Un lecteur a perdu le contrôle de ses appareils – et, à certains égards, sa vie – après une violation apparente des systèmes de sécurité mis en place par son fournisseur de téléphone, le hack laissant la société mystifiée et l’incitant à alerter une garda Síochána et le Commissaire à la protection des données.
Notre lecteur a demandé à ne pas être identifié – comme il craint que certains personnages douts en savent assez sur lui – donc, aux fins de cette pièce, nous l’appellerons Mitch.
Mitch nous a contactés la semaine dernière pour nous dire qu’il avait récemment été «victime de ce qui est connu comme une fraude à échange de sim».
Il le décrit comme une «expérience pénible» et nous a demandé de le partager avec les lecteurs «pour sensibiliser à cette forme potentiellement très sérieuse de vol d’identité dans l’espoir qu’il pourrait protéger les autres».
Alors, que s’est-il passé?
«La brève version de cette histoire est que le 15 janvier, un mauvais acteur a téléphoné à Vodafone, mon opérateur mobile, prétendant être moi. Ils ont pu contourner les questions de vérification de l’identité de Vodafone – quel est votre nom? Quelle est votre adresse? Quelle est votre date de naissance? Ils étaient alors supposés être moi », écrit-il.
«Une fois qu’ils ont gagné la confiance de l’agent de support client Vodafone, ils ont pu modifier mon plan téléphonique (à un plan plus cher – probablement pour gagner en confiance), l’adresse e-mail associée à mon compte et, surtout, ils ont pu Convertissez mon compte en un ESIM (par opposition à ma SIM physique réelle).
[ The future for mobile phones is here, and Ireland needs to get on boardOpens in new window ]
«Avec l’ESIM, ils ont pu contrôler mon compte – recevoir et envoyer des SMS et recevoir et passer des appels téléphoniques [from another phone]. Ils ont ensuite procédé à la modification des mots de passe de mes comptes de messagerie (en cliquant sur «Mot de passe oublié» et en utilisant l’authentification Twin Factor pour confirmer que c’était «leur» compte). Ils ont également pris le contrôle de ma Dropbox et d’un portefeuille de crypto-monnaie que j’ai. »
Au moment où Mitch s’est rendu compte que cela se passait tôt le matin du 16 janvier «je ne pouvais rien faire pour l’arrêter».
“ Je pense que la sensibilisation doit être relevée et que les politiques de Vodafone concernant la vérification des identifiants et leur attitude envers la protection des données doivent changer ”, explique Mitch
«Ils m’ont donné une nouvelle carte SIM et j’ai pu reprendre le contrôle de mon téléphone et de tous mes autres comptes, heureusement. Dès que j’étais de retour en contrôle du téléphone, j’ai reçu un appel de [the bank] Me demander de confirmer le grand transfert bancaire. J’ai refusé et j’ai alors tout annulé, informé les banques et appelé le gardaí. »
Mitch dit que «les banques ont mis des notes sur mes comptes et qu’il n’y a pas grand-chose que le gardaí puisse faire, m’a-t-on dit. J’attends toujours de recevoir un appel de la division de sécurité Vodafone au sujet de cette fraude. On m’a dit ce matin qu’un e-mail avait été envoyé et que cela peut prendre une semaine. La politique de sécurité de Vodafone en ce qui concerne mon compte est inchangée – ce qui signifie que je pourrais potentiellement reprendre tout cela ce soir ou demain ou quelqu’un d’autre. »
Il dit que Vodafone a dit que tout ce qui est nécessaire au téléphone pour confirmer l’identité d’un client “est la confirmation de leur nom, de leur adresse et de sa date de naissance”.
«De nos jours, je trouve cela difficile à comprendre», dit-il. «Il convient de noter que Vodafone a une broche à quatre chiffres associée à mon compte que personne ne saurait sauf pour moi, mais savoir que ce nombre n’est pas une exigence pour le processus de vérification d’identification. Ils ne l’ont pas demandé au fraudeur, m’a-t-on dit. Ils ne comptent pas non plus sur des questions de sécurité. Je ne comprends vraiment pas non plus cela.
[ ‘My blood is boiling’: Vodafone’s contact methods irk readersOpens in new window ]
Mitch dit que les banques doivent introduire une couche de sécurité supplémentaire et note que si sa banque avait «téléphoné pour confirmer le transfert de fonds une demi-heure plus tôt, cela aurait été le fraudeur et non moi répondant au téléphone».
Il est – naturellement – un peu paniqué par tout cela et n’a «aucune confiance que cette arnaque ne m’arrivera plus ce soir ou à un autre client Vodafone. Je pense que la sensibilisation doit être augmentée et les politiques de Vodafone concernant la vérification des identifiants et leur attitude envers la protection des données doivent changer. »
Nous avons contacté Vodafone et quelques jours plus tard, une explication détaillée a été envoyée à Mitch, qu’il nous a transmise.
On lui a dit que lorsqu’il s’agit de permettre une demande d’échange SIM ou e-sim physique, la société «a déjà des mesures supplémentaires en place, ce qui signifie que cette action ne peut pas être achevée sans validation améliorée. Cela se compose d’une validation standard – nom, adresse, dob, etc. – et une mesure supplémentaire pour inclure un OTP [one-time password] Code envoyé à un numéro sur le compte.
“Étant donné que cette personne avait eu accès à votre tableau de bord mon vodafone, il avait déjà pris une mesure pour ajouter un deuxième numéro à votre compte qui lui a effectivement permis de surmonter la phase de validation OTP améliorée lorsqu’il nous a atteint à la deuxième fois.”
Vodafone a déclaré à Mitch que «la manière dont l’individu a accédé à votre tableau de bord My Vodafone, ce qui lui a finalement permis d’ajouter le deuxième numéro à votre compte est évalué en interne avec des efforts concertés pour empêcher les personnes frauduleuses de terminer avec succès le même à l’avenir».
On lui a dit que «une action pour compléter une réinitialisation du mot de passe du compte My Vodafone est généralement terminée par le client elles-mêmes et comprend également un code OTP envoyé à partir de la plate-forme, généralement sans obligation d’appeler un agent de soins pour l’assistance. Cette personne a cependant appelé nos équipes de soins et a réussi à manipuler notre agent à croire qu’il y avait des problèmes qui recevaient ces codes OTP. Cela a abouti à l’agent soutenu avec cette tâche manuellement. Encore une fois, des efforts sont en place pour s’assurer que cela ne se reproduit pas. »
Vodafone nous a également fourni une déclaration.
«Nous prenons très au sérieux la sécurité des données de nos clients et avons en place de solides mesures de validation, que nous continuons à améliorer pour atténuer la probabilité potentielle qu’un individu frauduleux pourrait accéder et manipuler le compte de l’un de nos clients», a commencé .
«Conformément aux mesures de validation standard de l’industrie, tous les clients qui parviennent à nos équipes de soins sont tenus de valider des détails tels que leur nom, leur adresse, son DOB et leur e-mail avant que leur compte puisse être accessible et discuté. Nous avons également en place des mesures de validation supplémentaires, à savoir OTP ou «mot de passe unique» envoyée aux clients qui souhaitent compléter une demande que nous considérons comme un risque élevé.
«Concernant cet incident spécifique, en raison de la nature sophistiquée de l’activité frauduleuse qui s’est produite, un individu a réussi à adopter toutes les mesures de validation existantes que nous avons en place. Des efforts concertés sont en cours pour revoir pleinement la manière dont cette action a été achevée, pour inclure la mise à jour des connaissances et de la sensibilisation de nos agents de soins – en plus des changements de processus internes, encore une fois pour atténuer la probabilité que les tentatives futures de cette nature réussissent. “
Le communiqué a ajouté que Vodafone «travaillait en étroite collaboration avec notre client touché en tandem sur l’activité ci-dessus pour restaurer pleinement son compte pour refléter les services et les informations avant que cet incident ne se produise. Vodafone a également signalé cette violation de données à la Commission de protection des données (DPC) et à une Garda Síochána. Nous nous excusons pour les inconvénients causés et nous sommes engagés à assurer la sécurité des comptes de nos clients. Nous continuons à encourager tous les clients à rester vigilants contre des escrocs sophistiqués et à prendre des mesures pour protéger leurs informations personnelles. »
#Les #escrocs #contournent #vérification #lidentité #vodafone #reprennent #téléphone #utilisant #ESIM #Irish #Times