Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Kraków: pani Ewie ktoś zduplikował kartę SIM i wykradł 400 000 PLN.

27 lutego 2020, 21:21 | W biegu | komentarzy 18

Kolejny przykład tzw. SIM swap opisuje Gazeta Krakowska. My niedawno pisaliśmy o analogicznym ataku, który wg relacji skutkował stratą o wartości około 200 milionów PLN. Wracając do głównego wątku – zacytujmy większy fragment:

Pokrzywdzona, majętna mieszkanka Krakowa Ewa G. w czasie wakacji 2018 r. wyjechała do Szklarskiej Poręby. Nie miała pojęcia, że 26 lipca o 10.22 do salonu Play w Grodzisku Mazowieckim zgłosiła się inna kobieta i przedstawiła się jako Ewa G., podała swój numer telefonu i przekonała pracownika, że karta SIM nie działa jak należy i chciała jej duplikatu. Po reklamacji dokonano wymiany karty SIM dla jej numeru abonenckiego. Jeszcze tego samego dnia oszuści dzięki tak zdobytej karcie SIM i wiedzy na temat numeru rachunku bankowego pokrzywdzonej dokonali autoryzacji przelewu z konta Ewy G. i na rachunek Roberta P. przelali 400 tys. zł.

Dla przypomnienia, w tzw. SIM swap chodzi o to, aby mieć możliwość odczytania SMSów wysyłanych do ofiary. W jakim celu? Aby móc je wykorzystać do autoryzacji transakcji. Do „szczęścia” brakuje jednak jeszcze np. znajomości loginu i hasła do bankowości elektronicznej, z której korzysta ofiara (możliwe jest jej pozyskanie w wyniku np. instalacji malware na komputerze ofiary). Z kolei jeśli bank miałby niezbyt fortunnie przygotowany reset hasła (np. do resetu hasła wystarczy możliwość odbierania SMS-ów przesłanych na numer telefonu zarejestrowany w banku + lekka socjotechnika) – to i ten krok przestępca mógłby pominąć.

Wracając do pani Ewy, krakowski sąd wydał (prawomocny obecnie) wyrok skazujący Roberta P. na półtora roku więzienia. W jaki sposób wpadł? Najpierw testowo wypłacił ze swojego konta blisko 20 000 PLN (na konto wpłynęły wcześniej środki wykradzione pani Ewie), a po sukcesie postanowił iść na całość i wypłacić w gotówce kilkaset tysięcy. Tu jednak pracownik banku wykazał się czujnością (pan Robert musiał zachowywać się nieco podejrzanie…) i w momencie pojawienia się przestępcy w banku, został zatrzymany.

Jak się ustrzec tego typu problemów? Obecnie chyba najlepsza rekomendacja to przejście na tzw. autoryzację mobilną transakcji (czyli zamiast SMS-ów, akceptujecie transakcje w aplikacji mobilnej banku).

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. klmn

    No dobrze, ale właściwie jak przejście na tzw. autoryzację mobilną transakcji ma uchronić przed zatrzymaniem ? ;-)

    Odpowiedz
  2. Anonimus

    Niestety, autoryzacja mobilna jest o tyle mniej wygodna, że wymaga użycia telefonu, a sms można odczytać np. z zegarka.

    Odpowiedz
    • Rrrrr

      Tak smsy lepsze bo można odczytać na telefonie i czajniku. Ja pie*dole…

      Odpowiedz
    • Tomasz

      Ile masz lat ? 10 ? SMS w zegarku ? Bez przesady. Co się z ludźmi dzieje. Może jeszcze chip w … aby wibrował gdy sms przyjdzie i nie trzeba było po telefon sięgnąć.

      Odpowiedz
  3. Marek

    Jeszcze lepsza byłaby autoryzacja przez aplikację mobilną + sms.

    Odpowiedz
  4. KaCzKa

    >Obecnie chyba najlepsza rekomendacja to przejście na tzw. autoryzację mobilną transakcji (czyli zamiast SMS-ów, akceptujecie transakcje w aplikacji mobilnej banku).

    Tylko co to da, skoro zawsze można wkręcić bank, że apka wysiadła i że trzeba przejść awaryjnie na SMSy.

    Odpowiedz
    • Łukasz

      Padł mi telefon gdzie miałem mobilna autoryzację w mbank
      Wtedy przychodzą SMS (pewnie gdy bank nie może się połączyć z telefonem to tak się dzieje)
      Obecnie mamy dodatkowo weryfikację nieznanych przeglądarek – działa jak działa ale można wykryć próby logowania

      Moim zdaniem przed wydaniem duplikatu powinna być konieczna weryfikacja czy numer faktycznie jest offline
      Jeśli tak to od kiedy i gdzie ostatnie logowanie do stacji bazowej było

      Bez kodu puk (fizycznej karty z kodem i numerem SIM) powinno być to maksymalnie utrudnione.

      Przychodzi klient i mówi że karta SIM nie działa ale nie ma karty SIM?
      Klient nie ma blankietu z kartą puk?
      Może zadzwonimy pod numer? A po co… Proszę duplikat.

      Ja w Play na infolinię mogłem uzyskać puk do telefonu odpowiadając na pytanie czy w ostatnich 30 dniach doładowywane konto O.o

      Odpowiedz
  5. Marek

    Zawsze mnie zastanawiało, skoro wiadomo z jakiego konta przelano na jakie i że jest to kradzież to czemu jest tak ciężko te pieniądze zatrzymać w banku np. blokując konto. Rozumiem że w przypadku gdy korzystają z podstawionych słupów proces ten trwa. Ale w przypadku bezpośredniego przelewu reakcja powinna być natychmiastowa, a przynajmniej dosyć szybka po zgłoszeniu sprawy.

    Odpowiedz
    • Sponsi

      Dokładnie… przecież gdzieś kasa idzie, dane docelowe gdzieś są!

      Odpowiedz
  6. Felek

    Szczerze? Nie wiem czy autoryzacja przez aplikacje to jest jakieś wyjście. Np w ing do autoryzacji samej aplikacji wystarczy login / hasło i pesel. A to zazwyczaj przestępcy już mają. Trochę paranoicznym, ale skutecznym wyjściem może być oddzielny telefon z karta sum, która będzie wykorzystywana tylko do tego celu

    Odpowiedz
  7. Jan

    Nawet to nie uchroni. bo jak ktoś ma kartę, login i haslo to moze aktywować nową instalację aplikacji mobilnej :/

    nie wiem jak to jest w innych punktach ale np. w Plusie żeby wyrobić duplikat musiałem podać specjalny kod klienta lub przyjść z ostatnią FV od operatora. Nie jest idealne ale lepsze to niż nic.

    Odpowiedz
  8. bojuch

    Gdyby aplikację dało się zainstalować na Nokii 3310, to już dawno bym przeszedł na mobilną autoryzację.

    Zwyczajnie się boję, że telefon nie jest tak bezpieczny jakby się wydawało. Przecież ciągle odkrywają nowe błędy. Dbanie o to by cały czas posiadać telefon z najnowszym systemem trochę kosztuje. Fakt, że mniej niż stracone 400 tysi, ale zawsze.

    Czy dedykowany telefon tylko do celu aplikacji rozwiązałby sprawę?
    Jakby nie było – żeby ktoś zhaczył telefon, to generalnie muszę coś świadomie kliknąć albo musi on wpaść w cudze ręce. A dorobić SIM może każdy, kto zna mój numer, nazwisko i PESEL…

    Odpowiedz
  9. NieDioPodrobienia

    A ja mam z banku token sprzetowy z wlasna klawiatura i wyswietlaczem.

    Odpowiedz
    • luj

      No i przepiszesz ten kod myśląc, że potwierdzasz przelew. A tymczasem będzie to podstawiona strona – niczego nie potwierdzisz, a kod trafi do oszusta, który potwierdzi nim utworzenie odbiorcy zdefiniowanego po to by za chwilę wyprowadzić całą kasę.

      PS W którym banku są jeszcze tokeny?

      Odpowiedz
  10. Rotschildek

    1,5 roku śmiech na sali sądowej, min. 3 lata

    Odpowiedz
  11. stan

    Odpowiedzialność ponosi pracownik Play, to nie powinno mieć miejsca bez okazania dowodu.

    Odpowiedz
  12. jerzy

    Mechanizm powinien być prosty, jeśli właściciel konta przychodzi z reklamacją że został okradziony to bank natychmiast powinien mieć możliwość cofnięcia przelewu do wyjaśnienia sprawy przez sąd lub organy ścigania. Żyjemy w 21 wieku i chyba to nie jest coś niemożliwego.

    Odpowiedz
  13. prost

    Jeśli chodzi o wyprowadzanie ukradzionych pieniędzy to przestępcy wykorzystują konta na słupa (lub ukradzioną tożsamość) założone w tym samym banku, przelewy natychmiastowe (coraz bardziej popularne). Jak pieniądze są już na innym koncie to można je wypłacić w bankomacie, kupić kryptowaluty, przelać za granicę np do Rosji, na Ukrainę. Jak uda się wypłacić gotówkę to można użyć WesternUnion. Takimi kradzieżami często zajmują się świetnie zorganizowane grupy – ukradzione pieniądze przepływają bardzo szybko.

    Odpowiedz

Odpowiedz