Jak wyplenić kradzieże pieniędzy z użyciem patentu zwanego SIM-swap? Dobre pytanie, tylko może najpierw, co to jest za sposób kradzieży? To jest tak: złodziej podaje się za swoją ofiarę, której konto chce okraść, i otrzymuje w placówce telekomu duplikat karty SIM numeru ofiary. W innych krajach już sobie z tym poradzili, u nas jeszcze nie. W innych krajach odbyło się to wysokim kosztem – niektóre banki blokują konta klientów zmieniających kartę SIM, od razu – tak „na wszelki wypadek”
W Polsce wciąż zdarzają się kradzieże pieniędzy z wykorzystaniem duplikatu karty SIM do telefonu, który mamy zdefiniowany do kontaktu z bankiem. Jest to wyjątkowo perfidna kradzież, bo w zasadzie można ją przeprowadzić bez naszego udziału – a przynajmniej jej finalną część.
- Wymarzony moment, żeby inwestować w fundusze obligacji? Podcast z Pawłem Mizerskim [POWERED BY UNIQA TFI]
- Nowe funkcje terminali płatniczych. Jak biometria zmieni świat naszych zakupów? [POWERED BY FISERV]
- BaseModel.ai od BNP Paribas: najbardziej zaawansowana odsłona sztucznej inteligencji we współczesnej bankowości!? [POWERED BY BNP PARIBAS]
Chodzi bowiem o to, że złodziej udaje się do firmy telekomunikacyjnej i – podszywając się za nas – wciska pracownikowi kit, iż zgubił kartę SIM i potrzebuje duplikatu. Pracownik duplikat karty SIM wydaje (na ten sam numer telefonu), zaś złodziej wkłada tę nową kartę SIM do swojego telefonu i… już ma w ręku narzędzie do autoryzacji naszych transakcji.
„Stara” karta SIM – ta umieszczona w naszym telefonie – przestaje działać, więc my z kolei tracimy dostęp do konta. No słabo, bo w ten sposób ludzie tracą z kont ogromne pieniądze, nawet miliony złotych, o ile szybko się nie zorientują. Bo zaraz po tym, jak telefon przestał działać, powinni byli zablokować konto bankowe. Ale… kto o tym myśli?
Czytaj więcej o tym: Pan Kamil szczuplejszy o 200 000 zł. Oszustwo obnaża dziurę w systemie (subiektywnieofinansach.pl)
Kradzieże pieniędzy „na duplikat karty SIM”. Jak to w ogóle możliwe?
Trik jest możliwy, bo firmy telekomunikacyjne nie muszą informować banków o wymianie kart SIM przez klientów. I często tego nie robią, bo nie mają czasu. Zresztą to nie problem telekomów, że sprzedawane przez nich „narzędzie” (czyli karta SIM z dostępem do sieci telekomunikacyjnej) jest z lubością wykorzystywane przez banki jako sposób logowania klientów do konta i zatwierdzania transakcji. Kiedyś banki wydawały klientom tokeny, ale to było za drogie, więc wykorzystano smartfony.
Oczywiście przy kluczowym etapie fraudu klient nie może nic zrobić – złodziej nabiera pracownika firmy telekomunikacyjnej, otrzymuje duplikat karty SIM, a nam po prostu przestaje działać karta SIM w telefonie. Ale żeby mogło do tego etapu dojść, musi zdarzyć się coś wcześniej. Złodziej musi dowiedzieć się, jaki mamy numer telefonu i adres e-mail. Te informacje najczęściej pochodzą z wielkich wycieków danych z Facebooka czy innego Instagrama (dlatego ważne jest, by numer telefonu do komunikacji z bankiem to nie był taki sam, który podajemy we wszystkich serwisach internetowych, skąd prędzej lub później wycieknie).
Następnie złodziej musi posiąść nasze dane z dowodu osobistego (żeby pracownik telekomu dał się nabrać, trzeba mu pomachać przed oczami jakąś nie najgorzej zrobioną podróbką) oraz login i hasło do konta bankowego. Dopiero z tym kompletem danych opłaca mu się robić SIM-swap (tak się nazywa ten rodzaj kradzieży) i przejąć nasze narzędzie do autoryzacji.
Nasze dane złodziej może posiąść włamując się na naszą skrzynkę e-mail (jeśli ma więcej szczęścia i jesteśmy znanym politykiem, to przy okazji pozna tajemnice państwowe) albo podsyłając nam mailową fałszywą wiadomość „z banku” z prośbą o wyspowiadanie się z danych. Jeśli damy się na to złapać, to już jedynie cała nadzieja w bystrości pracownika telekomu (że się zorientuje, iż ktoś się pod nas podszywa) albo w naszej bystrości umysłu (że się zorientujemy, iż niedziałająca karta SIM świadczy o przestępstwie i natychmiast zablokujemy w banku nasze konto).
Duplikat karty SIM? Bank blokuje konto na dwie doby
Generalnie więc jest kilka check-pointów, które mogą powstrzymać kradzież. Ale najwyraźniej nie jest ich wystarczająco dużo. Banki i telekomy niby ściślej współpracują, ale pieniądze wciąż ludziom giną. Problem nie jest tylko nasz, polski. Takie rzeczy dzieją się w całej Europie.
Ostatnio jeden z czytelników przesłał mi informację prosto z Irlandii, iż klient, który wymienił – całkiem legalnie – kartę SIM, przez dwie kolejne doby miał… zwyczajnie zablokowaną możliwość wykonywania przelewów. Nie wiem, czy bank w tym czasie prowadził jakąś procedurę sprawdzającą czy też po prostu był to rodzaj „kwarantanny”.
Klient był oczywiście wściekły, bo uniemożliwiono mu zarządzanie własnym kontem i płacenie rachunków. Być może po wymianie karty SIM konto jest automatycznie blokowane (widać tam bank dostaje natychmiast taką informację od telekomu), a klient musi się z bankiem skontaktować i potwierdzić wymianę karty? W irlandzkim internecie znalazłem prawdopodobne wytłumaczenie tej sytuacji.
Otóż bank AIB – podobnie jak inne instytucje finansowe w tym kraju – regularnie prosi sieci komórkowe o identyfikatory kart SIM powiązane ze wszystkimi numerami telefonów komórkowych klientów. Jeśli numer telefonu komórkowego jest powiązany z nową kartą SIM, bank podejmuje różne kroki w celu zmniejszenia ryzyka ataku typu SIM-swap.
Zablokowanie konta na dwie doby jest krokiem radykalnym, ale prawdopodobnie chodzi o to, by z jednej strony wymusić na kliencie kontakt z bankiem inną drogą niż przez internet (żeby mógł potwierdzić, że rzeczywiście zmienił kartę SIM w telefonie), a z drugiej – przekonać złodziei, że SIM-swap to nieskuteczna i ryzykowna próba kradzieży.
Czyli: żli ludzie wiedzą, że muszą czekać dwa dni, zanim otrzymają jakąkolwiek wartość z oszustwa SIM-swap, a prawdopodobnie zostanie ono w tym czasie wykryte, więc w ogóle odpuszczają ten typ kradzieży i… wyjeżdżają do Polski. Na przykład. Bo u nas jeszcze z tą komunikacją na linii bank-telekom różnie bywa.
Czytaj też: Kradzieże pieniędzy na duplikat SIM. Dobra i zła wiadomość od Orange (subiektywnieofinansach.pl)
Fintechy pomagają bankowcom w walce z SIM-swap
Wiem też, że istnieją technologiczne rozwiązania, które ułatwiają wykrywanie kradzieży opartych na modelu SIM-swap. Fintech Phonovation oferuje – chyba tylko na Wyspach Brytyjskich, ale mogę się mylić – rozwiązanie Mobile ID. Umożliwia ono bankom – z wykorzystaniem dyrektywy PSD2 – pobieranie w czasie rzeczywistym danych o stanie karty SIM (i jej powiązaniu z tym lub innym urządzeniem) za pośrednictwem bezpiecznego połączenia z siecią komórkową.
Rozwiązanie opiera się na tym, iż każdy abonent jest identyfikowany za pomocą dwóch numerów. Międzynarodowy Numer Identyfikacji Abonenta (IMSI) jest zwykle przechowywany na karcie SIM, a numer zintegrowanej sieci usług cyfrowych (MSISDN) to numer telefonu komórkowego. Gdy złodziej przenosi numer telefonu komórkowego ofiary na nowe urządzenie, zmienia się numer seryjny IMSI. I właśnie powiązanie tych dwóch identyfikatorów jest kluczem do bezpieczeństwa klientów.
Prawdopodobnie w erze PSD2 nie jest jakimś technologicznym rocket science zbudowanie połączeń baz danych banków i telekomów i weryfikowanie obu identyfikatorów w czasie rzeczywistym. Skoro są już fintechy, które oferują rozwiązania to ułatwiające… Zresztą nawet Europejski Nadzór Bankowy wymaga od banków wykorzystujących smartfony klientów do autoryzacji transakcji, by weryfikowały numer telefonu komórkowego użytkownika na karcie SIM i żeby sprawdzały to powiązanie na poziomie sieci telefonii komórkowej.
Mobilna autoryzacja najlepszym lekiem na SIM-swap?
Problem z kradzieżami z zastosowaniem SIM-swap byłby mniejszy, gdybyśmy wszyscy używali nowoczesnego sposobu autoryzowania transakcji. Większość z nas autoryzuje przelewy SMS-ami autoryzacyjnymi. To przestarzały i mało bezpieczny sposób. Jeśli mamy wirusa w smartfonie, to SMS-y mogą być automatycznie przekazywane złodziejom. Jeśli ktoś wyłudzi od operatora duplikat karty SIM – to samo.
Czytaj więcej o tym: Hasła SMS przy logowaniu do banku? U nas wprowadzają, a w Niemczech… wyrzucają (subiektywnieofinansach.pl)
Większość banków oferuje tzw. mobilną autoryzację. Polega ona na tym, że bank nie wysyła SMS-ów autoryzacyjnych, tylko powiadomienia do aplikacji mobilnej. A więc jeśli zlecam przelew, to loguję się do banku w smartfonie i klikam guzik zatwierdzający transakcję.
Jeśli klient, który jest „przedmiotem” podchodów złodzieja, korzysta z mobilnej autoryzacji, a nie z SMS-ów, to ów złodziej prawdopodobnie nie zdoła ukraść mu pieniędzy. Mobilna autoryzacja jest „spięta” z konkretnym urządzeniem, a nie z numerem telefonu. Zaś ewentualna inicjacja przez złodzieja powrotu z autoryzacji mobilnej do tradycyjnej, SMS-owej (teoretycznie to możliwe), na pewno wzbudziłaby podejrzenia banku.
Czytaj również: Infolinia bankowa wrotami do kradzieży pieniędzy. Uwaga na nowy trik! (subiektywnieofinansach.pl)
obrazek tytułowy: Phonovation.com