Le ministère américain de la Justice (DOJ) a annoncé cette semaine que le sixième membre (le seul restant) d'un gang international de cybercriminels appelé "The Community" a été condamné en raison de son rôle dans l'escroquerie d'échange de carte SIM de plusieurs millions de dollars.
Garrett Endicott, 22 ans, citoyen du Missouri, est le 6e membre du groupe de piratage à être condamné. Il a été confiné avec 10 mois d'emprisonnement en raison de sa participation à la campagne, au cours de laquelle une crypto-monnaie d'une valeur de plusieurs millions de dollars a été volée aux victimes et a été réclamée 121 549 $ en restitution.
Le détournement de carte SIM, généralement compris comme un échange de carte SIM, est une tactique qui permet à un cyberattaquant d' obtenir le numéro de téléphone de sa cible. De cette façon, l'attaquant commence à recevoir des messages et des codes d'authentification à deux facteurs (2FA) qui peuvent être utilisés pour se connecter au stockage cloud, aux e-mails et aux comptes de crypto-monnaie de la cible.
Selon les procureurs de l'affaire The Community, la campagne d'échange de cartes SIM "a souvent été facilitée par la corruption d'un employé d'un opérateur de téléphonie mobile". Ils ont en outre déclaré :
"D'autres fois, le piratage de carte SIM a été accompli par un membre de The Community contactant le service client d'un fournisseur de téléphonie mobile – se faisant passer pour la victime – et demandant que le numéro de téléphone de la victime soit échangé contre une carte SIM (et donc un appareil mobile) contrôlé par The Communauté."
La campagne s'est terminée par le vol de dizaines de millions de dollars de crypto-monnaie. Les victimes de cette campagne qui ont été identifiées comme résidant dans des villes partout aux États-Unis, y compris le Texas, le Missouri, New York, la Californie, le Michigan, l'Illinois et l'Utah, ont perdu une crypto-monnaie estimée entre 2 000 $ et plus de 5 millions de dollars au moment du vol.
Le ministère de la Justice a déclaré que les délinquants étaient impliqués dans des vols totaux dont la valeur variait d'environ 50 000 $ à 9 millions de dollars.
Parmi tous les accusés de The Community, Endicott a été condamné à une peine plus légère. Ricky Handschumacher, un résident de la Floride, a été condamné à une amende de plus de 7,6 millions de dollars avec 4 ans d'emprisonnement, Colton Jurisic, un résident de l'Iowa, a été condamné à une amende de plus de 9,5 millions de dollars avec 42 mois d'emprisonnement, Reyad Gafar Abbas, un résident de Caroline du Sud, a été condamné à une amende de plus de 310 000 $ et à 2 ans d'emprisonnement.
Conor Freedman, un résident irlandais, avait auparavant été condamné à trois ans d'emprisonnement par le tribunal irlandais, tandis que Ryan Stevenson, un résident du Connecticut, avait également été condamné à une mise à l'épreuve après avoir plaidé coupable par le district du Connecticut.
Le verdict d'Endicott est intervenu juste deux semaines après que la Federal Communications Commission (FCC) a proposé de nouvelles lois pour lutter contre les opérations d'échange de cartes SIM. La FCC exige des fournisseurs qu'ils optent pour de meilleures méthodes de sécurité pour l'authentification de l'identité d'une personne avant de transférer leur service vers un nouvel opérateur ou un nouveau téléphone portable.
La FCC a également proposé une règle selon laquelle les fournisseurs informent leurs clients chaque fois qu'une demande de transfert ou de changement de carte SIM est effectuée à partir de leurs comptes.
Ce n'est pas la première campagne d'échange de cartes SIM à être mise en avant. Plus tôt en septembre, une escroquerie de détournement de carte SIM de plusieurs millions de dollars a entraîné la violation des comptes de téléphonie mobile et de réseaux sociaux des utilisateurs. Même si Europol a arrêté plus de 100 cybercriminels impliqués dans l'échange de cartes SIM et le blanchiment d'argent, il en reste encore beaucoup à faire.