Co to jest kradzież „na kartę SIM”?
O sprawie poinformował serwis Niebezpiecznik. Do portalu zgłosił się klient, którego konto firmowe okradziono metodą „na kartę SIM". Jak to rozumieć? W dużym uproszczeniu: większość osób posiadających konta bankowe dokonuje przelewów potwierdzanych sms kodem. Metoda szybka i – wydawało by się – bezpieczna. Co jednak, gdyby sms kody wpadły w niepowołane ręce? W zasadzie nic, dopóki oszust nie zdobędzie danych logowania bankowości internetowej. Tu sprawa się komplikuje, ponieważ do opisywanych przez nas oszustw dochodziło również dlatego, że złodzieje znali dane logowania, dane osobowe, a w finale, zdobywali również karty SIM. Posiadanie danych osobowych, logowania i duplikatu karty SIM numeru przypisanego do otrzymywania sms kodów wystarczyło, by „wyczyścić” konta zamożnych klientów praktycznie do zera w kilka godzin. Złodzieje okradają konta bankowe na duplikaty SIM także za granicą, gdzie o sprawie było głośno już kilka lat temu.
Jak złodzieje okradają konta bankowe na duplikaty SIM?
W gruncie rzeczy proceder jest dość prosty: złodzieje zdobywają dane osobowe człowieka, którego zamierzają okraść. Tu pod wątpliwość można poddać fakt zdobywania wiedzy o zamożnych klientach. Być może w konkretnych placówkach banków „czynnik ludzki” monitoruje konta z dużymi oszczędnościami i udostępnia tę wiedzę dalej. Metody selekcji jak dotąd nie ustalono. Zdobycie danych teleadresowych nie jest skomplikowane, szczególnie, gdy ofiary prowadzą firmy. Następnie złodzieje zdobywali numery loginów i hasła klientów do bankowości elektronicznej. Ostatnim elementem było zdobycie duplikatu karty SIM.
Operacje „oczyszczania kont bankowych” wyglądają następująco: klient dostrzega, że coś dzieje się z jego telefonem – nie działa karta SIM. Zwykle przypisuje to awarii u operatora sieci komórkowej lub telefonu. W rzeczywistości karta jest zdezaktywowana, ponieważ oszust posiadający duplikat karty SIM właśnie go uaktywnił. W tym czasie loguje się do bankowości elektronicznej i z pomocą sms kodów przelewa na dowolne rachunki bankowe konkretne kwoty pieniędzy. Tym sposobem złodzieje okradają konta bankowe na duplikat SIM; nim klienci dostrzegą co się właściwie stało, ich rachunki świecą już pustkami.
Sprawdź polecane oferty
RRSO 21,36%
Czujny mBank
Opisywany przypadek dowodzi, że poszkodowany wraz z żoną miał dużo szczęścia. Uwagę mBanku zwrócił bowiem szereg operacji w krótkim czasie, na bardzo dużą kwotę łączną. Okradane konto należało do żony poszkodowanego i być może z uwagi na fakt, że bank nie dodzwonił się do właścicielki konta, postanowił skontaktować się z jej mężem. W tej konkretnej sytuacji pieniądze zostały przelane z mBanku do BOŚ, skąd miały trafić na giełdę kryptowalut BitBay. Dzięki błyskawicznej reakcji banku, pieniądze udało się jednak zatrzymać jeszcze w BOŚ. Współpraca między bankami okazała się niezwykle sprawna.
Jak złodzieje zdobywali dane logowania do bankowości elektronicznej
Jest to możliwe na kilka sposobów. Niebezpiecznik zwraca uwagę:
„Zauważmy, że w przypadku prawdziwych bankowych trojanów, po infekcji komputera ofiary, przestępca nie musi mieć dostępu do jego telefonu. W większości przypadków wystarczy atak “Man in the Browser”, czyli poczekanie aż ofiara będzie zlecała jakąś płatność i podmiana w tle kwoty i/lub rachunku docelowego. Wiąże się to z ryzykiem wpadki — mBank informuje w SMS o kwocie i rachunku docelowym transakcji. Być może przestępcy widząc spore sumy na koncie ofiary nie chcieli ryzykować wpadki i “spalenia” tak bogatego klienta?
Z kolei w przypadku phishingu, jeśli ofiara była na tyle naiwna, że podała login i hasło, to zazwyczaj na fałszywej stronie prosi się o przepisanie kodu z SMS i ofiary to robią (…) Taki atak wymaga w większości przypadków wymaga jednak ręcznej obsługi i być może przestępcy po wykradzeniu hasła prostu nie zdążyli zlecić transakcji i odebrać kodu z SMS.
Wreszcie, dane logowania można pozyskać po infekcji komputera zwykłym keyloggerem (nawet sprzętowym). A taki łatwo wgrać na firmowym komputerze. Być może (bo konto było firmowe) Grzegorz zalogował się na “cudzym” komputerze w firmie, albo nawet na takim do którego dostęp mieli klienci. To zresztą wcale nie musiał być komputer w firmie. Lobby hotelowe świetnie nadaje się na takie keyloggerowe instalacje.”
Okazuje się zatem, że wystarczy chwila nieuwagi, czy jednorazowe logowanie do bankowości elektronicznej na innym komputerze, by narazić się na zagrożenie utraty oszczędności.
Jak oszuści zdobywali karty SIM?
Paradoksalnie nie jest to trudne. W tym konkretnym przypadku złodziej posłużył się „kolekcjonerskim dowodem osobistym”, czyli po prostu podróbką, dzięki której uzyskał duplikat karty SIM w sieci Orange w Płocku. Co ciekawe, poszkodowany klient miał trudności w uzyskaniu informacji o tym gdzie złożono dyspozycję wydania duplikatu karty SIM. Udało mu się to ustalić dzięki „własnym znajomościom”, ponieważ pracownik salonu odmówił pomocy. W T-mobile wystarczyło natomiast upoważnienie notarialne od nieistniejącego notariusza, wraz z widniejącymi błędnymi danymi dowodów osobistych ofiar oszustwa. To, według pracownika T-mobile, uprawniało do uzyskania duplikatu karty SIM.
Czynnik ludzki
Złodzieje okradają konta bankowe na duplikaty SIM, ponieważ umożliwia im to zadziwiająca zawodność czynnika ludzkiego. Dotyczy to zarówno pracowników salonów operatorów sieci komórkowych, jak i – prawdopodobnie – pracowników banków. Pierwsi nieszczególnie drobiazgowo sprawdzają dane osobowe osób wyrabiających duplikaty SIM, drudzy być może uczestniczą w procederach. Należy jednak zwrócić uwagę na fakt, że na niebezpieczeństwo poszkodowani najczęściej narażają się na własne życzenie, udostępniając swoje dane bankowości elektronicznej, np. w odpowiedzi na podejrzane maile. W tym konkretnym przypadku klient odzyskał całą skradzioną kwotę w czasie krótszym niż 10 dni, co stawia mBank i BOŚ w znakomitym świetle.
Nie koniec kradzieży?
Wszystko wskazuje na to, że w najbliższym czasie liczba ofiar kradzieży „na SIM” może wzrosnąć. Niebezpiecznik cytuje wiadomość od anonimowego informatora, z dnia 12 lipca 2018 r (pisownia oryginalna):
„W Żywcu w dniu wczorajszym 7 osób zostało okradzione z pieniędzy. Zgłosił się do mnie klient któremu skradziono kilka set tysięcy z konta firmowego w mbanku. Wektor ataku jest ciekawy: u operatora sieci komórkowej wyrabiają duplikat karty SIM. Klientowi wyłącza się telefon – aktywuje się z duplikowana karta SIM. Po kilkudziesięciu minutach przychodzi informacja że komputer który połączył się z bankiem jest zainfekowany. Zaraz potem znikają pieniądze z konta.
Przelewy są robione na konto w Banku Ochrony Środowiska a następnie kupowane są bitcoiny. Sprawa została przejęta przez Policję Gospdarczą. Dzień później dostałem komputer do przeskanowania “bo są w nim wirusy”. Po przeskanowaniu znalazło 9 wirusów: 4 pliki z KMS od cracowania office reszta opisana jako “być może niepożądana aplikacja”. Skanowanie programem NOD32. Wątpię że komputer brał udział w pozyskaniu danych potrzebnych do ataku.”
Jak uchronić się przed kradzieżą?
Okazuje się, że nawet niemajętne osoby mogą stać się ofiara oszustów SIM. Za pośrednictwem duplikatu można bowiem dostać się również do kont na serwisach społecznościowych oraz wszelkich innych, na których elementem weryfikacji jest kod sms, bądź możliwość zresetowania hasła za pośrednictwem kodu z wiadomości sms. W związku z tym popularne serwisy społecznościowe, jak choćby Instagram, zdecydowały się wprowadzić nowy sposób autoryzacji, opierający się na aplikacji w telefonie, nie zaś – jak dotąd – na karcie SIM. Zwiększeniu bezpieczeństwa przysłuży się również ukrywanie numeru telefonu w rozmaitych serwisach społecznościowych.
Niebezpiecznik zwraca jednak uwagę na 3 aspekty:
- czujność w przypadku niedziałającej nagle karty SIM;
- alternatywę w postaci innego, nieoficjalnego numeru telefonu do wykonywania operacji bankowych;
- powiadomienia o transakcjach bankowych na telefon w aplikacji mobilnej banku (jeśli będzie w zasięgu Wi-Fi, prawdopodobnie zadziała mimo braku łączności SIM);
- ostrożność przed wirusami i szkodliwymi aplikacjami.
Warto również wrócić do sprawdzonych papierowych kodów lub korzystać z tokena.
Co zrobić gdy padniesz ofiarą kradzieży „na SIM”?
Przede wszystkim należy niezwłocznie poinformować o tym policję i bank. Ponieważ w przypadku zablokowania karty SIM wykonywanie połączeń jest niemożliwe, pozostaje skorzystanie z telefonu współmałżonka, dziecka, przyjaciela czy sąsiada. W pierwszej kolejności warto powiadomić policję. Złożone zeznania ułatwią postępowanie reklamacyjne w banku, co nie zawsze jest proste i oczywiste. W ciągu kilku ostatnich dni na Bezprawniku podnosiliśmy tematykę okołobankową (bank nie chce wypłacić środków po zmarłym czy wyłudzenia na PKO) i wszystko wskazuje na to, że w najbliższym czasie wrócimy do niej jeszcze niejednokrotnie.
