Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Rzecznik Finansowy: niespodziewane tracisz sygnał w telefonie? Być może ktoś właśnie czyści Ci konto bankowe (SIM Swap)

16 listopada 2020, 12:13 | W biegu | komentarzy 7

Niedawno Rzecznik Finansowy opublikował takie ostrzeżenie:

(…) chodzi o przestępstwa związane z podmianą kart SIM tzw. sim-swap-fraud, w wyniku których dwaj klienci Rzecznika stracili łącznie ponad 650 tys. zł.

O SIM Swap pisaliśmy już kilka razy:

  • Tutaj (Rolnik Zbigniew Kołodziej spod Świebodzina padł ofiarą oszustów, którzy przejęli dostęp do prowadzonych przez niego internetowych kont bankowych. W sumie wybrali 370 tys. zł.)
  • Tutaj (Prokuratura Okręgowa w Ostrowie Wielkopolskim prowadzi postępowanie przeciwko członkom zorganizowanej grupy przestępczej, którzy przełamując zabezpieczenia sieci internetowej jednego z banków świadczących usługi bankowości elektronicznej, dokonali nieuprawnionych wypłat środków pieniężnych z kont podmiotów gospodarczych z południowej Wielkopolski w wysokości ponad 718.000 zł.)
  • Tutaj (Pokrzywdzona, majętna mieszkanka Krakowa Ewa G. w czasie wakacji 2018 r. wyjechała do Szklarskiej Poręby. Nie miała pojęcia, że 26 lipca o 10.22 do salonu Play w Grodzisku Mazowieckim zgłosiła się inna kobieta i przedstawiła się jako Ewa G., podała swój numer telefonu i przekonała pracownika, że karta SIM nie działa jak należy i chciała jej duplikatu. Po reklamacji dokonano wymiany karty SIM dla jej numeru abonenckiego. Jeszcze tego samego dnia oszuści dzięki tak zdobytej karcie SIM i wiedzy na temat numeru rachunku bankowego pokrzywdzonej dokonali autoryzacji przelewu z konta Ewy G. i na rachunek Roberta P. przelali 400 tys. zł.)

jak wygląda cała akcja? W skrócie, przestępcy najpierw wyrabiają duplikat karty SIM (mogą próbować to robić, posiadając numer telefonu ofiary oraz jej pewne dane). Czy operacja się uda? To zależy od zakresu pozyskanych danych ofiary oraz procedur + konkretnej osoby obsługującej daną sprawę po stronie operatora GSM.

Teraz możliwe są dwa scenariusze:

  • przestępca posiada już dane logowania do banku (login/hasło) – np. w wyniku działania malware. Teraz po prostu przelewa środki na swoje konto
  • przestępca próbuje zmienić hasło w samym banku (korzystając z posiadanego numeru telefonu) – bank w zasadzie nie powinien na to pozwolić, ale… różnie może być w bankach. Po udanej operacji, wracamy do punktu powyżej.

Ale powiecie – nie powinno być dostępu do mojego konta, tylko na podstawie de facto numeru telefonu. Ano nie powinno, na co wskazuje również UKE:

Już w sierpniu 2018 Prezes Urzędu Komunikacji Elektronicznej wystąpił do dostawców mobilnych usług telekomunikacyjnych i Związku Banków Polskich z wnioskiem o podjęcie działań mających na celu przeciwdziałanie nadużyciom na rynku telekomunikacyjnym i bankowym, w wyniku których dochodzi do kradzieży pieniędzy z kont bankowych użytkowników. Ale do Biura Rzecznika Finansowego wciąż zgłaszają się poszkodowani w wyniku tego rodzaju przestępstw.

Jednak jak widać cały czas ataki SIM Swap są skuteczne. Co robić?

  • prewencyjnie używaj innego numeru telefonu do autoryzacji transakcji (taki dedykowany numer będzie ciężko gdzieś znaleźć). Dla wygody można też się posiłkować telefonem z dual-SIM.
  • jeszcze lepiej – używaj do autoryzacji transakcji – aplikacji mobilnej banku
  • gdy stracisz w niespodziewany sposób, na dłuższy czas sygnał GSM (np. wiesz że jesteś cały czas w bardzo dobrym zasięgu; dłuższy czas – czyli np. dłuższy niż minuta-dwie, nie pomaga też restart telefonu) – skontaktuj się z Twoim operatorem GSM, pytając czy nie doszło do przeniesienia Twojego numeru na nowa kartę SIM (zanim to zrobisz, będziesz widział że Twoja karta jest cały czas nieaktywna…). Ten punkt niekoniecznie może dużo dać – konto może zostać wyczyszczone w przeciągu kilku minut.

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Ruch Osmiu Gwiazd

    Zawsze jak czytam, ze polska bankowosc jest na najwyzszym poziomie i caly swiat nam zazdrosci to mnie pusty smiech ogarnia. Mamy 2020 rok, a oni dalej kody SMSami przysylaja, a przelewy miedzy bankowe zaleza od sesji Elixir o roznych niezazebiajacych sie pomiedzy bankami porach.

    Odpowiedz
  2. nusch

    „jeszcze lepiej – używaj do autoryzacji transakcji – aplikacji mobilnej banku”

    nie ma znaczenia w tym scenariuszu dopóki banki nie będą zmuszać do wizyty w oddziale z dowodem w celu resetu kanału mobilnego push. Zwykle w tym miejscu to tylko fallback do SMSów

    Odpowiedz
  3. He

    Duplikat karty powinien być wystawiany po okazaniu oryginału, jak nie to dostajesz nowy nr

    2. Powinni w salonie autoryzować osobe na podstawie 2 dokumentów tożsamości.

    Odpowiedz
    • asdsad

      Czyli tracisz prawo do numeru, jeśli:
      – ukradną telefon,
      – zgubisz telefon
      – spali się w pożarze.
      O to chodziło?

      Póki co wydają duplikat, nawet jeżeli karta loguje się do sieci. Więc wystarczyłoby, żeby to sprawdzali. Albo czy masz papier z Policji, że zgłosiłeś kradzież.

      Odpowiedz
    • asdsad

      Już nie mówiąc o pomyśle, który czytałem w jakimś komentarzu tu lub o konkurencji: bank odpytywałby wspólną bazę operatorów, z której czytałby czy ostatnio był robiony duplikat karty SIM.

      Odpowiedz
    • asdsad

      No i najważniejsze: ja nie słyszałem żeby karta SIM komuś padła sama z siebie. Co najwyżej wymieniał, bo miał mini, a chciał micro/nano. Albo nie obsługiwała LTE.
      Co do punktu 2. – skoro ktoś wyrabia fałszywy dowód, to jaki ma problem wyrobić na te dane jeszcze prawo jazdy? PS nie każdy ma dwa dowody tożsamości.

      Odpowiedz
      • qwert

        Mnie karta padła sama. Było to jakoś w 2011 roku. Play miał wtedy jakieś dwa standardy kart i nie każda współpracowała z każdym telefonem. Ale z rok działała. Teraz szczegółów nie pamiętam.

        Odpowiedz

Odpowiedz