Co to jest kradzież „na kartę SIM”?
O sprawie poinformował serwis Niebezpiecznik. Do portalu zgłosił się klient, którego konto firmowe okradziono metodą „na kartę SIM". Jak to rozumieć? W dużym uproszczeniu: większość osób posiadających konta bankowe dokonuje przelewów potwierdzanych sms kodem. Metoda szybka i – wydawało by się – bezpieczna. Co jednak, gdyby sms kody wpadły w niepowołane ręce? W zasadzie nic, dopóki oszust nie zdobędzie danych logowania bankowości internetowej. Tu sprawa się komplikuje, ponieważ do opisywanych przez nas oszustw dochodziło również dlatego, że złodzieje znali dane logowania, dane osobowe, a w finale, zdobywali również karty SIM. Posiadanie danych osobowych, logowania i duplikatu karty SIM numeru przypisanego do otrzymywania sms kodów wystarczyło, by „wyczyścić” konta zamożnych klientów praktycznie do zera w kilka godzin. Złodzieje okradają konta bankowe na duplikaty SIM także za granicą, gdzie o sprawie było głośno już kilka lat temu.
Jak złodzieje okradają konta bankowe na duplikaty SIM?
W gruncie rzeczy proceder jest dość prosty: złodzieje zdobywają dane osobowe człowieka, którego zamierzają okraść. Tu pod wątpliwość można poddać fakt zdobywania wiedzy o zamożnych klientach. Być może w konkretnych placówkach banków „czynnik ludzki” monitoruje konta z dużymi oszczędnościami i udostępnia tę wiedzę dalej. Metody selekcji jak dotąd nie ustalono. Zdobycie danych teleadresowych nie jest skomplikowane, szczególnie, gdy ofiary prowadzą firmy. Następnie złodzieje zdobywali numery loginów i hasła klientów do bankowości elektronicznej. Ostatnim elementem było zdobycie duplikatu karty SIM.
Operacje „oczyszczania kont bankowych” wyglądają następująco: klient dostrzega, że coś dzieje się z jego telefonem – nie działa karta SIM. Zwykle przypisuje to awarii u operatora sieci komórkowej lub telefonu. W rzeczywistości karta jest zdezaktywowana, ponieważ oszust posiadający duplikat karty SIM właśnie go uaktywnił. W tym czasie loguje się do bankowości elektronicznej i z pomocą sms kodów przelewa na dowolne rachunki bankowe konkretne kwoty pieniędzy. Tym sposobem złodzieje okradają konta bankowe na duplikat SIM; nim klienci dostrzegą co się właściwie stało, ich rachunki świecą już pustkami.
Sprawdź polecane oferty
RRSO 20,77%
Czujny mBank
Opisywany przypadek dowodzi, że poszkodowany wraz z żoną miał dużo szczęścia. Uwagę mBanku zwrócił bowiem szereg operacji w krótkim czasie, na bardzo dużą kwotę łączną. Okradane konto należało do żony poszkodowanego i być może z uwagi na fakt, że bank nie dodzwonił się do właścicielki konta, postanowił skontaktować się z jej mężem. W tej konkretnej sytuacji pieniądze zostały przelane z mBanku do BOŚ, skąd miały trafić na giełdę kryptowalut BitBay. Dzięki błyskawicznej reakcji banku, pieniądze udało się jednak zatrzymać jeszcze w BOŚ. Współpraca między bankami okazała się niezwykle sprawna.
Jak złodzieje zdobywali dane logowania do bankowości elektronicznej
Jest to możliwe na kilka sposobów. Niebezpiecznik zwraca uwagę:
Okazuje się zatem, że wystarczy chwila nieuwagi, czy jednorazowe logowanie do bankowości elektronicznej na innym komputerze, by narazić się na zagrożenie utraty oszczędności.
Jak oszuści zdobywali karty SIM?
Paradoksalnie nie jest to trudne. W tym konkretnym przypadku złodziej posłużył się „kolekcjonerskim dowodem osobistym”, czyli po prostu podróbką, dzięki której uzyskał duplikat karty SIM w sieci Orange w Płocku. Co ciekawe, poszkodowany klient miał trudności w uzyskaniu informacji o tym gdzie złożono dyspozycję wydania duplikatu karty SIM. Udało mu się to ustalić dzięki „własnym znajomościom”, ponieważ pracownik salonu odmówił pomocy. W T-mobile wystarczyło natomiast upoważnienie notarialne od nieistniejącego notariusza, wraz z widniejącymi błędnymi danymi dowodów osobistych ofiar oszustwa. To, według pracownika T-mobile, uprawniało do uzyskania duplikatu karty SIM.
Czynnik ludzki
Złodzieje okradają konta bankowe na duplikaty SIM, ponieważ umożliwia im to zadziwiająca zawodność czynnika ludzkiego. Dotyczy to zarówno pracowników salonów operatorów sieci komórkowych, jak i – prawdopodobnie – pracowników banków. Pierwsi nieszczególnie drobiazgowo sprawdzają dane osobowe osób wyrabiających duplikaty SIM, drudzy być może uczestniczą w procederach. Należy jednak zwrócić uwagę na fakt, że na niebezpieczeństwo poszkodowani najczęściej narażają się na własne życzenie, udostępniając swoje dane bankowości elektronicznej, np. w odpowiedzi na podejrzane maile. W tym konkretnym przypadku klient odzyskał całą skradzioną kwotę w czasie krótszym niż 10 dni, co stawia mBank i BOŚ w znakomitym świetle.
Nie koniec kradzieży?
Wszystko wskazuje na to, że w najbliższym czasie liczba ofiar kradzieży „na SIM” może wzrosnąć. Niebezpiecznik cytuje wiadomość od anonimowego informatora, z dnia 12 lipca 2018 r (pisownia oryginalna):
Jak uchronić się przed kradzieżą?
Okazuje się, że nawet niemajętne osoby mogą stać się ofiara oszustów SIM. Za pośrednictwem duplikatu można bowiem dostać się również do kont na serwisach społecznościowych oraz wszelkich innych, na których elementem weryfikacji jest kod sms, bądź możliwość zresetowania hasła za pośrednictwem kodu z wiadomości sms. W związku z tym popularne serwisy społecznościowe, jak choćby Instagram, zdecydowały się wprowadzić nowy sposób autoryzacji, opierający się na aplikacji w telefonie, nie zaś – jak dotąd – na karcie SIM. Zwiększeniu bezpieczeństwa przysłuży się również ukrywanie numeru telefonu w rozmaitych serwisach społecznościowych.
Niebezpiecznik zwraca jednak uwagę na 3 aspekty:
- czujność w przypadku niedziałającej nagle karty SIM;
- alternatywę w postaci innego, nieoficjalnego numeru telefonu do wykonywania operacji bankowych;
- powiadomienia o transakcjach bankowych na telefon w aplikacji mobilnej banku (jeśli będzie w zasięgu Wi-Fi, prawdopodobnie zadziała mimo braku łączności SIM);
- ostrożność przed wirusami i szkodliwymi aplikacjami.
Warto również wrócić do sprawdzonych papierowych kodów lub korzystać z tokena.
Co zrobić gdy padniesz ofiarą kradzieży „na SIM”?
Przede wszystkim należy niezwłocznie poinformować o tym policję i bank. Ponieważ w przypadku zablokowania karty SIM wykonywanie połączeń jest niemożliwe, pozostaje skorzystanie z telefonu współmałżonka, dziecka, przyjaciela czy sąsiada. W pierwszej kolejności warto powiadomić policję. Złożone zeznania ułatwią postępowanie reklamacyjne w banku, co nie zawsze jest proste i oczywiste. W ciągu kilku ostatnich dni na Bezprawniku podnosiliśmy tematykę okołobankową (bank nie chce wypłacić środków po zmarłym czy wyłudzenia na PKO) i wszystko wskazuje na to, że w najbliższym czasie wrócimy do niej jeszcze niejednokrotnie.
