles sur les réseaux sociaux et de ne les partager qu'avec un cercle d'amis restreint, les personnes malveillantes peuvent utiliser ces informations pour usurper l'identité de leur cible.
Enfin, il est recommandé d'activer la double authentification sur tous ses comptes, de préférence en utilisant une application dédiée telle que Google Authenticator. De cette manière, vous réduisez considérablement les risques d'être victime d'une fraude en ligne.