Duplikat karty SIM – uwaga na nowe oszustwo

Poszczególne przypadki kradzieży środków metodą SIM swap ujawnił serwis Niebezpiecznik. Redakcja dotarła do oszukanych klientów i przedstawiła ich historie, dzięki czemu można było poznać sposób działania oszustów. Okazuje się, że szajka oszustów prawdopodobnie działa na terenie Polski już od jakiegoś czasu. Na pierwszy rzut oka oszustwo jest podobne do metody wyłudzenia – vishingu, jednak w rzeczywistości istnieje między nimi wiele różnic.

Konta bankowości internetowej zabezpieczane są w różne sposoby, ale większość z nich da się obejść. Aby metoda SIM swap była skuteczna, złodzieje muszą znać login i hasło danej osoby dużo wcześniej, niż w chwili włączenia nowej karty SIM w celu autoryzacji transakcji.

Okazuje się, że wykradzenie danych logowania nie jest takie trudne – przynajmniej nie we wszystkich bankach. Jeden ze złodziei w celu „odzyskania hasła” musiał podać jedynie trzy pierwsze cyfry PESEL-u danej osoby, jej adres do korespondencji i odpowiedzieć w jaki sposób autoryzowane są przelewy – przez SMS, czy przez token. Popularne oszustwa umożliwiają także zaciągnięcie zobowiązań, takich jak np. pożyczka na PESEL. Zarówno PESEL, jak i adres korespondencyjny tej osoby można było łatwo znaleźć w internecie, ponieważ widniały w publicznym rejestrze danych. Odpowiedź na trzecie pytanie była wręcz formalnością. Sytuacja ta miała miejsce w BZ WBK.

Redakcja Niebezpiecznika opisała kuriozalną sytuację, w której córka ofiary wyłudzenia metodą SIM swap sama w dobrej wierze takiego wyłudzenia dokonała, co gorsza – zrobiła to bez większego problemu. Kiedy matka zorientowała się, że jej karta SIM przestała być aktywna, automatycznie poprosiła swoją córkę o wyrobienie nowej. Kobieta przebywała wtedy za granicą, dlatego nie mogła tej sprawy załatwić osobiście.

Córka przez telefon podała się w t-Mobile za swoją matkę i poprosiła o przesłanie nowej karty SIM. W pracowniku infolinii żadnych podejrzeń nie wzbudził fakt, że karta jest zamawiana na adres w ogóle nie związany z kobietą (córka zamawiała kartę na swoją firmę). Co więcej – przy odbiorze przesyłki córka nie musiała nawet okazywać dowodu tożsamości, więc tak naprawdę każda inna niespokrewniona z matką osoba mogła wyrobić sobie nową kartę SIM w jej imieniu bez większego problemu. Należy pamiętać, że istnieją także inne sposoby na wyłudzenie danych, między innymi spoofing.

Najłatwiej powiedzieć, że w obecnej sytuacji wyjątkowe środki ostrożności powinni zastosować operatorzy, by zmniejszyć ryzyko wydania duplikatu karty SIM niewłaściwej osobie. Niestety na to nie mamy wpływu – możemy jedynie zminimalizować ryzyko i w razie ewentualnego ataku być przygotowani na szybką reakcję.

Nie otwierać podejrzanych wiadomości.

Dotyczy to zarówno wiadomości e-mail, jak i SMS, ponieważ w obu typach mogą być przesyłane różne linki. Samo kliknięcie w link może spowodować zainstalowanie w komputerze lub telefonie wirusa, który będzie śledził nasze ruchy w sieci i będzie mógł wykraść dane, które wpiszemy na swojej stronie logowania do bankowości internetowej. Podejrzane e-maile i SMS-y najlepiej od razu usuwać – bez otwierania. Przykładem może być oszustwo na SMS z niedopłatą.

Uważać na podejrzane rozmowy telefoniczne.

Złodzieje podjęli także próby wyłudzenia danych przez telefon poprzez podanie się za pracownika Banku. Mogą brzmieć wiarygodnie, prosić o login i hasło pod pretekstem uaktualnienia naszego konta bankowości internetowej. Musimy jednak pamiętać, że prawdziwy bank lub operator sieciowy nigdy nie poprosiłby o podanie takich danych przez telefon, ponieważ podlegają one ochronie. Innym przykładem może być oszustwo na policjanta. W tym celu przestępcy także wykorzystują rozmowy telefoniczne.

Włączyć powiadomienia o transakcjach na naszym koncie.

Włączenie powiadomień pomoże nam śledzić na bieżąco sytuację na koncie. Warto wybrać e-mailową formę powiadomień, ponieważ jeżeli złodzieje wyrobią nową kartę SIM, to ewentualne SMS-y z powiadomieniem o niechcianej transakcji przyjdą już nie na nasz, ale na ich telefon.

Nie korzystać z bankowości internetowej w miejscach publicznych.

Komputery są często dostępne w bibliotekach albo sklepach rtv/agd. Niektórzy ludzie pilnie potrzebujący przelania środków logują się na swoje konta nie mając na uwadze, że w takim komputerze może być zainstalowane oprogramowanie śledzące ruchy użytkownika. Jeżeli z komputera może skorzystać każdy, to tak samo każdy może go zainfekować, a my możemy stać się przypadkowymi ofiarami kradzieży danych. Konsekwencją może być nawet kradzież środków lub zaciągnięcie zobowiązania, takiego jak np. kredyt dla zadłużonych.

Chronić swój numer telefonu.

Najlepiej odłączyć go od wszystkich kont internetowych i nie podawać w informacjach o sobie we wszelkiego rodzaju mediach społecznościowych. Oszuści mogą wykorzystać ten numer w celu autoryzacji transakcji, a my sami pomożemy im w ustaleniu tego, do kogo dany numer należy.