Głośno o „SIM-swap”. Tak się teraz okrada klientów banków

analityk Bankier.pl

Złodzieje mają kolejny skuteczny sposób na wyprowadzenie pieniędzy z rachunków klientów polskich banków. Wyrabiają duplikat karty SIM telefonu służącego do autoryzacji transakcji i zlecają przelewy na własne konto.

Do Polski dotarł przekręt na świecie od dawna znany jako „SIM swap fraud”. Jest to oszustwo polegające na podmianie karty SIM służącej do autoryzacji transakcji w systemach bankowości internetowej. Sprawę nagłośnił serwis Niebezpiecznik, który opisał przypadek jednego z klientów mBanku. Złodzieje wyrobili duplikat karty i wyprowadzili z jego konta kilkaset tysięcy złotych. Jednak dzięki szybkiej reakcji mBanku pieniądze udało się zablokować. Trafiły na rachunek w BOŚ, skąd miały trafić na giełdę kryptowalut. Zdaniem dziennikarzy Niebezpiecznika nie jest to pierwszy taki przypadek – klienci banków okradani są taką metodą co najmniej od pół roku.

(YAY Foto)

Jak można podmienić kartę SIM?

Okazuje się, że nie jest to niemożliwe, ale złodzieje muszą się do tego dobrze przygotować. Najpierw zbierają możliwie dużo informacji na temat ofiary. Część z nich pozyskują na przykład z serwisów społecznościowych. Potrzebują też loginu i hasła do bankowości internetowej. W tym celu wykorzystują phishing lub wirusy, które skutecznie wyciągają tego typu informacje. Po zalogowaniu się na rachunek swojej ofiary mogą pozyskać informacje na temat tego, jaki numer używany jest do wysyłania kodów SMS i zidentyfikować operatora telefonii komórkowej.

Potrzebny im będzie jeszcze dokument tożsamości ofiary. Tu mogą się posłużyć tzw. kolekcjonerskim dowodem osobistym, na który naniosą prawdziwe dane (np. z pozyskane z bankowości internetowej). Następnie udają się do salonu telefonii komórkowej, podając się za klienta i proszą o wymianę karty SIM, argumentując na przykład tym, że zgubili telefon. Następuje blokada starej karty i wydanie duplikatu. Ofiara zorientuje się, że coś nie gra dopiero, kiedy będzie chciała nawiązać połączenie telefoniczne – jej telefon przestanie działać. Wcześniej jednak złodzieje zdążą już wyczyścić rachunek.

Jak się okazuje, przekręt ten jest dobrze znany za granicą – zagraniczne serwisy ostrzegają przed nim już od kilku lat. Również tam mechanizm działania jest podobny.

Jak nie dać się oszukać?

(Bankier.pl)

Atak jest o tyle niebezpieczny, że dzieje się niejako za plecami ofiary – złodzieje podejmują próbę oszukania operatora telekomunikacyjnego. Operatorzy nie stosują natomiast bardzo restrykcyjnych metod w procesie wymiany karty SIM. Nie do końca może się więc przed takim atakiem skutecznie ochronić. Można jednak zminimalizować ryzyko. Co robić?

  • Nie udostępniaj wrażliwych danych w internecie. Pisaliśmy już o przypadkach udostępniania zdjęć praw jazdy, dowodów czy mandatów w serwisach społecznościowych. Takie dane można później nanieść na dowód kolekcjonerski.
  • Uważaj, co udostępniasz w serwisach społecznościowych. Zachowaj rozsądek przy korzystaniu z serwisów społecznościowych. Nie chwal się domem czy drogim samochodem. To wskazówka dla złodziei. Ustaw ograniczenia prywatności dla osób nieznajomych. Nie przyjmuj do grona znajomych obcych osób.
  • Chroń swój numer telefonu. Nie udostępniaj w sieci numeru telefonu, który powiązany jest z twoim kontem bankowym i służy do autoryzacji transakcji.
  • Nie instaluj w smartfonie aplikacji z nieznanych źródeł. Jedną z metod pozyskiwania wrażliwych informacji jest podrzucenie użytkownikowi wirusa. Szkodnik będzie próbował pozyskać login i hasło.
  • Uważaj na phishing i podejrzane załączniki. Oszuści próbują podstawić klientowi fałszywą stronę logowania do bankowości internetowej. Jeśli wpisze tam dane do logowania, to wpadną one w ręce hakerów. Złodzieje wykorzystują też wirusy do zainfekowania komputera. Taki wirus potrafi podsłuchiwać znaki wpisywane na klawiaturze lub przechwytywać loginy i hasła.
  • Nie udostępniaj wrażliwych informacji telefonicznie. Złodzieje stosują tzw. vishing – próby wyłudzania danych przez telefon. Podają się za pracownika banku i proszą o wrażliwe dane.
  • Ustaw powiadomienia o transakcjach na rachunku. Banki wysyłają SMS-y lub e-maile informujące o zdarzeniach na koncie. Aplikacje mobilne mają dodatkowo powiadomienia push.
  • Nie korzystaj z bankowości internetowej na obcych komputerach. Nie wiesz, czy nie ma na nich zainstalowanych wirusów lub innych programów wyciągających dane.
  • Jeśli zauważysz, że karta SIM przestała działać, skontaktuj się niezwłocznie z operatorem. Zaloguj się też do bankowości internetowej i sprawdź, czy nie ma podejrzanych transakcji.

Wojciech Boczoń

Źródło:

Newsletter Bankier.pl

Dodałeś komentarz Twój komentarz został zapisany i pojawi się na stronie za kilka minut.

Nowy komentarz

Anuluj
0 27 tomaszjk

Oszuści mogą mieć też swoich szeregach osoby, które pracującą w salonach sprzedaży telefonii komórkowej. Tak samo jak w firmach pożyczkowych. Wtedy kradzież na podrobione dokumenty jest o wiele łatwiejsza.

! Odpowiedz
3 15 fred_

Trzymajcie kase tylko na kontach pobocznych. Konto glowne jest tylko do odbiersnia wyplat. Po wyplacie od razu przelewajcie kase na konta oszczednosciowe.

! Odpowiedz
1 13 dziki_losos

I jak to ma pomóc?

! Odpowiedz
35 30 karbinadel

"przekręt ten jest dobrze znany za granicą " - czy to znaczy że inne państwa są równie głupie jak nasze, i pozwalają na produkcję i sprzedaż "kolekcjonerskich" dokumentów tożsamości? Nie wierzę

! Odpowiedz
1 35 kkk1111

ciekawi mnie dlaczego jest dozwolone wyrabianie tak zwanych dowodów a pewnie i paszportów prawo jazdy kolekcjonerskich takie dokumenty powinny byc wydawane tylko obywatelowi skladajcemu wniosek a tak złodzieje maja ułatwione działanie

! Odpowiedz
0 6 skasowane_konto

złoty żyrandol

! Odpowiedz
7 22 januszbizensu

Janusze co sami oddają swoje dane publicznie w internetach to powinni mieć obowiązkowo token, hasło odporne na tęczowe tablice, karte zdrapek, i dwa telefony na przelewy powyżej 1000zł. W innym wypadku nic ich nie uratuje.

! Odpowiedz
7 34 janusz26904029

Co za problem ukraść dane osobowe? Jeden nieuczciwy słabo opłacany pracownik zwykłej instytucji i już wyciekł twój pesel, adres, imię i nazwisko. Jak myślisz, że się zabezpieczyłeś, bo nie masz facebooka, to sam jesteś Januszem.

Janusz

! Odpowiedz
3 8 januszbizensu odpowiada janusz26904029

Implikacja była taka ,że skoro upubliczniasz swoje dane i tym bardziej numer telefonu to warto było skorzystać z innych opcji autoryzacji niż telefon.

! Odpowiedz
3 5 janusz26904029 odpowiada januszbizensu

W momencie jak ukradli przez phishing twoje hasło do banku, to tam te podstawowe dane po prostu są i już nie trzeba ich szukać na serwisie społecznościowym: imię, nazwisko, adres, numer dowodu, telefonu.

Nawet jest w artykule "prawdziwe dane (np. z pozyskane z bankowości internetowej)".

! Odpowiedz

Do rozliczenia PIT 2018 zostało:

WCZYTAJ TWÓJ E-PIT