W coraz większym stopniu najsłabszym ogniwem, jeśli chodzi o bezpieczeństwo naszych pieniędzy w bankach, stają się… firmy telekomunikacyjne. Okazuje się, że jest coraz więcej sposobów, by złodzieje z ich pomocą dobrali się do naszych pieniędzy. Ostatnio pomagałem znajomemu wymienić kartę SIM w telefonie. I przy okazji… prawie wyczyściłem mu konto
Co prawda na „Subiektywnie o finansach” ten manewr nie był jeszcze opisywany, ale przez internet ostatnio przetoczyła się fala artykułów o tym jak można okraść klienta banku nawet wtedy, gdy ten zdefiniuje sobie w bankowości elektronicznej najbezpieczniejszą zmianą formę autoryzacji – mobilną (czyli zatwierdzanie przelewów nie SMS-em, ale smartfonem, w aplikacji mobilnej banku).
- Wymarzony moment, żeby inwestować w fundusze obligacji? Podcast z Pawłem Mizerskim [POWERED BY UNIQA TFI]
- Nowe funkcje terminali płatniczych. Jak biometria zmieni świat naszych zakupów? [POWERED BY FISERV]
- BaseModel.ai od BNP Paribas: najbardziej zaawansowana odsłona sztucznej inteligencji we współczesnej bankowości!? [POWERED BY BNP PARIBAS]
Kradzież „na duplikat SIM”: na czym to polega?
Tak się złożyło, że nadarzyła mi się okazja, by osobiście sprawdzić czy opowieści krążące po internecie są prawdziwe. Czasem zdarza się, że producenci oprogramowania antywirusowego celowo nakręcają spiralę strachu żeby ich produkty się lepiej sprzedawały. I ostrzegają przed zagrożeniami, które są bardzo mało prawdopodobne. Ale nie, tym razem internet nie panikował. Zagrożenie jest prawdziwe.
Według serwisu Niebezpicznik.pl, który bodaj jako pierwszy nagłośnił sprawę, ta nowa formuła kradzieży polega na dwóch rzeczach: po pierwsze złodziej musi pozyskać login i hasło do konta, a po drugie – wyrobić w imieniu okradanego klienta duplikat jego karty SIM do telefonu.
Czytaj też: Niebezpiecznik.pl rozkłada na czynniki pierwsze kradzież „na duplikat” karty SIM
O co chodzi? Login i hasło jest oczywiście po to, by zalogować się na czyjeś konto, zaś duplikat karty SIM to nowy patent na przekierowanie autoryzacji przelewów na urzędzenie kontrolowane przez przestępców. W tym momencie nie ma już większego znaczenia jakiego sposobu autoryzowania przelewów używa ofiara – mając login, hasło i kartę SIM z numerem telefonu zdefiniowanym do kontaktu z bankiem można zrobić wszystko.
Jak zabawiłem się w złodzieja pieniędzy
Zdobycie danych do logowania znajomego nie było trudne. Poszedłem do niego z wiadomością, że słyszałem o nowej lokacie, na 4% rocznie, którą można założyć tylko przez internet. I czekałem na telefon. Zadzwonił nazajutrz i oświadczył, że nie może znaleźć. Zaoferowałem pomoc i powiedziałem, że pomogę mu poszukać. Przy mnie zalogował się na konto. Jak się domyślacie – nic nie znaleźliśmy. „Cóż, może to była oferta tylko do wczoraj?” – pożegnałem go.
Aha, przy okazji podwędziłem mu na chwilę dowód osobisty. Zapytałem czy ma jeszcze ważny, bo mi właśnie zablokowali konto z powodu utraty ważności mojego. Znajomy wyjął dowód z portfela, sprawdził, uspokoił się, że mu konta nie zablokują i odłożył dowód na półce (bo akurat byliśmy w trakcie poszukiwania nieistniejącej lokaty na 4%).
Z dowodem znajomego pobieglem do najbliższego punktu obsługi klienta jego operatora telekomunikacyjnego. Wybrałem najmłodszą pracownicę, licząc na to, że jako praktykantka nie będzie zbyt biegła w procedurach (gdyby „na stanie” był facet, wybrałbym jego – faceci są z natury mniej dokładni. A poza tym można ich zagadać, trzeba tylko ustalić czy kibicują Realowi, czy Barcelonie).
Polowanie na ofiarę w salonie telekomunikacyjnym
Namierzywszy w salonie „ofiarę” poprosiłem o wydanie duplikatu karty SIM, bo „starą zgubiłem”. Wypełniłem formularz, a gdy zostałem poproszony o dowód osobisty zacząłem nerwowo przeszukiwać kieszenie. „Zgubiłem… jeeeezu, chyba zgubiłem. Pani poczeka chwilę…, błagam”. I wybiegłem.
Rzecz działa się – zapewne nieprzypadkowo – tuż przed zamknięciem punktu obsługi telekomu. Gdy pracownicy chcą już iść do domu to nie są tak dokładni. Wróciłem po pięciu minutach, cały zdyszany, machając pani dowodem przed oczami. Pani była już w blokach startowych, więc wystarczyło jej, że sam porównałem dane wpisane do formularza z tymi z dowodu. Oj, jak ja dokładnie sprawdzałem… Żeby pani już nie musiała. Ale tylko z tej strony, gdzie nie było zdjęcia. „Zgadza się! Wszystko w porządku” – powiedziałem, a pani wydała przygotowany już duplikat.
Wystarczyły, że włożę kartę SIM do swojego smartfona, zaloguję się do konta bankowego znajomego, zlecę przelewy na moje konto. Pięć minut i pozamiatane. Oczywiście tego nie zrobiłem. Zaniosłem znajomemu kartę SIM i powiedziałem, żeby wymienił, bo stara może już nie działać. Dowód osobisty też mu oddałem, już nawet zaczął go szukać. Powiedziałem, że znalazłem przy wejściu.
A potem poszedłem do pubu żeby ochłonąć. Bo to naprawdę nie jest dobrze, gdy da się robić takie numery. To nie pierwszy patent, w którym słabym ogniwem jest telekom. Pamiętacie, niedawno opisywałem numer, w którym przez telefon złodzieje zlecali przekierowywanie połączeń na inny numer telefonu.
Jak się zabezpieczyć? Oczywiście powodem do natychmiastowego alarmu i telefonu do banku jest każda sytuacja, gdy telefon przestanie ci działać. Ale nie zawadzi też, jak sądzę, zamówić (choćby płatnie) potwierdzenia wszystkich transakcji na koncie. Ale niech spływają na drugi, rezerwowy telefon, a nie ten, który jest wykorzystywany do komunikacji z bankiem.
Tutaj więcej: o tym jak się zabezpieczyć przed kradzieżą „na duplikat” karty SIM
W zasadzie nie ma innego sposobu, by mieć absolutną pewność, że ktoś w twoim imieniu nie wyłudził od telekomu karty SIM. Oczywiście znaczenie ma też ochrona loginu i hasła do banku i nie szastanie w interencie numerem swojego telefonu. Nie bardzo wierzę w to, że telekomy staną się bardziej bezpieczne (choć podobno jest szansa, że regulator je do tego zmusi).
Czytaj w Cashless.pl: Urząd Komunikacji Elektronicznej do telekomów. „Zróbcie coś z kradzieżami na duplikat SIM!”. A telekomy: „nie możemy, bo klientom to się nie spodoba”
źródło zdjęć tytułowych: TheDigitalWay/AndrewBecks/Pixabay
