6 września 2018

Prawie okradłem znajomego ze wszystkich pieniędzy. Nowy patent niestety zadziałał jak złoto. Jak się bronić?

W coraz większym stopniu najsłabszym ogniwem, jeśli chodzi o bezpieczeństwo naszych pieniędzy w bankach, stają się… firmy telekomunikacyjne. Okazuje się, że jest coraz więcej sposobów, by złodzieje z ich pomocą dobrali się do naszych pieniędzy. Ostatnio pomagałem znajomemu wymienić kartę SIM w telefonie. I przy okazji… prawie wyczyściłem mu konto

Co prawda na „Subiektywnie o finansach” ten manewr nie był jeszcze opisywany, ale przez internet ostatnio przetoczyła się fala artykułów o tym jak można okraść klienta banku nawet wtedy, gdy ten zdefiniuje sobie w bankowości elektronicznej najbezpieczniejszą zmianą formę autoryzacji – mobilną (czyli zatwierdzanie przelewów nie SMS-em, ale smartfonem, w aplikacji mobilnej banku).

Kradzież „na duplikat SIM”: na czym to polega?

Tak się złożyło, że nadarzyła mi się okazja, by osobiście sprawdzić czy opowieści krążące po internecie są prawdziwe. Czasem zdarza się, że producenci oprogramowania antywirusowego celowo nakręcają spiralę strachu żeby ich produkty się lepiej sprzedawały. I ostrzegają przed zagrożeniami, które są bardzo mało prawdopodobne. Ale nie, tym razem internet nie panikował. Zagrożenie jest prawdziwe.

Według serwisu Niebezpicznik.pl, który bodaj jako pierwszy nagłośnił sprawę, ta nowa formuła kradzieży polega na dwóch rzeczach: po pierwsze złodziej musi pozyskać login i hasło do konta, a po drugie – wyrobić w imieniu okradanego klienta duplikat jego karty SIM do telefonu.

Czytaj też: Niebezpiecznik.pl rozkłada na czynniki pierwsze kradzież „na duplikat” karty SIM

O co chodzi? Login i hasło jest oczywiście po to, by zalogować się na czyjeś konto, zaś duplikat karty SIM to nowy patent na przekierowanie autoryzacji przelewów na urzędzenie kontrolowane przez przestępców. W tym momencie nie ma już większego znaczenia jakiego sposobu autoryzowania przelewów używa ofiara – mając login, hasło i kartę SIM z numerem telefonu zdefiniowanym do kontaktu z bankiem można zrobić wszystko.

Jak zabawiłem się w złodzieja pieniędzy

Zdobycie danych do logowania znajomego nie było trudne. Poszedłem do niego z wiadomością, że słyszałem o nowej lokacie, na 4% rocznie, którą można założyć tylko przez internet. I czekałem na telefon. Zadzwonił nazajutrz i oświadczył, że nie może znaleźć. Zaoferowałem pomoc i powiedziałem, że pomogę mu poszukać. Przy mnie zalogował się na konto. Jak się domyślacie – nic nie znaleźliśmy. „Cóż, może to była oferta tylko do wczoraj?” – pożegnałem go.

Aha, przy okazji podwędziłem mu na chwilę dowód osobisty. Zapytałem czy ma jeszcze ważny, bo mi właśnie zablokowali konto z powodu utraty ważności mojego. Znajomy wyjął dowód z portfela, sprawdził, uspokoił się, że mu konta nie zablokują i odłożył dowód na półce (bo akurat byliśmy w trakcie poszukiwania nieistniejącej lokaty na 4%).

Z dowodem znajomego pobieglem do najbliższego punktu obsługi klienta jego operatora telekomunikacyjnego. Wybrałem najmłodszą pracownicę, licząc na to, że jako praktykantka nie będzie zbyt biegła w procedurach (gdyby „na stanie” był facet, wybrałbym jego – faceci są z natury mniej dokładni. A poza tym można ich zagadać, trzeba tylko ustalić czy kibicują Realowi, czy Barcelonie).

Polowanie na ofiarę w salonie telekomunikacyjnym

Namierzywszy w salonie „ofiarę” poprosiłem o wydanie duplikatu karty SIM, bo „starą zgubiłem”. Wypełniłem formularz, a gdy zostałem poproszony o dowód osobisty zacząłem nerwowo przeszukiwać kieszenie. „Zgubiłem… jeeeezu, chyba zgubiłem. Pani poczeka chwilę…, błagam”. I wybiegłem.

Rzecz działa się – zapewne nieprzypadkowo – tuż przed zamknięciem punktu obsługi telekomu. Gdy pracownicy chcą już iść do domu to nie są tak dokładni. Wróciłem po pięciu minutach, cały zdyszany, machając pani dowodem przed oczami. Pani była już w blokach startowych, więc wystarczyło jej, że sam porównałem dane wpisane do formularza z tymi z dowodu. Oj, jak ja dokładnie sprawdzałem… Żeby pani już nie musiała. Ale tylko z tej strony, gdzie nie było zdjęcia. „Zgadza się! Wszystko w porządku” – powiedziałem, a pani wydała przygotowany już duplikat.

Wystarczyły, że włożę kartę SIM do swojego smartfona, zaloguję się do konta bankowego znajomego, zlecę przelewy na moje konto. Pięć minut i pozamiatane. Oczywiście tego nie zrobiłem. Zaniosłem znajomemu kartę SIM i powiedziałem, żeby wymienił, bo stara może już nie działać. Dowód osobisty też mu oddałem, już nawet zaczął go szukać. Powiedziałem, że znalazłem przy wejściu.

A potem poszedłem do pubu żeby ochłonąć. Bo to naprawdę nie jest dobrze, gdy da się robić takie numery. To nie pierwszy patent, w którym słabym ogniwem jest telekom. Pamiętacie, niedawno opisywałem numer, w którym przez telefon złodzieje zlecali przekierowywanie połączeń na inny numer telefonu.

Czytaj też: Telekom może pomóc złodziejom okraść cię z pieniędzy na koncie. A jak? Dzwoniąc na infolinię i przekierowując połączenia

Jak się zabezpieczyć? Oczywiście powodem do natychmiastowego alarmu i telefonu do banku jest każda sytuacja, gdy telefon przestanie ci działać. Ale nie zawadzi też, jak sądzę, zamówić (choćby płatnie) potwierdzenia wszystkich transakcji na koncie. Ale niech spływają na drugi, rezerwowy telefon, a nie ten, który jest wykorzystywany do komunikacji z bankiem.

Tutaj więcej: o tym jak się zabezpieczyć przed kradzieżą „na duplikat” karty SIM

W zasadzie nie ma innego sposobu, by mieć absolutną pewność, że ktoś w twoim imieniu nie wyłudził od telekomu karty SIM. Oczywiście znaczenie ma też ochrona loginu i hasła do banku i nie szastanie w interencie numerem swojego telefonu. Nie bardzo wierzę w to, że telekomy staną się bardziej bezpieczne (choć podobno jest szansa, że regulator je do tego zmusi).

Czytaj w Cashless.pl: Urząd Komunikacji Elektronicznej do telekomów. „Zróbcie coś z kradzieżami na duplikat SIM!”. A telekomy: „nie możemy, bo klientom to się nie spodoba”

źródło zdjęć tytułowych: TheDigitalWay/AndrewBecks/Pixabay

 

23
Dodaj komentarz

avatar
12 Comment threads
11 Thread replies
0 Followers
 
Most reacted comment
Hottest comment thread
16 Comment authors
RSTMatiAndrzejMaciej SamcikSamozl0 Recent comment authors
  Subscribe  
najnowszy najstarszy oceniany
Powiadom o
Pibloq
Gość
Pibloq

Panie Macieju, artykuł jest tendencyjny.
Zakładam, że znajomy ma do Pana minimalne zaufanie i nie zachowywalby sie podobnie rozmawiając z nieznajomym. Poza tym większość banków wymaga hasła maskowanego, podgladajac proces logowania mógł Pan poznać co najwyżej połowę znaków z hasła.
Jak dla mnie, historia wydumana.
To wyludzenie podobne do metody na wnuczka… Nigdy nie uszczelnimy systemu na 100 proc. Najslabszym ogniwem jest człowiek i żerowanie na emocjach, zaufaniu, relacjach itd.

Marcin
Gość
Marcin

Może wystarczyłaby możliwość wysyłania kodów autoryzacyjnych nie otwartym tekstem na SMS, tylko na szyfrowany komunikator (np Signal)?

Jacek
Gość
Jacek

Fajnego mają znajomego ci Pańscy znajomi 😉 Na poważnie, jednak pomijając kwestie sposobu pozyskania loginu i hasła oraz samego dowodu osobistego, to sprawa jest kłopotliwa i możliwa do przeprowadzenia. Znam osoby, które skan swojego dowodu trzymają zaszyfrowane w chmurze (!) i śpią spokojnie nie wiem dlaczego.

aggg
Gość
aggg

Ta fikcja (bo wątpię by autor bloga to faktycznie zrobił) niestety w innych przypadkach jest realna i to w Polsce – opisał ją niebezpiecznik.pl: https://niebezpiecznik.pl/post/duplikat-karty-sim-kradziez-bank-mbank-bzwbk/

Sauk
Gość
Sauk

Wow! Często narzekamy tutaj na banki, ale w tym przypadku mBankowi i BOŚ (pierwsza z opisywanych historii) należą się gratulacje. Czujność pracownika, reakcja w ciągu kilkudziesięciu minut, uratowały duże pieniądze.

golem_t
Gość
golem_t

A co by się stało gdyby Pani się jednak odkryła by że zdjęcie nie pasuje do facjaty klienta? Pewnie w Wiadomościach byłby reportaż „Dziennikarz ekonomiczny Gazety Wyborczej próbował posługiwać się cudzym dowodem ” autorstwa jakiegoś węża czy innego gada.
A tak na poważnie – Szanowny Autorze może jakiś prawnik wypowiedziałby się jaka jest szansa na odzyskanie pieniędzy od Telcom-u w takim wypadku. Wszak to jego pracownik zawalił. Jeśli mała to procedury Telcom-ów nie ulegną zmianie.

Przezorny
Gość
Przezorny

Łojezu, ale luuuuka w systemie. Z tej instrukcji może skorzystać nawet przedszkolak! Zaraz rozkradną nam cały kraj!

Musimy prędko wprowadzić wymóg, by ekspedient w salonie operatora, banku i spożywczaku sprawdzali na dzień dobry odcisk oka, skan ucha i poświadczone notarialnie poświadczenie notarialne, że my to my. No i nie zapominajmy o przesłuchaniu 7 niespokrewnionych świadków. A kto się nie zgadza, tego siup do ciupy.

tylko_gotowka
Gość
tylko_gotowka

1: telefon tylko do autoryzacji kodami z SMSów włączany tylko na czas autoryzacji, 2: osobny e-mail dla banku, 3: konto podstawowy rachunek płatniczy, gdzie nie ma produktów kredytowych, 4: całkowita rezygnacja z płatności kartą i innych elektronicznych (tylko gotówka), 5: „osad” na koncie 10 zł, 6: żadnych produktów inwestycyjnych, 7: zasoby (złoto, waluty) w skrytce depozytowej, 8: sejf mocowany do ściany w domu.

Przezorny
Gość
Przezorny

W punkcie 5 zrobiłeś błąd. Gotówkę może ktoś podrobić, dlatego płacić należy twardą walutą. Np. workami ziemniaków.

dfdsf
Gość
dfdsf

Wiesz, że smsy można przejąć i bez karty sim? Bez żadnego wirusa, trojana w telefonie. Wymaga trochę zachodu i gotówki ale niektóre grupy przestępcze za granicą już to robiły. Dlatego sensowne firmy wycofują się z autoryzacji smsowych na rzecz aplikacji lub autoryzacji wykorzystujących TOTP/HOTP.

Tu do poczytania:
https://zaufanatrzeciastrona.pl/post/klienci-niemieckich-bankow-okradzeni-przez-przekierowanie-wiadomosci-sms/
https://motherboard.vice.com/en_us/article/xyezmn/we-were-warned-about-flaws-in-the-mobile-data-backbone-for-years-now-2fa-is-screwed

Grzegorz
Gość
Grzegorz

Czyli jezeli nie dam nikomu jednej z trzech rzeczy: dowód osobisty, login do konta lub hasła to jestem bezpieczny. Chyba zaakceptuje takie ryzyko

ola
Gość
ola

wykorzystał zaufanie znajomego i chwali się tym na blogu – czy wymyślone z palca? strach mieć pan za „znajomego”, wprowadza w błąd i jeszcze okraść dla zabawy chce..

Samozl0
Gość
Samozl0

Takie działania powinny byc karalne!
Nie ważne czy Pan to zrobił bawiac sie w „dziennikarstwo sledcze”, czy ktos chcial faktycznie kogos okrasc.
„Zabawy” w podobne „prowokacje” powinny byc karalne, bo w koncu sie okaze, ze kazdy przylapany zlodziej bedzie sie tlumaczyl, ze on tylko chcial ujawnic nieszczelnosc systemu.
„Prowokacje” powinny bys zarezerwowane jedynie dla waskiej grupy służb a cala reszta powinna byc traktowana jak przestepcy.
Moim zdaniem dziennikarze na za duzo sobie pozwalaja.

Andrzej
Gość
Andrzej

Wymieniałem ostatnio swojego SIMa (zmiana telefonu, stary nie pasował) w sieci Play.
Salon salonem (dowód, numer itp), ale zanim staty telefon zamilkł, dostał jeszcze SMSa, że został złożony wniosek o wymianę. Więc jakieś powiadomienie jest…

Mati
Gość
Mati

Dawno, dawno temu było więcej możliwości 🙂 Pamiętam, że jeszcze w okolicach 2003roku można było własnoręcznie skopiować kartę SIM poprzez błąd w technologii samej karty, wystarczyło mieć ją fizycznie przez 30min. Taka karta działała na przemiennie, tj. część wiadomości docierała do oryginału a część do kopii. Mimo wszystko do tego trzeba by znać login i hasło więc nie jest tak kolorowo

Subiektywny newsletter

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślę ci powiadomienie o najważniejszych tematach dla twojego portfela. Otrzymasz też zestaw pożytecznych e-booków. Dla subskrybentów newslettera przygotowuję też specjalne wydarzenia (np. webinaria) oraz rankingi. Nie pożałujesz!

Zamknij
social-facebook social-feed social-google social-twitter social-instagram social-youtube social-linkedin social-rss