Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Rolnikowi spod Świebodzina nagle przestał działać telefon. Błyskawicznie stracił zawartość całego konta: ~400 000 PLN

03 września 2020, 21:53 | W biegu | komentarzy 29

Kolejny przypadek ataku SIM Swap opisuje Polsat News:

Rolnik Zbigniew Kołodziej spod Świebodzina padł ofiarą oszustów, którzy przejęli dostęp do prowadzonych przez niego internetowych kont bankowych. W sumie wybrali 370 tys. zł. Udało im się to, bo wyrobili duplikat jego karty SIM. Atak zaczął się, gdy panu Zbigniewowi nagle przestał działać telefon.

To nie pierwszy tego typu przypadek. Opisywaliśmy jakiś czas temu historię z Wielkopolski, Krakowa, czy Gdańska. Dla przypomnienia – istotny fragment ataku polega na nieautoryzowanym wyrobieniu duplikatu karty SIM ofiary. Przestępcy realizują to często za pomocą socjotechniki – tj. w odpowiedni sposób kontaktują się z pracownikami operatora GSM; w rozmowie twierdzą, że są właścicielami karty SIM, ale uległa ona uszkodzeniu czy zagubieniu – potrzebują więc duplikatu. Możliwa jest też zmowa z pracownikiem operatora, mającym odpowiednie uprawnienia.

Po udanej operacji, mogą już odbierać kody SMS, które normalnie przychodzą do ofiary z banku, a ofiara nagle traci na swoim telefonie połączenie z siecią GSM (restart czy ponowne włożenie karty nie zadziała – została ona w kroku powyżej zdezaktulizowana).

W tym momencie niektóre banki umożliwiają prosty reset hasła do bankowości (potrzebne będą jeszcze pewne dodatkowe informacje o ofierze) i tak stało się w tym przypadku:

Wszystko to odbyło się w ciągu kilkudziesięciu minut od zerwanego połączenia w dniu 17 czerwca. Okazało się, że ktoś posługując się numerem telefonu pana Zbigniewa zadzwonił do banku, zmienił hasło i wyprowadził pieniądze za pośrednictwem przelewów natychmiastowych.(…) W sumie zniknęło prawie 400 tysięcy zł – dodaje Elżbieta Kołodziej.

Niekiedy scenariusz jest inny – przestępcom udaje się uzyskać dostęp do bankowego loginu/hasła ofiary w wyniku działania malwareu. I to dla takich osób realizowany jest krok drugi, czyli SIM Swap.

Jak się chronić? Obecnie nie jest to proste. Idealnie gdyby banki oferowały jakiś inny, bezpieczniejszy kanał drugiego czynnika uwierzytelniającego nasze transakcje. Nie pomoże zbytnio również wymóg podania SMS-a podczas logowania. Idealnie również żeby operatorzy GSM mieli odpowiednio mocne procedury weryfikujące kto tak naprawdę prosi o wyrobienie duplikatu karty SIM.

Nie mamy jednak wpływu na działania ani banków, ani operatorów GSM. Można za to zrobić proste ćwiczenie i sprawdzić czy uda się we własnym banku pozyskać login i hasło logowania (kontakt z infolinią), posiadając jedynie autoryzowany numer GSM oraz nasze dane osobowe. Ostatnio robiłem taki test na moim banku i… nie udało się :-) Jedyną możliwością bułą była fizyczna wizyta w banku.

Oczywiście jeśli mamy malware na komputerze, to napastnik znał będzie login i hasło (jeśli zalogujemy się do bankowości), pozostaje więc poznanie numeru telefonu (w celu wykonania SIM Swap). Można alternatywnie użyć innego niż standardowego numeru telefonu – do autoryzacji transakcji. Tutaj posiadacze smartfonów z opcją dual SIM na pewno będą we względnie komfortowej sytuacji. W ramach standardowej higieny związanej z bezpieczeństwem IT, warto również zerknąć na nasze szkolenie dla osób nietechnicznych.

–ms

 

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. boshe

    Ile jeszcze będzie tych nonsensów typu:
    bank nie radzi sobie z nagłymi lewymi przelewami setek tysięcy zl – przypadek…
    operator gsm nie radzi sobie z nagłym nabiciem dziesiątek tysięcy zl przez premium sms – przypadek…
    facetowi wydaje sie ze jest kobietą i sąd go wypuszcza jako normalnego …
    a nie to inna historia (:

    Odpowiedz
    • Lubię to !

      Lubię to !

      Odpowiedz
    • oskar

      Robiliśmy z żoną przelew na 200 tys. zł z Getinu, czyli maksymalną dzienną kwotę. Po kliknięciu „wyślij” w bankowości internetowej wyświetlił się komunikat, że ta operacja będzie wymagała dodatkowego potwierdzena przez telefon. Wyświetlił się numer, na który można zadzwonić, żeby przyspieszyć operację. O ironio nie działał (numer nieprawidłowy). Po 15 minutach żona odebrała telefon z banku. „Czy pani Anna? – Tak. – Imię matki? Rachunek w walucie obcej? Czy zlecała pani przelew na 200 tys. zł do banku PKO? – Tak. – Dziękuję, do usłyszenia”. Przecież to są jaja. Te dane mógł pozyskać każdy, np. miesiąc wcześniej podczas fałszywego telefonu do żony z banku. Tak właśnie wyglądają procedury i zabezpieczenia przy wyprowadzaniu pieniędzy z konta.

      Odpowiedz
      • Klient GB

        U mnie było tak: zadzwonił do mnie nieznany numer, pani się przedstawiła, że niby z tego banku i że ma dla mnie bardzo ważną wiadomość, ale jako że nie wie czy rozmawia za mną to muszę jej najpierw podać swój PESEL. Na moją uwagę, że ja też nie wiem, ani skąd dzwoni, ani kim naprawdę jest i że proszę o kontakt przez system bankowości – obraziła się.

        Po głębszym zastanowieniu się przestało mnie to dziwić.
        Bank wie, że sam dzwoni do klienta i z jego punktu widzenia zagrożenia żadnego nie ma.
        Jeśli zamiast banku dzwoniłby do klienta oszust chcący wyłudzić dane – to nie jest problem banku.
        Bank ma w poważaniu, że takimi telefonami sam prowokuje potencjalnie niebezpieczne sytuacje.

        Odpowiedz
    • Rafał

      Bycie kobietą zostało zakazane? Wszystkiego można się teraz spodziewać po naszych ustawodawcach, ale za to na szczęście wiele ich rozporządzeń, a ostatnio wszystkie ustawy mogą być prawnie nieskuteczne.

      Odpowiedz
    • wk

      @boshe

      Heh, a ja znam historię, gdy „facetowi” „wydawało się” że jest kobietą i badania genetyczne to potwierdziły. Podobnie starszawą już „kobietę” która okazała się mieć zamiast jajników jądra, co wyszło podczas badań gdy w wieku 18 lat nadal nie miała miesiączki. Nie sąd i i nie opinia publiczna o tym decyduje, a biologia na poziomie znacznie głębszym niż cechy zewnętrzne. Szkoda że twórcy systemów, zarówno prawnych jak informatycznych (w tym medycznych) nie mają świadomości, że płeć naprawdę może być pierwotnie mylnie określona, więc musi istnieć możliwość skorygowania zapisów bazodanowych o niej. Występują też osoby o cechach płciowych mieszanych, co można obsłużyć w systemie np przez wprowadzenie kategorii trzeciej płci, jak jest to zrobione zarówno w Indiach, czy bliżej nas w uporządkowanych Niemczech.

      Natomiast co do tego, czy „przypadkiem” jest nieradzenie sobie przez banki i operatorów z przekrętami na duże sumy, to w dużym stopniu się z Tobą zgadzam. Jeśli przekręt wymaga przymknięcia oka przez instytucję, zawsze jest możliwość, że było to zaaranżowane.

      Odpowiedz
  2. xH

    W jakim banku ten rolnik mial konto?

    Odpowiedz
    • Rolnik

      W jego przypadku najpewniejsze byloby zakopanie pieniedzy w ziemi… :)

      Odpowiedz
  3. Kingu

    Niektóre banki już stosują autentykację przy pomocy aplikacji na telefonie poprzez potwierdzenie chęci zalogowania, lub (jak Steam) wygenerowanie kodu autoryzacyjnego. Wydaje się że to dużo bezpieczniejsze niż SMSy.
    Swoją drogą, oprócz opisania tego jak się zabezpieczyć warto może napisać „co jeśli”, tzn: jak i do kogo występować o naprawienie szkody. Bo jeśli wymiana karty SIM była „nieautoryzowana” to winę ponosi w tym przypadku operator a nie właściciel telefonu (numeru).
    Ale znając życie, będą próbowali się wyłgać.

    Odpowiedz
    • Imię

      No właśnie. To co robią w Polsce niektóre banki na zachód od Odry jest standardem.

      Odpowiedz
    • hepelas471

      „co jeśli” to znak rozpoznawczy Niebezpiecznika ;)

      Odpowiedz
    • abc

      @Kingu
      Wszystko fajnie, ale pod warunkiem, że urządzenie zabezpieczane nie jest jednocześnie urządzeniem zabezpieczającym.

      Odpowiedz
      • wk

        @abc

        Dokładnie, dokładnie jest jak mówisz. A banki i inni operatorzy wydają się tego w ogóle nie kumać.

        Odpowiedz
    • KrissN

      No i to właśnie powinny zadziałać sądy, które w takiej sytuacji orzekną winę operatora i nakażą mu pokrycie strat, spowodowanych przez niefrasobliwego pracownika lub nieszczelne procedury. Tylko taki właśnie rachunek na kilkaset tysięcy (i perspektywa następnych w podobnych sprawach) skłoni operatora do uszczelnienia procedur i wyszkolenia swoich pracowników.

      Odpowiedz
    • Alan

      Stosują, ale często kod SMS wystarczy, żeby autoryzować aplikację na innym telefonie

      Odpowiedz
  4. Irina_Andrew

    Kup drugi numer telefonu, włóż kartę do starego aparatu (typu Nokia 3310) i schowaj do sejfu. Włączasz tyko podczas autoryzacji transakcji. Od dawna zalecam trzymanie oszczędności w gotówce i nią płacenie, bo teraz fizyczne włamanie jest dużo mniej prawdopodobne niż włamanie na konto, dlatego telefon do autoryzacji może leżeć wyłączony w sejfie.
    Autoryzacji aplikacjami nie polecam ze względu na zbyt dużą ilość przejmowanych danych osobowych i możliwość ataku malware na Androida lub iOS.

    Odpowiedz
    • Max

      W jaki sposób trzymanie telefonu w sejfie zabezpiecza przed nieautoryzowanym wyrobieniem karty SIM?

      Odpowiedz
      • Irina_Andrew

        To proste, do wyrobienia „lewej” karty SIM atakujący musi znać numer telefonu. Jeżeli używamy go tylko do autoryzacji przelewów i nigdzie nie podajemy poza bankiem (również nie mamy w kontaktach w głównym telefonie) to po prostu nikt go nie zna, więc nie wyrobi karty.

        Odpowiedz
  5. abc

    @Sekurak
    „Jak się chronić? Obecnie nie jest to proste.”
    To jest bardzo proste – wystarczy kartę SIM używaną w bankowości zarejestrować na fikcyjne imię i nazwisko oraz PESEL.

    Odpowiedz
    • wk

      @abc

      To jest dobry pomysł. Podobnie jak jeszcze łatwiejsze, bo nie wymagające posługiwania się sfałszowanymi dokumentami, krzyżowe użycie kart, tzn osoba A używa do bankowości karty zarejestrowanej na osobę B a osoba B karty zarejestrowanej na A.

      Odpowiedz
    • asdsad

      O! To jest ciekawe rozwiązanie! – Nawet nie na fikcyjne (bo będzie problem w razie wymiany karty przez nas, jeśli sami zgubimy), ale na dane kogoś z bliskiej rodziny.

      Odpowiedz
  6. Anna

    Co to był za operator?

    Odpowiedz
    • Mariusz

      Właśnie, poznajmy operatora!

      Odpowiedz
    • gość

      Pytanie brzmi co to był za rolnik słyszałem że to ponoć bieda u nich ale jednak widzę że nie

      Odpowiedz
  7. ech

    Operator sim w trakcie rozmowy telefonicznej swojego klienta zerwał mu połączanie i wymienił kartę na nową sim bo ten ją „zgubił” lub mu „nie działa”? Czy w tych telekomach nikt myślący nie pracuje? Może jak obciąży się ich kosztami utraconych pieniędzy to w końcu zaczną dzwonić na wymieniane simy by sprawdzić czy faktycznie nie działają i czy właściciel wie o ich wymianie. Alternatywnie mogą chociaż informować sms/automatycznym połażeniem na stary sim i dawać właścicielowi czas na reakcję. Głupie dodanie jakiejkolwiek kontroli sprawi ze taki proceder stanie się bardziej ryzykowny co powinno zredukować liczbę przypadków. Należało by też bankowi pogratulować działania i dawania możliwości opróżnienia konta przelewami natychmiastowymi w kilkadziesiąt minut na taką kwotę.

    Odpowiedz
    • Emil

      Mało tego. Czy nikt nie myśli o zabezpieczeniu w stylu „od wyrobienia nowej karty sim potrzeba 24h na aktywację numeru”.

      Albo – wyrobienie nowej karty sim wiąże się z automatyczną informacją do banków = blokowanie przelewów na 24h celem weryfikacji.

      Oczywiście że to sie wiąże z dysmokfortem, ale nie przesadzajmy.

      Tak czy inaczej coś takiego powinno być karane i dla banku i dla operatora. Równie dobrze możemy podawać fake’owe dane i rejestrować sobie konta. Po co mam zgłąszać wymianę nr dowodu skoro moge sobie wyrobić duplikat karty sim bez danych (z minimalną ilością) bo przekonałem kogoś w baku/u operatora?! WTF?

      Odpowiedz
  8. Michał

    Pieniądze na koncie są ubezpieczone, a za ich bezpieczeństwo odpowiada bank, który te ukradzione pieniądze musi oddać. Inną sprawą jest to że zapewne będzie się bronić dość długo i w rezultacie na kilkanaście czy dziesiąt miesięcy rolnik będzie miał pieniążki zamrożone.

    Odpowiedz
  9. asdsad

    Warto mieć konta w kilku bankach.

    Odpowiedz
    • PollyPocket

      Łatwiej jest wyprowadzić mniejszą kwotę z kilku banków niż dużą z jednego …

      Odpowiedz

Odpowiedz