Czy istnieje luka w systemie zabezpieczeń naszych pieniędzy, która sprawia, że każdemu można okraść konto przez internet? „Gazeta Wyborcza” opisała wczoraj przypadek biznesmena, któremu – dzięki duplikatowi karty SIM i kolekcjonerskiemu dowodowi osobistemu – skradziono 1,1 mln zł i wyłudzono na jego dane przynajmniej kilkanaście pożyczek. Jak się ochronić przed taką kradzieżą?
Modus operandi przestępstwa, którego ofiarą padł pan Józef, bohater tekstu Piotrka Miączyńskiego z „Wyborczej”, nie jest jakimś nadzwyczajnym wynalazkiem. To była po prostu kombinacja dwóch znanych metod okradania ludzi, zastosowana do „ogolenia” jednego klienta. Dodajmy, że klienta bardzo dokładnie wyselekcjonowanego, w przypadku którego łup był proporcjonalny do fatygi złodziei.
- Wymarzony moment, żeby inwestować w fundusze obligacji? Podcast z Pawłem Mizerskim [POWERED BY UNIQA TFI]
- Nowe funkcje terminali płatniczych. Jak biometria zmieni świat naszych zakupów? [POWERED BY FISERV]
- BaseModel.ai od BNP Paribas: najbardziej zaawansowana odsłona sztucznej inteligencji we współczesnej bankowości!? [POWERED BY BNP PARIBAS]
Kluczem do pieniędzy biznesmena okazał się duplikat karty SIM do jego smartfona. Złodziejom udało się go otrzymać od operatora telekomunikacyjnego dzięki temu, że w punkcie obsługi pokazali fałszywy dowód osobisty. A ściślej, tzw. kolekcjonerski dowód, który można zamówić za kilkaset złotych w internecie. Dzięki podmianie karty SIM przestępcy mogli przejąć SMS autoryzacyjny wysłany przez bank, gdy zlecili z konta klienta przelew wart 1,1 mln zł.
Czytaj też: Niebezpiecznik.pl rozkłada na czynniki pierwsze kradzież „na duplikat” karty SIM
To brzmi okropnie. Na pierwszy rzut oka w ten sposób można okraść każdego. Zdobyć dane z jego dowodu osobistego, zamówić „kolekcjonerską” kopię, pójść z nią do POK-u telekomu, wziąć duplikat karty SIM, zalogować się na czyjeś konto, zlecić przelew, potwierdzić go SMS-em, który przyjdzie na telefon z nową kartą SIM i… gotowe.
Tak właśnie został okradziony pan Józef, bohater artykułu w „Wyborczej”. Jeśli padł na Was blady strach, to czas „odczarować” temat. Po pierwsze sprawdzimy jakie błędy zrobił okradziony biznesmen i czy rzeczywiście złodziejom wystarczył tylko kolekcjonerski dokument i duplikat karty SIM. Po drugie ustalimy co każdy z nas może zrobić, żeby nie paść ofiarą takiego oszustwa. Po trzecie spiszemy listę rzeczy, które muszą zrobić banki i telekomy, byśmy byli jeszcze bezpieczniejsi.
Czytaj też: Wraca niebezpieczny przekręt. Na celowniku ci, którzy w internecie szukają okazji
Trzy błędy, które ułatwiły kradzież pieniędzy
Zacznijmy od błędów klienta. Bolesna prawda jest taka, że aby dać się tak „zrobić”, trzeba popełnić kilka nieostrożności.
1. Lekkie obchodzenie się z dowodem osobistym i danymi w nim zawartymi. Aby ktoś mógł przyjść do POK-u telekomu z kolekcjonerskim dokumentem, bohater historii musiał wcześniej: a) zostawić komuś dowód osobisty, b) zostawić komuś skan dowodu osobistego, c) dać sobie podejrzeć, sfotografować lub wyłudzić dane z dowodu.
Pamiętajmy, że nigdzie – może poza bankiem, który może od nas tego zażądać – nie powinniśmy zostawiać skanów, kserokopii dowodu ani pełnych danych. A jeśli już musimy zostawić gdzieś kopię, to zasłońmy część danych lub dopiszmy ręcznie „kopia zrobiona w celu…”.
Więcej na temat ochrony tożsamości: znajdziesz na stronie cyklu edukacyjnego “Chroń swoje dane”. Zapraszam do jej odwiedzenia!
2. Udostępnienie złodziejowi numeru telefonu do kontaktów z bankiem. Większość z nas używa do przyjmowania SMS-ów autoryzacyjnych tego samego telefonu, którego używamy do innych czynności niezbędnych do życia. Ale mimo wszystko warto zastanawiać się komu podajemy numer telefonu. Gdyby złodzieje nie znali tego numeru, nie wiedzieliby do którego operatora udać się po duplikat karty SIM.
3. Udostępnienie złodziejowi loginu i hasła do konta. Nawet jeśli złodziej przejął dane pozwalające na sporządzenie fałszywki dowodu osobistego i trafił w telekomie na pracownika, który się nie zorientował, to wciąż za mało, by ukraść pieniądze. Żeby zlecić przelew i czekać na SMS autoryzacyjny, trzeba umieć zalogować się na konto. Złodzieje musieli więc poznać lub wyszpiegować login i hasło do internetowego rachunku ofiary.
Powiedzmy sobie szczerze – żaden z tych błędów z osobna nie jest jakiś szczególnie niespotykany. Każdy z nas kiedyś je zrobił. Akurat zdarzyło się, że złodzieje namierzali bohatera artykułu w „Wyborczej” tak długo, aż skompletowali wszystkie trzy błędy.
Czytaj też: Wirus zaatakuje cię w smartfonie. Podszyje się pod… bank
Czytaj też: Wyjątkowo perwersyjny wirus. Kradnie wtedy, gdy czujesz się najbezpieczniej
Trzy rzeczy, które każdy powinien zrobić, żeby jego pieniądze były bezpieczniejsze
No dobra, czas sprawdzić co mógłby zrobić pan Józef – i co może zrobić każdy z nas – żeby się nie dać okraść w ten sposób. Oczywiście nie licząc próby unikania tych błędów, których nie ustrzegł się bohater artykułu.
1. Mobilna autoryzacja transakcji. Większość z nas autoryzuje przelewy SMS-ami autoryzacyjnymi. To przestarzały i mało bezpieczny sposób. Jeśli mamy wirusa w smartfonie, to SMS-y mogą być automatycznie przekazywane złodziejom. Jeśli ktoś wyłudzi od operatora duplikat karty SIM – to samo.
Kilka banków – w tym mBank, Millennium, Getin, Eurobank czy ING – oferuje tzw. mobilną autoryzację. Polega ona na tym, że bank nie wysyła SMS-ów autoryzacyjnych, tylko powiadomienia do aplikacji mobilnej. A więc jeśli zlecam przelew, to loguję się do banku w smartfonie i klikam guzik zatwierdzający transakcję.
Gdyby bohater historii opisywanej przez „Wyborczą” korzystał z mobilnej autoryzacji, a nie z SMS-ów, złodzieje prawdopodobnie nie zdołaliby ukraść mu pieniędzy. Mobilna autoryzacja jest „spięta” z konkretnym urządzeniem, a nie z numerem telefonu. Zaś ewentualna inicjacja przez złodziei powrotu z autoryzacji mobilnej do tradycyjnej, SMS-owej (teoretycznie to możliwe), na pewno wzbudziłaby podejrzenia banku.
2. Subskrybowanie Alertów BIK. Czasem złodzieje pieniędzy, mając nasze dane, nie silą się na wykradanie pieniędzy z rachunku. Wymaga to dodatkowych starań. Łatwiej po prostu iść do firmy pożyczkowej i wyłudzić na konto klienta kredyty. W przypadku opisywanym przez „Wyborczą” też tak było. Klient ma kilkanaście, a może i kilkadziesiąt pożyczek wziętych na jego dane.
Tymczasem wystarczy za 2 zł miesięcznie kupić Alerty BIK, by już za pierwszym razem móc przyblokować złodziei. To usługa, dzięki której każde zapytanie banku lub firmy pożyczkowej o nasze dane jest nam natychmiast raportowane za pośrednictwem SMS-a. Warto mieć taki tani i skuteczny „kontrwywiad” na wypadek, gdyby ktoś ukradł nasze dane i próbował się nimi posłużyć.
Tutaj więcej: Jak działają Alerty BIK i jak je zamówić?
3. Zdefiniowanie drugiego numeru do kontaktów z bankiem. Zwykle podajemy tylko jeden numer telefonu do kontaktu z bankiem. Ale warto też podać drugi, rezerwowy. Może się zdarzyć, że bank będzie chciał się upewnić czy to rzeczywiście my przelewamy 1,1 mln zł ze swojego konta (bo np. system antyfraudowy wychwyci, że na co dzień nie wykonujemy takich transakcji). Złodziej na wszelki wypadek nie odbierze telefonu, ale jeśli bankowcy mają numer rezerwowy, to mogą z niego skorzystać. Nawet jeśli transakcja już została „wrzucona” do systemu – jeśli upłynęły od niej dosłownie minuty – można próbować ją zablokować.
Telekomy i banki: co one powinny zrobić, żeby nasze pieniądze były bezpieczniejsze?
Co powinno zmienić się w systemie?
1. Biometryczne dowody osobiste. Jeśli taki dokument stanie się „niepodrabialny”, to jego podróbki, czy kolekcjonerskie kopie staną się znacznie mniej groźne. Od lipca 2019 r. będzie w Polsce obowiązywała ustawa, która delegalizuje produkcję kolekcjonerskich dowodów osobistych w kraju, ale nic nie stoi na przeszkodzie, by sprowadzać te kopie z zagranicy…
Czytaj też: Nawet dwa lata odsiadki za dowody kolekcjonerskie. Ale czy nowe prawo zadziała?
2. Informowanie banków przez telekomy o każdym wydanym duplikacie SIM. Gdyby telekomy – nawet jeśli nie potrafią lepiej kontrolować okoliczności wydawania klientom duplikatów – przynajmniej informowały banki o każdym takim przypadku, banki mogłyby „oflagować” klientów z nowymi kartami SIM i dodatkowo weryfikować każdy większy przelew wychodzący z ich konta.
Czytaj też: Eurobank instalował „robaka”, Raiffeisen ubezpiecza, a mBank…
3. Konieczność autoryzacji także przelewów wewnętrznych. Złodzieje bardzo często „zsypują” pieniądze ze wszystkich kont klienta, zrywają lokaty, ściągają pieniądze z kary kredytowych i kont oszczędnościowych, a potem dopiero wykonują jeden, duży przelew. Powód? Im więcej transakcji, tym większe ryzyko wpadki. W przypadku pana Józefa też tak było. Gdyby złodzieje musieli autoryzować każdą z transakcji po kolei, może bank miałby więcej czasu na to, by się zorientować, że coś tu nie gra i jest podejrzany „ruch” na koncie.