Poursuites judiciaires impliquant Rogers et Coinsquare pointent du doigt plus de 200 000 $ de piratage de Bitcoin

0

La fraude par carte SIM est devenue un moyen courant pour les pirates de voler les investisseurs en crypto-monnaie

La logique

David Reevely et Jon Victor

Rogers Communications Inc et Coinsquare sont maintenant impliqués dans une bataille juridique pour savoir qui est responsable du piratage de bitcoins.
Rogers Communications Inc et Coinsquare sont maintenant impliqués dans une bataille juridique pour savoir qui est responsable du piratage de bitcoins. Photo de Darren Calabrese /LA PRESSE CANADIENNE

À la mi-octobre 2018, un pirate anonyme a contacté Rogers en se faisant passer pour Felix Kimelman, un consultant en technologie qui vit dans la région de Toronto. Bien qu’ils aient échoué au test de reconnaissance vocale de Rogers et donné de mauvaises réponses aux questions de sécurité du compte, Kimelman allègue dans une poursuite intentée devant un tribunal de l’Ontario que le pirate informatique a utilisé les données personnelles de Kimelman pour convaincre Rogers de réattribuer son numéro de téléphone à une autre carte SIM. Ils ont ensuite volé plus de 200 000 $ de Bitcoin sur un compte détenu par Kimelman auprès de Coinsquare, un échange de crypto-monnaie basé à Toronto.

Sujet de discussion

Rogers poursuit Coinsquare pour son rôle dans le piratage de plus de 200 000 $ en Bitcoin en 2018, des années après qu’un client de Coinsquare a poursuivi le fournisseur de services sans fil alléguant que ses pratiques de sécurité permettaient à un escroc de prendre le contrôle du numéro de téléphone portable du client.

Rogers et Coinsquare sont maintenant impliqués dans une bataille juridique pour savoir qui est responsable du piratage. Après que Kimelman et sa femme, Ella Zelikman, aient poursuivi Rogers en dommages-intérêts devant la Cour supérieure de l’Ontario à la fin de 2019, la société de télécommunications a intenté sa propre action en justice contre Coinsquare en mai, alléguant que les protocoles de sécurité laxistes de l’échange sont à blâmer pour le vol. Rogers cherche à récupérer auprès de Coinsquare tous les dommages-intérêts accordés à Kimelman et Zelikman, ainsi que les frais de justice – un montant qui pourrait totaliser 1 million de dollars, selon le registre en ligne du tribunal.

« Rogers nie que les demandeurs principaux de l’action [Kimelman Zelikman] ont droit à l’une des réparations réclamées », déclare son procès contre Coinsquare. La négligence présumée de Coinsquare en matière de sécurité, a écrit Rogers, comprenait le fait de permettre au pirate de retirer tous les fonds en grandes quantités et de ne pas avoir mis en place de période de détention pour ces retraits.

Dans une déclaration de défense déposée en réponse au procès initial de Kimelman et Zelikman, Rogers a déclaré que le pirate était déjà en possession de certaines des données personnelles du client et a utilisé ces informations pour faire la demande de carte SIM.

Coinsquare, qui n’a pas encore déposé de défense contre le procès de Rogers, n’a pas répondu à La logiquedemande de commentaire. Rogers, Zelikman et Kimelman n’ont pas non plus répondu aux demandes de commentaires.

Je dirais que si vous utilisez un téléphone portable, n’achetez pas de crypto car vous n’allez pas être à l’abri de cela

John Lawford, chef du Centre pour la défense de l’intérêt public d’Ottawa

La fraude à la carte SIM a a émergé comme un moyen courant pour les pirates de voler les investisseurs en crypto-monnaie qui ont des échanges et d’autres tiers détiennent leurs fonds. Une fois qu’un escroc a le contrôle du numéro de téléphone portable d’une cible, il peut commencer à réinitialiser les mots de passe de la cible sur les services qui reposent sur l’authentification par SMS, comme un échange cryptographique.

L’escroquerie comprend parfois une autre couche appelée «fraude de port», lorsqu’un fraudeur appelle un fournisseur de services sans fil et demande de transférer vers un nouveau compte le numéro de téléphone d’une victime involontaire d’un autre fournisseur. La Globe et Courrier signalé en septembre dernier que le Conseil de la radiodiffusion et des télécommunications canadiennes (CRTC) avait été avisé de 21 589 portages frauduleux de numéros et de 3 038 échanges de cartes SIM entre août 2019 et mai 2020.

En 2020, alors que les rapports de fraude augmentaient, les fournisseurs de téléphones portables ont apporté des modifications au processus de vérification d’identité, selon Nicholas Kyonka de l’Association canadienne des télécommunications sans fil, un groupe industriel. Les fournisseurs « ont apporté quelques modifications aux spécifications et aux procédures pour rendre plus difficile la réalisation de ports non autorisés ». Les nouvelles mesures comprenaient des « améliorations du processus de vérification », a-t-il déclaré dans un e-mail.

Ceux-ci comprenaient une alerte textuelle envoyée sur le téléphone d’un client par l’entreprise perdant le compte, une mesure mis en œuvre à l’automne 2020. Le Centre antifraude du Canada, un organisme fédéral dirigé par des organismes d’application de la loi, a déclaré La logique par e-mail que depuis lors, les rapports de fraudes par échange de carte SIM ont diminué – de 200 entre novembre 2020 et mai 2021 à 71 au cours de la même période l’année dernière.

Pourtant, Rogers dit qu’il ne devrait pas être tenu responsable de la perte de Kimelman et Zelikman. Les numéros de téléphone portable ne sont pas conçus pour être utilisés comme authentification à deux facteurs, une sécurité numérique qui utilise plusieurs méthodes pour vérifier l’identité d’une personne, a déclaré la société dans une réponse à son procès.

« Rogers nie avoir envers les plaignants l’obligation d’empêcher l’utilisation abusive de leur numéro de téléphone portable aux fins d’authentification à deux facteurs », a écrit Rogers. « Les services n’ont pas été conçus ou destinés à être utilisés dans le cadre d’une authentification à deux facteurs. »

Mais John Lawford, avocat et directeur du Centre pour la défense de l’intérêt public (PIAC) d’Ottawa, accuse les opérateurs de télécommunications de ne pas former adéquatement les représentants du service à la clientèle pour détecter et arrêter les voleurs d’identité, et le CRTC de ne pas les obliger à sévir plus fort. Le centre est une organisation à but non lucratif qui défend les intérêts des consommateurs dans des secteurs réglementés tels que les télécommunications et la finance.

« Je dirais que si vous utilisez un téléphone portable, n’achetez pas de crypto », a-t-il dit, « parce que vous n’allez pas être à l’abri de cela. »

Les autorités d’autres pays ont pris des mesures pour lutter contre la fraude à la carte SIM ces dernières années. Le régulateur australien des télécommunications a nouvelles règles qui a débuté fin juin, imposant des contrôles d’identité plus stricts pour les «transactions à haut risque», y compris les demandes d’échange de carte SIM. Les entreprises seront condamnées à une amende pour violation, en équilibrant l’incitation des opérateurs de télécommunications à satisfaire leurs clients par rapport à la nécessité de protéger leurs comptes, a déclaré Lawford.

L’été dernier, suite à un PIAC campagnele CRTC a demandé opérateurs de téléphonie mobile pour lui donner des informations sur les cas de fraude portuaire et d’escroquerie par échange de carte SIM, mais a rejeté une demande du PIAC leur demandant de divulguer précisément ce qu’ils faisaient pour lutter contre les fraudes. Révéler que publiquement « exposerait probablement les consommateurs à un préjudice du fait que les fraudeurs pourraient utiliser ces informations pour contourner le [carriers’] initiatives », a déclaré la commission dans une lettre publique.

Pour des raisons similaires, le CRTC a déclaré que les inconvénients d’un examen public plus détaillé de la question l’emporteraient sur les avantages.

«La commission est d’avis… que les mesures que le [wireless carriers] ont mis en place sont actuellement efficaces et il est peu probable qu’une procédure aboutisse à des mesures très différentes de ce que les opérateurs de téléphonie mobile ont déjà mis en place », a déclaré le CRTC.

Quelques semaines plus tard, le CRTC publié les statistiques globales des entreprises de téléphonie mobile, « révélant qu’il y a eu une baisse de 95% du nombre total de transferts de numéros de téléphone mobile et d’échanges de cartes SIM non autorisés d’octobre 2020 à mai 2021 ».

Mais pas à zéro. La ténacité des escrocs, associée à la quantité d’informations que les gens révèlent sur eux-mêmes en ligne, peut rendre difficile la défense des fournisseurs de services sans fil contre la fraude. Un escroc déterminé pourrait établir plusieurs contacts avec le même fournisseur de services sans fil, feignant la confusion, l’ignorance ou la désorganisation avec une série de travailleurs utiles, créant un profil sur une cible une petite quantité de données à la fois, a déclaré Lawford.

« Il y a pas mal de preuves que les escrocs vont sur Internet et voient qui sont les frères crypto, puis reviennent en arrière et obtiennent autant d’informations [as possible] et ciblez-les parce qu’ils savent qu’ils peuvent nettoyer leur crypto et boum, c’est de l’argent », a déclaré Lawford. « Ou, eh bien, au moins c’est un tas d’éther. »

Avec des fichiers d’Aaliyah Dasoo

Cette rubrique est alimentée par La logique. The Logic est la principale salle de presse technologique et commerciale du Canada. Pour plus de nouvelles, visitez thelogic.co.

Écoutez Down to Business pour des discussions approfondies et des informations sur les dernières nouveautés en matière d’affaires canadiennes, disponible partout où vous obtenez vos podcasts. Découvrez le dernier épisode ci-dessous:

commentaires

Postmedia s’engage à maintenir un forum de discussion animé mais civil et encourage tous les lecteurs à partager leurs points de vue sur nos articles. Les commentaires peuvent prendre jusqu’à une heure pour être modérés avant d’apparaître sur le site. Nous vous demandons de garder vos commentaires pertinents et respectueux. Nous avons activé les notifications par e-mail. Vous recevrez désormais un e-mail si vous recevez une réponse à votre commentaire, s’il y a une mise à jour d’un fil de commentaires que vous suivez ou si un utilisateur vous suivez des commentaires. Visitez notre Règles de la communauté pour plus d’informations et de détails sur la façon d’ajuster votre e-mail réglages.

Source link-27