28 sierpnia 2021

Zmieniasz kartę SIM? Bank może zablokować ci konto. Tak na wszelki wypadek. Jak skutecznie walczyć z kradzieżami pieniędzy z wykorzystaniem duplikatów kart SIM?

Zmieniasz kartę SIM? Bank może zablokować ci konto. Tak na wszelki wypadek. Jak skutecznie walczyć z kradzieżami pieniędzy z wykorzystaniem duplikatów kart SIM?

Jak wyplenić kradzieże pieniędzy z użyciem patentu zwanego SIM-swap? Dobre pytanie, tylko może najpierw, co to jest za sposób kradzieży? To jest tak: złodziej podaje się za swoją ofiarę, której konto chce okraść, i otrzymuje w placówce telekomu duplikat karty SIM numeru ofiary. W innych krajach już sobie z tym poradzili, u nas jeszcze nie. W innych krajach odbyło się to wysokim kosztem – niektóre banki blokują konta klientów zmieniających kartę SIM, od razu – tak „na wszelki wypadek”  

W Polsce wciąż zdarzają się kradzieże pieniędzy z wykorzystaniem duplikatu karty SIM do telefonu, który mamy zdefiniowany do kontaktu z bankiem. Jest to wyjątkowo perfidna kradzież, bo w zasadzie można ją przeprowadzić bez naszego udziału – a przynajmniej jej finalną część.

Zobacz również:

Chodzi bowiem o to, że złodziej udaje się do firmy telekomunikacyjnej i – podszywając się za nas – wciska pracownikowi kit, iż zgubił kartę SIM i potrzebuje duplikatu. Pracownik duplikat karty SIM wydaje (na ten sam numer telefonu), zaś złodziej wkłada tę nową kartę SIM do swojego telefonu i… już ma w ręku narzędzie do autoryzacji naszych transakcji.

„Stara” karta SIM – ta umieszczona w naszym telefonie – przestaje działać, więc my z kolei tracimy dostęp do konta. No słabo, bo w ten sposób ludzie tracą z kont ogromne pieniądze, nawet miliony złotych, o ile szybko się nie zorientują. Bo zaraz po tym, jak telefon przestał działać, powinni byli zablokować konto bankowe. Ale… kto o tym myśli?

Czytaj więcej o tym: Pan Kamil szczuplejszy o 200 000 zł. Oszustwo obnaża dziurę w systemie (subiektywnieofinansach.pl)

Kradzieże pieniędzy „na duplikat karty SIM”. Jak to w ogóle możliwe?

Trik jest możliwy, bo firmy telekomunikacyjne nie muszą informować banków o wymianie kart SIM przez klientów. I często tego nie robią, bo nie mają czasu. Zresztą to nie problem telekomów, że sprzedawane przez nich „narzędzie” (czyli karta SIM z dostępem do sieci telekomunikacyjnej) jest z lubością wykorzystywane przez banki jako sposób logowania klientów do konta i zatwierdzania transakcji. Kiedyś banki wydawały klientom tokeny, ale to było za drogie, więc wykorzystano smartfony.

Oczywiście przy kluczowym etapie fraudu klient nie może nic zrobić – złodziej nabiera pracownika firmy telekomunikacyjnej, otrzymuje duplikat karty SIM, a nam po prostu przestaje działać karta SIM w telefonie. Ale żeby mogło do tego etapu dojść, musi zdarzyć się coś wcześniej. Złodziej musi dowiedzieć się, jaki mamy numer telefonu i adres e-mail. Te informacje najczęściej pochodzą z wielkich wycieków danych z Facebooka czy innego Instagrama (dlatego ważne jest, by numer telefonu do komunikacji z bankiem to nie był taki sam, który podajemy we wszystkich serwisach internetowych, skąd prędzej lub później wycieknie).

Następnie złodziej musi posiąść nasze dane z dowodu osobistego (żeby pracownik telekomu dał się nabrać, trzeba mu pomachać przed oczami jakąś nie najgorzej zrobioną podróbką) oraz login i hasło do konta bankowego. Dopiero z tym kompletem danych opłaca mu się robić SIM-swap (tak się nazywa ten rodzaj kradzieży) i przejąć nasze narzędzie do autoryzacji.

Nasze dane złodziej może posiąść włamując się na naszą skrzynkę e-mail (jeśli ma więcej szczęścia i jesteśmy znanym politykiem, to przy okazji pozna tajemnice państwowe) albo podsyłając nam mailową fałszywą wiadomość „z banku” z prośbą o wyspowiadanie się z danych. Jeśli damy się na to złapać, to już jedynie cała nadzieja w bystrości pracownika telekomu (że się zorientuje, iż ktoś się pod nas podszywa) albo w naszej bystrości umysłu (że się zorientujemy, iż niedziałająca karta SIM świadczy o przestępstwie i natychmiast zablokujemy w banku nasze konto).

Czytaj też: Skopiowali jego dowód, wyłudzili duplikat karty SIM do telefonu i ukradli z konta 1,1 mln zł. Trzy rzeczy, które warto zrobić, żeby tego uniknąć | Subiektywnie o Finansach – Maciej Samcik

Duplikat karty SIM? Bank blokuje konto na dwie doby

Generalnie więc jest kilka check-pointów, które mogą powstrzymać kradzież. Ale najwyraźniej nie jest ich wystarczająco dużo. Banki i telekomy niby ściślej współpracują, ale pieniądze wciąż ludziom giną. Problem nie jest tylko nasz, polski. Takie rzeczy dzieją się w całej Europie.

Ostatnio jeden z czytelników przesłał mi informację prosto z Irlandii, iż klient, który wymienił – całkiem legalnie – kartę SIM, przez dwie kolejne doby miał… zwyczajnie zablokowaną możliwość wykonywania przelewów. Nie wiem, czy bank w tym czasie prowadził jakąś procedurę sprawdzającą czy też po prostu był to rodzaj „kwarantanny”.

Duplikat karty SIM? Bank blokuje konto
Duplikat karty SIM? Bank AIB blokuje konto

Klient był oczywiście wściekły, bo uniemożliwiono mu zarządzanie własnym kontem i płacenie rachunków. Być może po wymianie karty SIM konto jest automatycznie blokowane (widać tam bank dostaje natychmiast taką informację od telekomu), a klient musi się z bankiem skontaktować i potwierdzić wymianę karty? W irlandzkim internecie znalazłem prawdopodobne wytłumaczenie tej sytuacji.

Otóż bank AIB – podobnie jak inne instytucje finansowe w tym kraju – regularnie prosi sieci komórkowe o identyfikatory kart SIM powiązane ze wszystkimi numerami telefonów komórkowych klientów. Jeśli numer telefonu komórkowego jest powiązany z nową kartą SIM, bank podejmuje różne kroki w celu zmniejszenia ryzyka ataku typu SIM-swap.

Zablokowanie konta na dwie doby jest krokiem radykalnym, ale prawdopodobnie chodzi o to, by z jednej strony wymusić na kliencie kontakt z bankiem inną drogą niż przez internet (żeby mógł potwierdzić, że rzeczywiście zmienił kartę SIM w telefonie), a z drugiej – przekonać złodziei, że SIM-swap to nieskuteczna i ryzykowna próba kradzieży.

Czyli: żli ludzie wiedzą, że muszą czekać dwa dni, zanim otrzymają jakąkolwiek wartość z oszustwa SIM-swap, a prawdopodobnie zostanie ono w tym czasie wykryte, więc w ogóle odpuszczają ten typ kradzieży i… wyjeżdżają do Polski. Na przykład. Bo u nas jeszcze z tą komunikacją na linii bank-telekom różnie bywa.

Czytaj też: Kradzieże pieniędzy na duplikat SIM. Dobra i zła wiadomość od Orange (subiektywnieofinansach.pl)

Fintechy pomagają bankowcom w walce z SIM-swap

Wiem też, że istnieją technologiczne rozwiązania, które ułatwiają wykrywanie kradzieży opartych na modelu SIM-swap. Fintech Phonovation oferuje – chyba tylko na Wyspach Brytyjskich, ale mogę się mylić – rozwiązanie Mobile ID. Umożliwia ono bankom – z wykorzystaniem dyrektywy PSD2 – pobieranie w czasie rzeczywistym danych o stanie karty SIM (i jej powiązaniu z tym lub innym urządzeniem) za pośrednictwem bezpiecznego połączenia z siecią komórkową.

Rozwiązanie opiera się na tym, iż każdy abonent jest identyfikowany za pomocą dwóch numerów. Międzynarodowy Numer Identyfikacji Abonenta (IMSI) jest zwykle przechowywany na karcie SIM, a numer zintegrowanej sieci usług cyfrowych (MSISDN) to numer telefonu komórkowego. Gdy złodziej przenosi numer telefonu komórkowego ofiary na nowe urządzenie, zmienia się numer seryjny IMSI. I właśnie powiązanie tych dwóch identyfikatorów jest kluczem do bezpieczeństwa klientów.

Prawdopodobnie w erze PSD2 nie jest jakimś technologicznym rocket science zbudowanie połączeń baz danych banków i telekomów i weryfikowanie obu identyfikatorów w czasie rzeczywistym. Skoro są już fintechy, które oferują rozwiązania to ułatwiające… Zresztą nawet Europejski Nadzór Bankowy wymaga od banków wykorzystujących smartfony klientów do autoryzacji transakcji, by weryfikowały numer telefonu komórkowego użytkownika na karcie SIM i żeby sprawdzały to powiązanie na poziomie sieci telefonii komórkowej.

Mobilna autoryzacja najlepszym lekiem na SIM-swap?

Problem z kradzieżami z zastosowaniem SIM-swap byłby mniejszy, gdybyśmy wszyscy używali nowoczesnego sposobu autoryzowania transakcji. Większość z nas autoryzuje przelewy SMS-ami autoryzacyjnymi. To przestarzały i mało bezpieczny sposób. Jeśli mamy wirusa w smartfonie, to SMS-y mogą być automatycznie przekazywane złodziejom. Jeśli ktoś wyłudzi od operatora duplikat karty SIM – to samo.

Czytaj więcej o tym: Hasła SMS przy logowaniu do banku? U nas wprowadzają, a w Niemczech… wyrzucają (subiektywnieofinansach.pl)

Większość banków oferuje tzw. mobilną autoryzację. Polega ona na tym, że bank nie wysyła SMS-ów autoryzacyjnych, tylko powiadomienia do aplikacji mobilnej. A więc jeśli zlecam przelew, to loguję się do banku w smartfonie i klikam guzik zatwierdzający transakcję.

Jeśli klient, który jest „przedmiotem” podchodów złodzieja, korzysta z mobilnej autoryzacji, a nie z SMS-ów, to ów złodziej prawdopodobnie nie zdoła ukraść mu pieniędzy. Mobilna autoryzacja jest „spięta” z konkretnym urządzeniem, a nie z numerem telefonu. Zaś ewentualna inicjacja przez złodzieja powrotu z autoryzacji mobilnej do tradycyjnej, SMS-owej (teoretycznie to możliwe), na pewno wzbudziłaby podejrzenia banku.

Czytaj również: Infolinia bankowa wrotami do kradzieży pieniędzy. Uwaga na nowy trik! (subiektywnieofinansach.pl)

obrazek tytułowy: Phonovation.com

Subscribe
Powiadom o
47 komentarzy
Oldest
Newest Most Voted
Inline Feedbacks
Zobacz wszystkie komentarze
Don Q.
3 lat temu

Niedawno zepsuła mi się stara karta sim, miałem więc okazję przetestować, jak wygląda wyrobienie duplikatu. Odbyło się to bardzo sprawne, poszedłem do Plusa, pani zerknęła na dowód osobisty, wpisała do komputera pewnie pesel, zdziwiła się, że system podaje, że duplikat dostanę za darmo — i już po chwili otrzymałem nową, od razu działającą kartę. Niby fajnie, ale jednak chyba za fajnie, za szybko… Np. nie zauważyłem, by oryginalność dowodu osobistego była dokładnie sprawdzana (bo to wymaga choćby ruszania nim). Dziwi też, że skoro powiedziałem, że przyczyną wymiany jest awaria starej karty, to nie odebrano ode mnie tej uszkodzonej; z kolei… Czytaj więcej »

BdB
3 lat temu
Reply to  Maciej Samcik

Tyle, że od 1996 r. (w Polsce) core wymiany kart to utrata telefonu z SIM.

Co do sprawdzania dowodu to kolekcjonerski jest nie do odróżnienia, bo państwu na tym nie zależy.

Last edited 3 lat temu by BdB
anonymous
3 lat temu
Reply to  Maciej Samcik

To nie logiczne. Po co wysyłać SMS na starą kartę skoro jest niesprawna? W play starej nie chcą przy wymianie. Nowa działa po trzeh godzinach. SMS o tym że zlecono wymianę przychodzi na nową po tych trzech godzinach.

BdB
3 lat temu
Reply to  Maciej Samcik

Nawet zgubioną czy niedziałającą? Wysłać prośbę o potwierdzenie na skradzioną to dać decyzyjność złodziejowi.

BdB
3 lat temu
Reply to  Maciej Samcik

Napisał Pan „żeby można było potwierdzić zlecenie” czyli złodziej ma się zgodzić na dezaktywację karty w telefonie, który buchnął…

BdB
3 lat temu
Reply to  Maciej Samcik

Oszust pójdzie i powie, że zgubił kartę i dlatego chce ją wymienić. SMS więc będzie informacyjny, ale nie by cokolwiek potwierdzić.

Don Q.
3 lat temu
Reply to  anonymous

„Po co wysyłać SMS na starą kartę skoro jest niesprawna?”
— po to, by w przypadku, gdy duplikat wyrabia oszust korzystając z podrobionego dowodu osobistego właściciel karty dowiedział się o tym fakcie.

„Nowa działa po trzeh godzinach”
— jak napisałem: ta nowa karta Plusa działała od razu.

Pawel
3 lat temu

Panie Macieju, aplikacja bankowa może i to robi np Pekao oraz CA odczytuje (szczytuje:) numer imsi karty SIM (nternational Mobile Subscriber Identity) uprawnienie androida które można nadać aplikacji. Więc wymiana karty SIM na inną jest widziana przez aplikację bez udziału telekomu. Tylko z tego co wiem wybiegną karty SIM w Pekao nie niesie konsekwencji blokady konta.

Donn Q.
3 lat temu
Reply to  Pawel

Hmm, no nie wiem, zarówno konto w CA, jak i w Pekao założyłem „biometrycznie”, ale w obu podałem numer telefonu karty sim zupełnie nie związanej ze smartfonem używanym do rejestracji (mam taki bankowy numer w innym urządzeniu, którego nigdzie indziej nie podaję).

Paweł
3 lat temu
Reply to  Donn Q.

Chodziło mi że aplikacja weryfikuje numer imsi ale jak pisałem do niczego nie używa tej informacji

Don Q.
3 lat temu
Reply to  Paweł

Czyli nie weryfikuje. 😉

BdB
3 lat temu
Reply to  Pawel

Wymogiem musiałoby być trzymanie danej karty w danym telefonie, takiego wymagania jak na razie żaden bank nie stawia. W dodatku to przeszłoby tylko w Androidzie. W iOS da się sprawdzić tylko operatora i czy jest roaming, ale nie nr konkretnej karty.

Pawel
3 lat temu

Taka ciekawostka, Karta SIM zawiera dwie informacje: numer imsi – łatwo odczytać z karty SIM czytnikiem, telefonem itp oraz klucz Pk służący do autoryzacji kawy SIM w sieci. Pamiętam że około 20 lat temu jak były karty SIM starego typu jeszcze to domowym sposobem czytnikiem USB można było odczytać klucz pk i robiłem sobie kopie karty SIM, jednej używałem w telefonie drugi w modemie – dwie karty identyczne bez wiedzy operatora. Używałem ich wymiennie. Nie darmo się oczywiście równocześnie bo obie się chciały na przemian autoryzować i na przemian gubiły zasięg. Można było także mieć na jednej karcie SIM kilka… Czytaj więcej »

Last edited 3 lat temu by Pawel
Pawel
3 lat temu
Reply to  Maciej Samcik

Czasem tez nazywany jest ten klucz KI albo PK w zależności od wersji, link jak coś: https://www.emsec.ruhr-uni-bochum.de/media/crypto/attachments/files/2011/04/slides_sim_card_security.pdf
Taki mamo naukowy link

Ralf
3 lat temu
Reply to  Pawel

Dlatego wciąż trzymam swojego popa z ’99. Możliwość kopiowania karty jest bezcenna.
Operatorzy wymieniają karty bynajmniej nie ze względu na Twoje bezpieczeństwo. Gdyby tak było, to by ukrócili proceder z tego załącznika.

Marcin staly czytelnik
3 lat temu

Panie Macieju, jesli moge podrzucic temat na kolejny artykul to moze cos o spolkach ktore sa liderami w swoich branzach w USA? Na zamknietym forum inwestycyjnym na ktorym bywam duzo sie takich dyskusji przewija, wiec temat ma wziecie. Albo cos o branzach uwazanych za przyszlosciowe (przyklad spolka Carrier, ktora zajmuje sie systemami grzewczymi i klimatyzacja w czasach rosnacej urbanizacji i ocieplenia klimatu). Mysle, ze by sie klikalo a i chetnie przeczytam Pana zdanie.

BdB
3 lat temu

Tytuł to klikbajt, bo nie dotyczy Polski. U nas takiej integracji nie ma i nadzieja p Macieja, że łatwo to zbudować jest płonna – mamy w kraju kilkaset banków i kilkuset operatorów. Bez wymogu ustawowego to więc nie nastąpi.

Tymczasem ustawodawca na ważniejsze sprawy od SIM-swap czy oszustw na sam PESEL lub numer dokumentu.

BdB
3 lat temu
Reply to  BdB

Może ci co minusują podadzą kontrargumenty? Chętnie je poznam.

Aldek
3 lat temu
Reply to  BdB

Ja nie minusowałem, ale jak piszesz „kilkuset operatorów” to trochę poleciałeś w przestworza :)….Może stąd te minusy:P

BdB
3 lat temu

Millennium w Mozambiku miało szybciej bankowość internetową niż w Polsce…

~marcin
3 lat temu
Reply to  Maciej Samcik

Wystarczy „10 lat za Mozambiczanami”.

Kamil
3 lat temu

A może chce Pan napisać, jak bank Pekao 21.07 poinformował o wprowadzeniu opłaty za powiadomienia SMS, a następnie 05.08 pobrał opłatę za SMS z 02.07 (miesiące nie są pomylone). To jest 20 groszy, ale zachowanie tak żenujące, że aż ręce opadają.

Stef
3 lat temu

Czy posiadanie autoryzacji w aplikacji jest naprawdę zabezpieczeniem?

Jeśli złodziej zna hasło, login i ma nowa kartę sim to: wkłada ją do telefonu, instaluje apke np. Mbanku i dostaje telefon z banku z hasłem aktywacyjnym, teraz ma już komplet.? (poprawcie mnie jeśli się mylę). Więc to chyba żadne zabezpieczenie?

Ralf
3 lat temu

Znowu wracamy do dwóch kwestii, które wspierają tą patologię: – przestrzeganie prawa w Polsce i słabość instytucji państwowych; – obłędna pogoń za zyskiem. Gdyby praktyki związane z przetwarzaniem i wyciekami danych były tępione i karane potężnymi karami finansowymi, to problem by zniknął. No, ale skoro Tauronowi rozejdzie się po kościach ostatnia wpadka (a na to wygląda), to o czym my w ogóle mówimy? Nawet, gdybym miał 100% pewność, że tylko tam podałem swoje dane, które następnie wyciekły do Bociana, to udowodnienie tego procesowo i wyciągnięcie od Taurona odszkodowania jest niewykonalne. Dlatego instytucje państwowe nakładając karę (uzależnioną na przykład od obrotu… Czytaj więcej »

Don Q.
3 lat temu
Reply to  Ralf

„Wyświechtany tekst o zwalczaniu terroryzmu” — dobre! Szczególnie w tym kontekście: nierzadko utrudnia nam się życie powołując się na zwalczanie terroryzmu i prania pieniędzy, a nie jest problemem wyrobienie duplikatu sim na fałszywy dowód…

Łukasz
3 lat temu

Ciekawym rozwiązaniem jest wprowadzenie dodatkowych zabezpieczeń, np przy pomocy device fingerprint, wspartym biometrią behawioralną i biometrią pasywną. Wówczas z bardzo dużym prawdopodobieństwem można wyłapać, że jednorazowy SMS OTP jest wprowadzany przez potencjalnego oszusta.

Last edited 3 lat temu by Łukasz
nakreche
3 lat temu

wyobraźcie sobie scenariusz: kiedy złodziej ukradnie telefon z kartą i będzie chciał jej użyć w opisanych celach, a właściciel przybiegnie do operatora, powiadomi go, zażąda szybkiego duplikatu i zablokowania starej karty – a operator powie mu „hola, hola – stara karta jest przecież zalogowana, nie zablokujemy jej, proszę czekać 3 godziny.” i na dodatek zacznie ostrzegać złodzieja sms’ami.
dodatkowo niestety w dzisiejszych czasach deaktywujemy kod PIN na karcie – co jeszcze osłabia bezpieczeństwo w takim scenariuszu…
ciężko niestety zabezpieczyć wszystkie wektory ataku…

BdB
3 lat temu
Reply to  Maciej Samcik

Posiadaczem jest ten co posiada kartę, czyli złodziej 😉 Ale dajmy na to, że blokada jest zlecana przez właściciela numeru – idzie do salonu, zleca blokadę i chce mieć swój numer asap, bo firma, bo kontrahenci, bo dzieci, bo mama staruszka itd.

Don Q.
3 lat temu
Reply to  nakreche

Być może w przypadku wyrabiania duplikatu z powodu kradzieży telefonu powinno się przedstawiać zaświadczenie z policji? Nie wiem, ale może miałoby to sens, to już jednak formalna sprawa, gdzie składanie fałszywych zeznań niesie ze sobą konkretne konsekwencje prawne… Nie zapominaj też, że bardzo rzadko kradnie się kartę sim, dużo częściej chodzi o telefon. Właśnie w tym rzecz, jeśli złodzieje mają komplet danych jakiegoś bankowego klienta i brakuje im jego numeru telefonu, karty sim odbierającej bankowe sms — to raczej się nie zdarza, by telefon delikwentowi kradli to zresztą byłoby dużo łatwiejsze do wykrycia, niż wyrobienie duplikatu (w tym przypadku często… Czytaj więcej »

Last edited 3 lat temu by Don Q.
BdB
3 lat temu
Reply to  Don Q.

To zamiast kradzieży podstaw zagubienie. Właściwie czasem nie wiadomo czy doszło do jednego czy do drugiego.

Mroczny
3 lat temu

A mnie niedawno pani z banku Inteligo koniecznie chciała przekonać do przejścia z karty kodów jednorazowych na SMS-y i nie odpuszczała nawet wtedy, gdy podsyłałem jej linki, że w Niemczech bardzo krytycznie oceniają SMS-y.

Mroczny
3 lat temu
Reply to  Maciej Samcik

Jeśli zdrapka jest niebezpieczna, jeśli SMS i token są niebezpieczne, to jak można nazwać bezpiecznymi płatności internetowe za pomocą CVV2 ? Pozostaje tylko wiara, że przekazane dane nie trafiły do złodzieja?

Subiektywny newsletter

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślę ci powiadomienie o najważniejszych tematach dla twojego portfela. Otrzymasz też zestaw pożytecznych e-booków. Dla subskrybentów newslettera przygotowuję też specjalne wydarzenia (np. webinaria) oraz rankingi. Nie pożałujesz!

Kontrast

Rozmiar tekstu