El Servicio de Policía de Toronto ha dado a conocer al público que se han realizado 10 arrestos y se han presentado 108 cargos en una importante investigación de fraude de intercambio de SIM denominada Proyecto Disrupt. El 1 de agosto de 2024, el detective David Coffey, de la Unidad de Delitos Financieros, y el detective Constable Michael Gow, del Centro Coordinado de Ciberseguridad (C3), llevaron a cabo una conferencia de prensa sobre este proyecto.
El fraude de intercambio de SIM es un tipo de fraude de apropiación de cuentas que generalmente apunta a una debilidad en la autenticación de dos factores y la verificación de dos pasos. En este esquema, los individuos comprometen la cuenta de teléfono celular de una víctima desprevenida al cambiar la tarjeta SIM asociada a la cuenta, ya sea haciéndose pasar por el cliente en una tienda de telefonía celular o de alguna otra manera obteniendo acceso a la cuenta. Una vez que tienen acceso a la cuenta, pueden recibir correos electrónicos o mensajes de texto relacionados con la recuperación o cambios de contraseña, lo que les permite acceder y comprometer otras cuentas asociadas a la víctima, como cuentas bancarias en línea y redes sociales.
En junio de 2023, la Unidad de Delitos Financieros del Servicio de Policía de Toronto, en colaboración con la Unidad de Centro Coordinado de Ciberseguridad (C3), inició una investigación sobre un esquema relacionado con el fraude de intercambio de SIM. Se alegaba que los perpetradores habían tomado el control de las cuentas de teléfonos celulares de múltiples víctimas desprevenidas y luego habían realizado cambios en las cuentas que les permitían acceder y comprometer muchas de las cuentas en línea de las víctimas, incluidas las cuentas en instituciones financieras. A menudo, los perpetradores también ordenaban nuevos teléfonos celulares que luego se cargaban a las cuentas comprometidas. En muchos casos, los perpetradores se hacían pasar por las víctimas en tiendas de telefonía celular utilizando identificaciones fraudulentas convincentes. Además, a menudo usaban la misma identificación en las diversas instituciones financieras de las víctimas.
En otros casos, los perpetradores obtenían acceso a las cuentas de teléfonos celulares mediante técnicas de phishing, como enlaces web y sitios web falsos. La investigación comenzó con informes de múltiples compañías de telecomunicaciones. Hasta la fecha, el Servicio de Policía de Toronto ha ejecutado múltiples órdenes de registro y producción durante el curso de la investigación. Se incautaron más de 400 piezas de identificación falsificada en la ejecución de las órdenes. La pérdida total combinada para las víctimas individuales, las compañías de telecomunicaciones y las instituciones financieras supera el millón de dólares.