Na łamach naszego portalu wielokrotnie opisywaliśmy rozmaite metody, które stosują cyberprzestępcy do pozyskania wrażliwych danych umożliwiających kradzież naszych oszczędności. Z reguły są to starannie zaplanowane, wielopiętrowe oszustwa wykorzystujące różne socjotechniczne sztuczki, których celem jest wyłudzenie hasła i loginu do konta.
Na podobnej zasadzie działa "SIM swap fraud", czyli przekręt polegający na podmianie karty SIM służącej do autoryzacji w bankowości internetowej.
Na czym polega kradzież „na duplikat karty SIM”?
W gruncie rzeczy proceder jest prosty, choć dość czasochłonny. W pierwszej kolejności złodzieje zdobywają dane teleadresowe osoby, którą zamierzają okraść. Dane są wykradane z systemów informatycznych banków, niekiedy kupowane od firm zewnętrznych lub zdobywane metodą "na listonosza".
Następnie przestępcy zdobywają loginy i hasła potrzebne do zalogowania się na konta. I znów – sposób na uzyskanie tych danych bywa bardzo różny. Niekiedy jest to klasyczny atak phishingowy, niekiedy zaś zainfekowanie komputera wirusem, który przesyła hakerowi wszystkie informacje, jakie podajemy przy logowaniu się do konta.
W kolejnym etapie oszuści posługując się fałszywymi dokumentami tożsamości pozyskują od telekomów duplikaty kart SIM, na które przychodzą sms-owe hasła jednorazowe do autoryzacji przelewów. W ten sposób mają komplet danych umożliwiających wyczyszczenie konta ofiary.
Jak uchronić się przed kradzieżą?
Serwis niebezpiecznik.pl, który jako pierwszy nagłośnił całą sprawę, zaleca następujące kroki ostrożności:
- Nie należy logować się do bankowości elektronicznej na „cudzym” komputerze (w pracy, kafejce internetowej).
- Warto na bieżąco aktualizować program antywirusowy i zaporę sieciową (firewall).
- Nie wolno udostępniać numeru telefonu w serwisach społecznościowych.
- Jeśli potwierdzamy transakcje kodem sms, zawsze porównujmy kwotę i numer rachunku z sms-a z danymi w formularzu przelewu.
- Ustawmy w banku powiadomienia o logowaniu i transakcjach.
- Jeśli karta SIM bez powodu przestaje działać, jak najszybciej skontaktujmy się z bankiem i operatorem. Niedziałająca karta może oznaczać, że oszust właśnie uaktywnia jej duplikat. Jeśli damy mu czas, zaloguje się do bankowości elektronicznej i z pomocą sms kodów przeleje na swój rachunek nasze oszczędności.
- Jeśli odkryjemy, że padliśmy ofiarą oszustwa, musimy niezwłocznie poinformować o tym bank i policję (złożone zeznania mogą ułatwić postępowanie reklamacyjne w banku).
Gdzie jest luka?
Trudno nie zauważyć, że opracowana przez złodziei nowa metoda oszustwa jest skuteczna, ponieważ wykorzystuje lukę w procesie wydawania duplikatów kart SIM. Przestępcy bazują na tym, że pracownicy telekomów w niewystarczającym stopniu weryfikują tożsamość rzekomych „klientów”.
U wszystkich czterech największych operatorów komórkowych w Polsce duplikat karty SIM można otrzymać, przychodząc osobiście do salonu sprzedaży. By otrzymać nową kartę, należy okazać dowód tożsamości (niekiedy akceptowany bywa paszport albo prawo jazdy.) W sieciach T-Mobile oraz Plus kartę SIM może także odebrać inna osoba posiadająca pisemne upoważnienie notarialne.
Problem polega na tym, że zarówno dowód, jak i upoważnienie można podrobić. Przypadek pracownika T-mobile, który udostępnił duplikat po okazaniu przez złodzieja notarialnego upoważnienia od nieistniejącego notariusza jasno pokazuje, że pracownicy telekomów nie są przygotowani na takie zagrożenia i konieczna jest dodatkowa metoda weryfikacji.
Jak na razie jednak operatorzy telefonii komórkowej nie są skłonni do zmiany zasad wydawania duplikatów SIM. Argumentują, że skala zjawiska jest niewielka, a wprowadzenie dodatkowych zabezpieczeń znacznie skomplikowałoby proces wydawania duplikatów. Podkreślają też, że za bezpieczeństwo pieniędzy odpowiedzialne są banki i że sam duplikat karty SIM nie pozwala złodziejom na kradzież, jeśli wcześniej nie pozyskają oni danych do logowania na konto.
Trzeba przyznać, że jest w tym stwierdzeniu sporo prawdy. Prawdopodobnie wiele prób kradzieży skończyłoby się fiaskiem, gdyby banki szybciej wykrywały podejrzane transakcje (fraudy). W tym miejscu warto pochwalić mBank, który błyskawicznie zablokował konto okradanego klienta po stwierdzeniu wielu operacji w bardzo krótkim czasie. Niestety w wielu innych bankach takie zabezpieczenia zawiodły.
Reasumując - dopóki nowe regulacje nie wejdą w życie, sami musimy zadbać o bezpieczeństwo naszych pieniędzy. Jest faktem, że oszuści nie zdołają nas okraść, jeśli w odpowiedzialny i rozważny sposób będziemy chronić login i hasło do konta. Jak uniemożliwić złodziejom wyłudzenie danych podpowiadamy w tym artykule.
Komentarze
(0)