Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Pani Katarzyna z Gdańska straciła 275 000 zł. Wyrobili duplikat karty SIM i ogołocili konto.

28 września 2019, 16:31 | W biegu | komentarzy 40

Coraz częściej w Polsce realizowane są ataki SIM Swap (czyli nielegalne wyrobienie duplikatu karty SIM ofiary – w takim przypadku atakowany telefon nagle przestaje działać, a napastnicy uzyskują dostęp do kodów SMS-owych autoryzujących transakcje). W przypadku pani Katarzyny, duplikat karty SIM otrzymano prawdopodobnie na podstawie sfałszowanego dowodu osobistego. Powiecie jednak, że aby wykraść pieniądze z konta potrzebny jest jeszcze login i hasło? To prawda. Atakujący mają w zasadzie dwie możliwości. Pierwsza: wykraść te dane np. z wykorzystaniem malware, czy używając phishingu). Druga opcja to po prostu reset hasła w banku. Jeśli robiliście kiedyś taką operację, wiecie że trzeba w tym przypadku podać kilka podstawowych danych. Na tę opcję wskazuje nasza ofiara, pani Katarzyna, która:

tłumaczy, żeby przejść weryfikacje w banku trzeba było podać dane osobiste: imię i nazwisko, nazwisko panieńskie matki, nr PESEL, adres i odpowiedzieć na jedno z pytań.

– Najczęściej było to pytanie, czy posiadam lokaty. Najprawdopodobniej oszuści mieli wszystkie dane i wiedzę, że w tym czasie zostały zdeponowane tam takie kwoty – mówi Katarzyna Szoła.

Dziewczyna, która się pode mnie podszywała 6 razy dzwoniła do banku, miała problem z zalogowaniem się, 6 razy w ciągu 30 minut. Nie wiedziała, na jaką aplikacje miała się zalogować, ponownie zadzwoniła, żeby zmienić hasła dostępu, przeszła weryfikację

Jaki jest morał tej historii? W zasadzie wystarczy żeby wyciekło trochę naszych danych i można wyrobić zarówno lewą kartę SIM jak i zresetować hasło do banku. Jackpot. Co robić? Np. korzystać z innego rodzaju autoryzacji transakcji niż SMS (np. autoryzacja mobilna dostępna w appce, oferowana przez wiele banków – tego nie da się sklonować w łatwy sposób).

PS
W tym przypadku złodzieje mieli pecha, pieniądze przelali na konto „słupa”; środki te jednak zostały niezwłocznie zajęte przez… komornika. O losach pieniędzy ma zdecydować sąd.

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Yyy

    Co za czasy… Nawet czystego słupa ciężko znaleźć…

    Odpowiedz
    • gosc

      Nie wspominając już o niektórych dziewczynach.
      Chyba ze to był syntezator mowy.
      To jest myśl jak łapać przestępców.
      Teraz tylko czekamy na fałszywe oprogramowanie Tor, fałszywe torrenty, fałszywe „piraty”, fałszywe pliki, czaty, poczty, przeglądarki, fałszywych złodziei, fałszywych wspólników, fałszywe dane sprzedawane w internecie i inne rzeczy oraz na fałszywy sprzęt do przestępstw.

      Odpowiedz
      • erT

        > Teraz tylko czekamy na fałszywe oprogramowanie Tor

        takowe pojawiło się już kiedyś w rosyjskojęzycznym internecie

        Odpowiedz
  2. Peter

    Przed takim atakiem nie ma ochrony. Jeśli pani przeszła weryfikacje w banku, uzyskała dostęp do konta, równie dobrze mogła dodać swoją aplikacje lub poprosić o zmianę na SMS bo telefon ukradli. Lipa. Niektóre banki próbują z identyfikacja głosem, może to by trochę pomogło.

    Odpowiedz
    • Andrzej

      Jak nie ma jak jest. Wystarczy prosta procedura bezpiecznej wymiany karty SIM po stronie operatora. Na chwilę obecną nie ma żadnej jak widać.

      Odpowiedz
    • MARCIN

      Wystarczy że każdy duplikat karty trafia na blackliste 1 dzień do której mają dostęp banki. I jeżeli był robiony duplikat to nie.mozna się.zautoryzowac tym numerem przez jeden dzień. W tym czasie właściciel karty SIM zorientuje się raczej że coś nie tak jest.

      Odpowiedz
    • Wredziol

      Zmiana sposobu autoryzacji na SMS powinna wymagać autoryzacji w aplikacji. Ale czy banki tego wymagają – nie wiem.

      Odpowiedz
  3. Barabasz

    W jaki sposób weryfikacja apką mobilną ma pomóc, skoro (przynajmniej w ING) do połączenia apki z kontem wystarczy weryfikacja SMS, którą można wykonać mając wyrobiony duplikat karty?

    Odpowiedz
  4. Jurij

    Mobilna autoryzacja = inwigilacja i profilowanie przez bank oraz nie uchroni przed zainfekowaniem Androida/iOS.
    Polecam sposób na dodatkowy nr telefonu tylko do autoryzacji w banku i tylko wtedy włączany. Tego nr nigdzie i nikomu poza bankiem nie podajemy.

    Odpowiedz
    • Edek

      Nie istnieje w Polsce coś takiego jak „numer telefonu którego nigdzie nie podajemy”. Jest rejestracja kart SIM, a wykraść dane z tej ewidencji nie jest trudno. Alternatywnie można poprosić znajomego z policji na przykład.

      Dla chcącego naprawdę, uzyskanie danych z policyjnych baz (a zwłaszcza z tak słabo chronionej jak rejestracje numerów telefonów) to nic trudnego, przynajmniej w Polsce.

      Odpowiedz
    • Jarek

      Niezarejestrowany prepaid tylko do banku na zwykłym telefonie. Ja tak zawsze robiłem. Ale teraz mamy obowiązkową rejestrację numerów a dane mogą wyciekać z systemów operatorów telekomunikacyjnych. A drugim niebezpieczeństwem jest ten „nowy” atak Simjacker.

      Odpowiedz
    • Leszek

      Numer musi być zarejestrowany, więc jeżeli wycieknie od operatora czy z samego banku to też kicha. A jak trzymasz wyłączony to się nie zorientujesz że coś się dzieje. Raczej telefon zawsze przy sobie i alarm jak nie widzi sieci.

      Odpowiedz
  5. Roobal

    Niektóre banki i ich infolinie przechodzą na weryfikację biometrtczną, pobierając próbkę głosu. Głos trudno zdobyć, a nawet jeśli to trzeba jeszcze powiedzieć konkretne zdanie do automatu, którego nigdy się nie używa w normalnej rozmowie. Po przejsciu takiej weryfikacji, nikt już nie pyta o pozostałe dane. W tym przypadku taki wyciek prawdopodobnie uchroni ofiarę, bo nie zostanie poprawnie zweryfikowana na infolinii. O ile bank nie zrobił furtki w postaci pominięcia weryfikacji biometrycznej.

    Odpowiedz
    • Marek

      Witam. Jakie konkretnie banki mają takie zabezpieczenie ?

      Odpowiedz
    • Peter

      Mam identyfikacje głosową w jednym banku. Nie trzeba powiedzieć niczego specjalnego. Trzeba mówić cokolwiek, zwykle proszą by opisać miejsce w którym aktualnie jesteś. Kilkanaście sekund i jest wynik. Rejestracja głosu w systemie trwała dłużej, około minuty z tego co pamiętam.

      Jeśli AI to jest w stanie ogarnąć, to rzeczywiście tylko konto w Szwajcarii typu zaskórniak, na hasło i z fizycznym dostępem tylko ;)

      Odpowiedz
    • zero one

      Głos pozyskać jest niezwykle prosto.
      *
      Wspomniane AI czy też ze wspomnianego AI nie ma się co cieszyć. Tutaj ułatwia Ci pozyskanie próbki głosu później w globalnym już systemie będzie Cię łatwiej śledzi\wyśledzić.

      Pamiętacie jak Rosja usunęła jednego z przywódców czeczeńskich (Iczkeria). Facet raz na jakiś czas nawijał przez komórkę. Był ostrożny. Zlokalizowali go tylko na podstawie próbki głosu. Później już tylko posłali rakietę.

      Odpowiedz
      • Marcin

        Był to Dżochar Dudajew, ale kolega pokręcił kilka faktów: facet gadał przez telefon satelitarny a nie komórkę, więc nie sądzę, żeby to była lokalizacja na podstawie próbek głosu, w dodatku zbieranych co jakiś czas. Nie sądzę, żeby w Czeczenii telefon satelitarny był popularnym sprzętem, więc namierzenie kolesia po sygnale kierowanym w przestrzeń kosmiczną było raczej łatwiejszym zadaniem.

        Odpowiedz
        • zero one

          Opisałem wersję którą znam. Nie będę się upierał. Gdyż mnie tam nie było. Nie ja namierzałem i nie ja posłałem rakietę. :-D

          Pozdrawiam.

          Odpowiedz
        • Adam

          https://dziennikpolski24.pl/17-minut-do-smierci/ar/2414216

          Taka ciekawostka historyczna. Dwaj wielcy bracia zawsze mogą się dogadać jeśli to w ich interesie.

          Jeśli nie chce się czytać całego artykułu to można zeskrolować do akapitu „Dżochara odstrzelił Clinton”. Opis zdarzeń pokrywa się z informacjami z innych publikacji nt. wojen czeczeńskich.

          Odpowiedz
  6. Tomasz

    Widzę przyszłość, nowa (stara) oferta banków: konta bez dostępu z Internetu, oczywiście ekstra płatne.

    Przejście na autoryzację mobilną to nie rozwiązanie – przynajmniej w bankach które zam: Instalacja aplikacji mobilnej na kolejnym urządzeniu ma 2nd factor smsem, nawet jeśli w banku masz już włączoną autoryzację aplikacją. Szach mat.

    Odpowiedz
    • pawel

      z ciekawości – mbank ma tak?

      Odpowiedz
  7. nie?

    Trzeba pozywać i karać operatorów telefonii aż się zabezpieczą, przecież to fail z ich strony.

    Odpowiedz
    • markac

      To nie wina operatora, że usługa jest wykorzystywana w nieprawidłowy sposób.
      Kto wymyślił w ogóle autoryzację przez SMS? Na pewno usługa nie była przewidziana do takiego użytku.
      Wyrabiają duplikaty, bo to w ich interesie, aby klient miał z czego dzwonić i wysyłać wiadomości.
      Nikt w tym momencie się nie zastanawia, czy telefon wykorzystujesz do logowania w banku czy do sterowania rakietami…
      To by było trochę chore.
      Prawo nie nadąża za zmianami po prostu.

      Odpowiedz
  8. Rafał

    E tam prosta sprawa. Przy autoryzacji przy zmianie hasla 2 bledne odpowiedzi i blokada zmiany hasla i tylko wizyta w oddziale to raz. Dwa karta SIM tylko wizyta fizyczna. Wiec luki tworza banki wiec klient jako taki ma na to … i bank za to odpowiada i ewentualnie to on traci kase. A token z apki + SMS powinno skutecznie zabezpieczyc transakcje.

    Odpowiedz
  9. Tomasz21

    Witam; i oczom nie wierzę. Coraz lepsze zabezpieczenia? Co są one warte?
    Tyle co nic. Prosty sposób; w banku nie trzymamy pieniędzy. Tylko drobne, na najbliższe zakupy. Konto zawsze można zasilić dodatkową kasą, w bankomacie. Jeśli chcecie mieć taką wygodę. Czeski film; Nikt nic nie wie.
    Ot i cały problem; albo już po całym problemie. W banku nie trzymamy kasy.
    Zacznijmy używać, obu półkul mózgowych.

    Odpowiedz
  10. Przemek

    Czyli jednak miałem rację, że karty z jednorazowymi kodami są najbezpieczniejsze, a u mnie w banku wymusili zmianę na autoryzację w aplikacji.

    Odpowiedz
  11. Monter

    Wszystko „ładnie, pięknie”, ale żeby tak iść w zaparte (duplikat karty, lewy dowód, wielokrotne próby) to trzeba w 1001% wiedzieć, że ta kasa tam jest, no i mieć wszystkie dane. To czasem nie zawęża dość mocno listy podejrzanych? (ponoć złodzieja się nigdy daleko nie szuka).

    Odpowiedz
  12. Mario

    Ta cała sytuacja przypomina mi trochę gang Olsena. Najlepiej wyszedł na tym ten co udawał bezdomnego i został słupem. A całą robotę wykonali nierozgarnięci hakerzy, którzy niechcący rozwiązali jego problemy finansowe.

    Odpowiedz
  13. Felek

    I właśnie dlatego, na potrzeby komunikacji z bankiem powinno się mieć oddzielną kartę SIM, która jest używana tylko do tego celu.

    Odpowiedz
  14. Marcin

    Ależ w/g mnie padł tylko jednen sensowny komentarz apropos blokady konta. Jaki to bank? Bo w/g wektor ataku był kapitalny i w procedurach bankowych jest to podatność, że ktoś dzwoni 6 razy w ciągu 30min i co brak jest jakiejkolwiek informacji w systemie o błędnej weryfikacji. Give me a break.

    Odpowiedz
  15. katarzyna

    Szanowni Państwo ! Przestępcy wszystkie dane mogli uzyskać tylko w jeden sposób – wykraść z banku .Komentarz,który podejrzewa znajomych jest uwłaczający ponieważ nikt przy zdrowych zmysłach nie chwali się swoimi walorami w banku,ani numerem klienta
    – a idąc tym tropem gdyby to była rodzina posiadała by również hasło, a nie musiała go zmieniać.
    Jestem bohaterką tego artykułu i powiem wam więcej kilka dni temu otrzymałam ponownie hasło dostępu do tego banku na podstawie zastrzeżonego dowodu osobistego !!!
    Kobieta ,która się pode mnie podszyła nie odpowiedziała na jedno pytanie ( odsłuchałam nagrania ) a mimo to przeszła weryfikację !!! Operator wydaje wtórnik karty bez żadnej szczegółowej kontroli ,a konsultant dowodu nie bierze do ręki – to jest po prostu kpina! A największą ironią losu jest to,że w obecnej chwili środki posiada Skarb Państwa ,a prokurator umarza śledztwo – kasa jest nie do odzyskania !
    Jeżeli środki w banku to tylko dyspozycja w oddziale dostarczone w reklamówce – takich czasów doczekaliśmy.
    Scenariusz Millenium w idea Banku !

    Odpowiedz
    • aaa

      Pani Katarzyno, bliska mi osoba również straciła pieniądze w nieco inny sposób ale sprawcą był również cyber przestępca. Sprawę chciano umorzyć, jednak znalazł się prokurator z innego, dalej położonego (małego) miasta, który sprawy nie umorzył i jeszcze odzyskał pieniądze (konieczna współpraca z zagranicznymi służbami). Może da się w podobny sposób zaradzić umorzeniu sprawy?

      Odpowiedz
    • Olek

      Pieniądze powinno dać się odzyskać, bo zgodnie z polskim prawem bank musi oddać klientowi pieniądze, które zostały temu klientowi wykradzione z konta chyba, że bank zdoła udowodnić, że klient wykazał się rażącym zaniedbaniem zasad bezpieczeństwa. Jest to orzecznictwo faktycznie stosowane w praktyce sądowej. Można się zastanawiać nad tym, czy tak faktycznie powinno być co do zasady, ale tutaj to ewidentnie bank wykazał się rażącym niedbalstwem i to bank musi ponieść konsekwencje, szczególnie, że bank stanowi (a przynajmniej powinien stanowić) instytucję zaufania publicznego i zwłaszcza, że bank powinien silnie zabezpieczać powierzone mu przez klientów w depozyt pieniądze, gdyż jest to jego podstawowe zadanie.

      Jak najszybciej napisz do banku o zwrot środków na konto do momentu zastąpienia ich środkami, co do których obecnie toczy się postępowanie sporne. Jeśli to nie pomoże, od razu pisz reklamację, a potem ewentualnie oskarżenie. Tutaj warto zawalczyć nie tylko o zwrot środków, ale również o wypłatę przez bank odszkodowania, gdyż sytuacja w której ktoś próbuje zmienić hasło 6 razy przez 30 minut i nie wzbudza to podejrzeń banku oznacza, że bank nie dopilnował swoich podstawowych obowiązków.

      Wyżej ogólnie zarysowałem, co trzeba zrobić, ale nie pamiętam od ręki szczegółów, więc to musisz sprawdzić albo skonsultować, tam są pewnie jakieś limity czasowe na wykonanie tych wszystkich czynności, więc możliwe, że już nie warto wnosić o żaden zwrot, tylko od razu pisać oskarżenie, w pismach trzeba też użyć bardziej precyzyjnego języka.

      Artykuły, przepisy itp. które mogą być pomocne w sprawie najlepiej wydrukuj już teraz, gdyż istnieje jakaś szansa, że zarekwirują Ci komputer na potrzeby postępowania.

      Odpowiedz
  16. dvl

    Niektóre banki nadal oferują tzw. zdrapki. Moim zdaniem jest to dużo bezpieczniejsze niż zawiązywanie wszystkiego na nr telefonu. Oczywiście nie nosimy jej ze sobą w porfelu :)

    Odpowiedz
  17. olo

    Procedura wymiany karty SIM powinna trwać 24h, po zgłoszeniu się do punktu operatora telefonii infolinia powinna skontaktować się z fizycznym posiadaczem karty i poinformować go, że był dziś w placówce takiej i takiej i złożył wniosek o nową kartę szczegóły przyjdą SMS jeżeli nie potrzebuje zmieniać karty SIM niech niezwłocznie poinformuje o tym operatora. Oszust nie pojawi się ponownie w placówce po 24 h (chyba że jakiś kamikaze).

    Odpowiedz
  18. Karol

    W tym przypadku piłka leży po stronie operatora. Jakby wprowadzili dodatkowe metody bezpieczeństwa przy duplikacji karty to by tej sytuacji nie było. Np powiadomienie mailem/smsem stary numer że nowy sim będzie wydany, alby bie wydawanie sim bez zwrotu starego uszkodzonego. Albo komunikacja z bankiem…

    Odpowiedz
  19. Joe

    k-a-r-t-a z-d-r-a-p-k-a a nie appka

    Odpowiedz
  20. SmoK

    Dużą kasę, której nie planuje się od razu wydać/zainwestować wkłada się natychmiast na osobny rachunek/lokatę z zaznaczoną opcją „możliwości zerwania tylko osobiście w banku”. Poza tym szkoda, że większość banków rezygnuje z najbezpieczniejszych tokenów sprzętowych (ale tylko takich typu challenge/response z klawiaturką do „zasolenia” tokena np. 4 ostatnimi cyframi numeru rachunku odbiorcy), aby było wiadomo nie tylko KTO (posiadacz tokena) potwierdza, ale także CO się potwierdza.

    Odpowiedz
  21. Marek

    Ja używam dodatkowego zabezpieczenia w postaci trzymania większości oszczędności na lokatach które można założyć przez internet ale zerwać już można tylko w oddziale banku. Nie jest to jakieś 100% zabezpieczenie ale myślę, że może pomóc.

    Odpowiedz

Odpowiedz