13:09
4/10/2021

Mamy wrażenie, że bezpieczeństwo wydawania duplikatów kart SIM obchodzi tylko dwie grupy ludzi: ofiary oszustw oraz speców od bezpieczeństwa. Dlatego dobrze, że przedstawiono propozycje rozwiązania problemu poprzez nałożenie pewnych obowiązków na telekomy. Szkoda tylko, że nie zrobiono tego w Polsce.

Oszustwa z wyłudzeniami kart SIM nie są może bardzo częste, ale  szkody po stronie ofiar są znaczne. Świadomość problemu niby rośnie, a z drugiej strony co jakiś czas trafiamy na luki w procedurach wydawania kart SIM. Pisaliśmy kiedyś o tym, jak to w Mozambiku systemowo rozwiązano problem tzw. SIM swapingu, ale nie w każdym kraju da się zrobić podobnie np. z powodu zasad ochrony danych (które paradoksalnie również chronią nas przed wyłudzeniami kart).

Wyzwanie w tym zakresie podjęła amerykańska Federalna Komisja Łączności (FCC), która opublikowała propozycje nowych zasad mających przeciwdziałać takim oszustwom. Radzimy zajrzeć od razu do oryginalnego dokumentu Komisji, na którego 45 stronach nie tylko zaproponowano regulacje, ale też przedstawiono dogłębny opis problemu. Sami od lat dostrzegamy, że o SIM swapingu wiemy po prostu za mało. Telekomy nie ujawniają skali zjawiska i nie wiadomo czy ją monitorują. Ofiary tego rodzaju przestępstw nie zawsze wiedzą co się stało, jak powinny reagować i o czym rozmawiać z policjantami. Pracownicy operatorów też nie mają świadomości zagrożenia i potrafią mniej lub bardziej świadomie pomijać procedury z myślą o wygodzie klienta. Wiemy to, bo próbowaliśmy wyłudzać karty SIM (w kontrolowanych warunkach).

Gdzie właściwie jest problem?

FCC przeanalizowała problem uwzględniając nie tylko skargi spływające do FTC, czyli “siostrznej” agencji odpowiadającej za prawa konsumentów. Wczytała się także w wyniki badań Princeton University, w ramach których przeanalizowano możliwość uzyskania duplikatu karty SIM na 50 kontach abonenckich od 6 różnych dostawców usług. Badania wykazały jedną wadę procedur uzyskiwania duplikatów – bazują one zawsze na weryfikacji danych, które mogą wyciekać z różnych miejsc (w USA są to: nazwiska, adresy, daty urodzenia, e-maile, wybrane cyfry numerów identyfikacyjnych i in.). Dane mogą wyciekać także od dostawców usług telekomunikacyjnych (por. Wykradziono dane milionów klientów T-Mobile). Opieranie procedur o znajomość tych danych byłoby zatem niebezpieczne nawet gdyby wszystkie procedury zostały zachowane.

Tam gdzie operatorzy nie proszą o dane osobowe, tam weryfikacja odbywa się np. poprzez pytanie o ostatnie doładowanie albo ostatnią wykonaną rozmowę (wiemy, że taką weryfikację stosowano w salonach przynajmniej jednego operatora z Polski). Te dane nawet nie muszą wyciekać, bo da się je wytworzyć. Każdy może doładować dowolny numer telefonu przed wybraniem się do salonu lub zadzwonieniem na infolinię. Skłonienie abonenta by zadzwonił na określony numer też nie jest wykluczone.

Bezpieczeństwo wisi na znajomości “tajnych” danych, które tajne nie są. Dziś procedura wymiany karty SIM może być skrócona do kilkunastu minut, a ofiara dowiaduje się o wszystkim już “po obiedzie”. Zarówno ofiary jak i policjanci przyznają, że przestępcy potrafią zrobić zadziwiająco dużo w zaledwie kilkanaście minut po tym, jak telefon ofiary stracił sygnał.

Potrzebne jest uwierzytelnianie. Jakiekolwiek

Po pierwsze FCC proponuje, aby zabronić operatorom wydawania duplikatów kart SIM bez wcześniejszego bezpiecznego uwierzytelnienia. Prawdziwie bezpieczną metodą byłoby żądanie wcześniej ustalonego hasła (niektórzy operatorzy w Polsce często to hasło ustalają przy rejestracji numeru, po czym w ogóle o nie nie proszą). Możliwe byłoby również wymaganie hasła jednorazowego wysłanego do klienta via SMS lub e-mail. Jak zauważa FCC, konsumenci są już obeznani z podobnymi procedurami w innych obszarach rynku więc nie wydaje się to dużym kłopotem.

All of the methods of authentication that we propose to include in the requirement to authenticate a wireless customer before allowing for a SIM swap are familiar ones, already used by
consumers and companies in various other circumstances. Based on stakeholder experience with these methods of authentication, how burdensome would our proposed authentication requirement be on customers making legitimate SIM change requests?

Zasadnym byłoby spytać, czy procedura tak istotna jak wymiana karty SIM nie powinna wymagać uwierzytelniania dwuskładnikowego (2FA)? Naszym zdaniem powinna. Wyłudzenie karty SIM może się skończyć nie tylko utratą oszczędności całego życia, ale również dotkliwą w skutkach kradzieżą tożsamości (która przenosi się na różne konta ofiary bo telefon może być metodą odzyskiwania hasła). 2FA przy wymianie karty SIM byłoby absolutnie uzasadnione.

Inne problemy

Na tym propozycje FCC się nie kończą. Komisja proponuje, aby wypracować procedury powiadamiania klientów oraz reakcji na nieudane uzyskanie duplikatu karty SIM. Dobrym pomysłem wydaje się obowiązek powiadamiania klienta o tym, że ktoś próbował uzyskać kartę SIM z jego numerem. Dodatkiem do tego mogłoby być wprowadzenie okresu czasowego (np. 24-godzinnego), w którym nie jest możliwe uzyskanie karty SIM po wcześniejszej nieudanej próbie. Odnotowano liczne przypadki, gdy oszuści dosłownie jeździli od salonu do salonu próbując wyłudzić kartę SIM i uzyskiwali kartę po np. 9 próbach(!).

Trzeba pokreślić, że to co wydała FCC to nie są nawet propozycje regulacji. Jest to seria pytań do dostawców usług telekomunikacyjnych. Czy da się to zrobić? Ile to będzie kosztowało? Jakie problemy mogą wystąpić po stronie klientów? Zadane pytania dotyczą również takich kwestii jak szkolenia pracowników, procedury składania skarg i reagowania na incydenty oraz przejrzystości procesu wymiany karty SIM. W każdym z tych obszarów można coś poprawić. Sami niejednokrotnie przekonywaliśmy się, że  dwóch różnych pracowników tego samego operatora potrafi opowiadać różne rzeczy o zasadach uzyskiwania duplikatu.

Czy to takie trudne?

Komisja proponuje absolutnie podstawowe zabezpieczenia, które powinny być wprowadzone dawno temu. Nie tylko w USA, ale wszędzie gdzie w ogóle sprzedaje się usługi telefonii komórkowej. Dlaczego do tej pory tego nie zrobiono? Naszym zdaniem powody są trzy.

  1. Ofiary SIM swapingu są bardzo nieliczne w stosunku do niemałej rzeszy osób, która każdego dnia naprawdę potrzebuje wymiany karty SIM. Telekomy widzą głównie tłumy, które pragną wygody.
  2. Ostatecznie to ofiara traci pieniądze lub tożsamość. Dlaczego telekom miałby się tym przejąć?
  3. Banki też lekceważą problem tworząc systemy, które polegają na dziurawym bezpieczeństwie kart SIM. Mówią, że zawiódł telekom i kropka. Nigdy nie widzieliśmy, aby jakiś bank np. odradzał klientom korzystanie z usług operatora, którego weryfikacja przy wymianie SIM jest słaba.

Te trzy powody można sprowadzić do jednego. Zabezpieczenia kosztują czas i pieniądze, a ofiary oszustw można pozostawić samym sobie i nikogo poza nimi to nie zaboli. Być może banki zaczną bardziej zwracać uwagę na problem w miarę jak zaczną przegrywać w sądach z ofiarami oszustw, ale ten proces będzie długotrwały (Rzecznik Finansowy ostatnio się aktywował na tym polu). W tej sytuacji ingerencja regulatora rynku i narzucenie pewnych zasad “z góry” wydaje się całkiem dobrym pomysłem.

Przeczytaj także:

62 komentarzy

Dodaj komentarz
  1. Jak rejestrowałem swoój numer prepaid, to odstałem taką kartę, że jest zarejestrowany na mnie. Czy przy wyrabianiu duplikatu nie możnaby tej kartki wymagać?
    Pewnie można taką kartę sobie samemu wydrukować. Ale może wygląd kartki być inny dla każdego klienta. Niech sobie telekom trzyma u siebie tę kartkę a klient u siebie. I niech porównują.

    • Nie można. Ponieważ ludzie wszystko gubią.

    • kiler i waldek na cargo na okęciu mieli metodę na token autoryzujący ;)

  2. Skoro Telekomy mają nasze numery dowodów, Pesele i inne wrażliwe dane, to mogliby mieć również nasze zdjęcia jako dodatkowa dobrowolna forma zabezpieczenia. Oczywiście zdjęcie “luźne” nie takie jak z dowodu (np żeby potem nie posłużyło do wytworzenia dowodu osobistego!). Zgadza się Pan na fotkę? Tak! Pyk foteczka z gadżetem operatora, który też później mógłby być wykorzystany jako pytanie pomocnicze :)

    • @Andrzej
      Oczywiscie, bez problemu mogli by lepiej sie zabezpieczyc wykorzystujac dane ktore maja obecnie (co najwyzej nie jest to w ich interesie (koszta i glupi klienci)) dlatego dajmy im wiecej swoich danych, w dodatku takich ktorymi nic nie zabezpiecza…

      Ps. Czy ostanio nie bylo nawet artykulow o uniwersalnych twarzach? (wygenerowanych komputerowo sztucznych ludziach ktorych algorytmy zawsze rozpoznaja pozytywnie – taki wytrych tylko twarz)

    • @WkurzonyBialyMis90210 A skąd osoba ze sztuczną twarzą będzie wiedziała z czym był fotografowany prawowity właściciel numeru Pan Nowak 4 lata temu? Teraz pracownik sprawdza (lub nie) czy fotka w dowodzie osoby go okazującego pokrywa się z twarzą okazującego. Tak by miał jeszcze swoją na ekranie którego nie widzi okazujący i tam dodatkowo gażdet w postaci np niebieskiego pluszowego smartfona. To tylko pomysł – przykład. Metod może być więcej, podaj lepszą zamiast tylko krytykować. Jesteśmy chyba po tej samej stronie, prawda?

    • Ale po co? Nowa karta będzie aktywowana wyłącznie z telefonem o identycznym IMEI jak poprzednio. Nowy telefon i nowa karta? Zapraszam z dowodem do punktu i ze starym rachunkiem.

    • “Jesteśmy po tej samej stronie” to byla sztuczka ktorej hitler uzyl w czechoslowacji…

      Rozpoznawanie twarzy ma rozpoznawac twarz, z zalozenia kontekst ma byc ignorowany, nawet twarz do pewnego stopnia tez (bo inaczej po nieprzespanej nocy ludzie nie mogli by odblokowac telefonow ze wzgledu na podkrazone oczy a po takiej przespanej ze wzgledu na rozwichrzona fryzure – czytaj nigdy poza pokazaniem aparatowi zdjecia, co negowalo by cale zalozenie identyfikacji twarzy)

    • UE pracuje nad zbanowaniem rozpoznawania twarzy. To jest niedopracowana technologia stwarzająca zbyt dużo problemów (np.: https://edition.cnn.com/2021/04/29/tech/nijeer-parks-facial-recognition-police-arrest/index.html).

  3. Ale jesteście, klikbajtowcy jedni! Już myślałem, że to u nas! :)

    Da się sporo zrobić nie wadząc RODO.

    Oprócz SMS-a z powiadomieniem “za x godzin wydajemy duplikat karty” oraz ręcznego dzwonienia, system mógłby automatycznie sprawdzać kiedy ostatnio dany numer logował się do sieci i do którego BTS-a. Jeśli na drugim końcu Polski, to raczej bajka nie trzyma się kupy i pracownik powinien zadzwonić na 997.
    Oczywiście zawsze klient może wcisnąć, że jego SIM-kę ma złodziej. Ale chociaż SMS z informacją operator mógłby wysłać + wydać kartę, która zadziała dopiero po np. 12 godzinach.

    • Nie wiem kto tu jest klikbaitowcem. W play wymieniająć sim wysyłają sms co kilka h, że karta będzie wymieniona. tak praocwnik będzie dzwonił na policję, że klient pojechał w ciągu doby z gdańska do katowic..

  4. Operator i Instutucja Finansowa wspolnie wyrownuja szkody (z odpowiednia nawiazka) a potem dochodza miedzysoba co i jak – kazda inna mozliwosc bedzie rodzic patologie…

    • To trzeba by umowę trójstronną jeśli operator miałby odpowiadać, że ktoś jego usługę wykorzystuje do realizacji usługi firmy trzeciej.

    • te rozwiązanie też rodzi patologię nadużyć. mam na koncie 1 mln, wysyłam słupa do zmiany sim.

    • Operator sprzedaje (wynajmuje) mi moj numer, uzyczajac go komus innemu lamie umowe zawarta z klientem – i teraz ma byc druga umowa ktorej bedzie pilnowal bardziej?

      Nawet gdyby godzenie sie na kolejna (bezpodstawnie) nie bylo to skrajna glupota, to taki wyjatek stanowi ze zadna umowa nie musi byc przestrzegana doslownie “bo tak”, czyli ta tez nie bedzie przestrzegana i tak dla kazdej n-tej umowy gdzie n dazy do nieskonczonosci…

      Wyobraz sobie, ze kupujesz nowy telewizor, ten nie dziala a sprzedawca mowi – “ale w piatek byl pan na kebabie z zdziskiem a tego nie bylo w umowie”

  5. Operatorzy sa po prostyu bezkarni, nie ponosza za nic odpowiedzialnosci – w sensie doslownym. Wiec czemu mieliby Kowalskim isc na reke i podnoscic koszty obsugi? Po co?

  6. Jak zgubi się telefon / ktoś ukradnie to jak takie zabezpieczenie 2FA zadziała?

    • Telefon do obsługi 2FA powinien mieć ustawioną blokadę ekranu.

    • I nie musi to być telefon, są inne narzędzia to generowania OTP (choćby Authy czy 1Password).

  7. Moim zdaniem defaultowo duplikatów kart SIM nie powinno się wydawać wcale. Jeżeli chcesz mieć taką opcję, to możesz zgłosić się per noga, okazać kartę i całą resztę identyfikatorów, podpisać aneks do umowy i wtedy proszę bardzo. Jeżeli tego nie zrobisz – karta jest jednorazowa i tyle. Zginie, zmieni się standard czy cokolwiek, trudno, numer szlag trafił, musisz kupić nową.

    W ten prosty dość sposób ludzie mogliby spokojnie posiadać dwie karty – jedną z opcją wymiany dla normalnej łączności i drugą, absolutnie nieodtwarzalną, na połączenia autoryzacyjne.

    • To już było, gdy karty były bez rejestracji i wtedy taka karta bez danych była właśnie dobra do autoryzowania operacji, nikt poza bankiem nie wiedział kto konkretnie korzysta z takiego numeru (zakładając, że tylko kody były wysyłane). Trzymając w domu, praktycznie niemożliwe zgubić.

      No ale to było zbyt bezpieczne i wygodne, więc wprowadzili obowiązkową rejestrację kart, a do takich można bez problemu wyrobić duplikaty.

    • >(…)To już było, gdy karty były bez rejestracji (…)

      Sęk w tym, że jak zwykle w Polsce prawo jest nadużywane. Obowiązkowa rejestracja powinna służyć tylko i wyłącznie do realizacji celów wymienionych w ustawie o przeciwdziałaniu terroryzmowi, która ten obowiązek wprowadziła. Nie wprowadziła ona jednak zakazu obrotu wtórnego kartami i nie wprowadziła możliwości wyrejestrowania karty ani obowiązku jej przerejestrowania. Zgodnie z literą prawa więc fakt zarejestrowania karty pre-paid na osobę X nie oznacza, że osoba X jest jej właścicielem. Co innego w wypadku umów abonamentowych – tam wyraźnie stanowi się, że umowy nie można “odstąpić” innej osobie.

  8. Cześć,
    Nakreślę wam trochę jak to wygląda z pierwszej ręki.
    W przypadku operatora o którego pracuje wymiana karty sim jest możliwa jedynie przez właściciela który okaże się dowodem osobiście. Wiele razy spotykam się z tym że ktoś przyjdzie z dowodem żony lub męża I żąda wymiany karty. Niestety ale takim osobom ciężko wytłumaczyć potencjalne zagrożenie wymiany obcej osobie. Na szczęście u nas procedury są jasno określone i tak naprawdę wszyscy się tego trzymają.

    • obosze…
      Jeśli większość pracowników telekomów jest taka jak kolega @Prawnik, to nie dziwię się, że są sim słapy. Oni po prostu nie czają, że złodziej przychodzi z fałszywym dowodem, w którym są cudze dane, ale na fotce jest ryj złodzieja. Oni myślą, że dowód, to wystarczające zabezpieczenie.

    • Ale nie ma jak w obecnym stanie prawnym wymagać więcej w kwestii weryfikacji tożsamości. Można uniesprawnić procedurę by trwała dłużej i dawała szansę ofierze.
      Ale… To nie telekomów problem, że SIM SWAP pozwala na kradzież tylko instytucji finansowych, które przerzuciły ryzyka na stronę trzecią bez umów i wbrew rekomendacjom (ale nie polskim). SMS autoryzujący przelewy nigdy nie powinien powstać.

    • @apisztykulec. Nie stresujmy się tak, to szkodzi. ;)
      Osobiście liczę, że rozpowszechnienie się dowodów z warstwą elektroniczną oraz możliwość ich weryfikacji przez punkty obsługi jednak ukróci taki proceder.

    • @Chester
      Racja, tożsamości bardziej się nie zweryfikuje. Ale można bardziej zweryfikować faktyczność posiadania danego numeru. Choćby próbując zadzwonić pod numer “zgubionej” karty SIM. Albo sprawdzając gdzie się logowała. + SMS z informacją + opóźnienie aktywacji nowej.

      @Observer
      Ale to przyjdzie może w 2051 roku. Po co mieliby inwestować w czytniki.

  9. Operatorzy? Przecież oni niedawno przy okazji omawiania nowych procedur zwracania niewykorzystanych środków z kart prepaid mówili, że oni też są oszukiwani przez nierzetelnych klientów i muszą się z nimi potem procesować a to nie dość, że trwa to jeszcze kosztuje. No więc jak sobie zatrzymają niewykorzystane środki jakichś innych klientów to się wszystko wyrówna. I gdzie tu jakiś problem? To jest właśnie logika operatora: “Misiu, jak tobie ukradli to ty ukradnij komuś”

  10. A nie wystarczy sprawdzać czy w momencie składania wniosku karta jest aktywna?

    • kto by wymieniał niekatywną kartę sim?

    • Kolega interpretuje “aktywna”, jako aktywna w sieci w danym momencie, że jest w danym momencie połączenie z tej karty.

  11. “wyłudzenie karty sim”… w jakim my świecie żyjemy…

  12. W UK jest autoryzacja SMSem. Trochę socjotechniki i kolega numer podał. Jak często ludzie wymieniają karty SIM? O ile dobrze pamiętam to zdarzyło mi się 5 razy. Powinni wymagać wizyty w salonie z dowodem. Przynajmniej w krajach jak Polska gdzie bez dowodu nie można mieć numeru. W UK można i ma to swoje zalety bo można kupić prepaida za 1 funta i użyć do rejestracji wymagającej podania numeru jeśli nie chcemy by ta firma nasz faktyczny numer miała. Trochę gorzej z uwierzytelnieniem przy wymianie SIMa.

  13. Czemu banki żerują na zabezpieczeniach firm trzecich? Jeśli chcą korzystać z dobrodziejstw telefonii komórkowej niech otworzą sobie działalność dodatkową nawet w modelu MVNO i wtedy wdrożą swoje procedury a nie nie uczestniczą w kosztach telekomów tylko wymagają nie wiadomo co.

    • Banki nie “żerują” na braku zabezpieczeń innych podmiotów. Od dawna promowane jest uwierzytelnianie w aplikacji. A jeżeli ktoś się boi, że mu się włamią na telefon, ale tego samego sprzętu używa do odbierania SMS’ów 2FA to mu już nic nie pomoże. ;)

  14. Trzeba sobie w ogóle zadać pytanie czy sms do dobra forma potwierdzenia czyjejś tożsamości a nie jak utrudnić ludziom wymianę karty sim. Bo tak zdroworozsądkowo myśląc to nie wiem czy chciałbym aby ktoś wykorzystywał usługi mojej firmy bez umownie do realizacji usług własnej firmy i później miał do mnie pretensję, że jego klienci potracili przez moje procedury, które defakto nie muszą być na poziomie procedur bankowych.

  15. Jak wprowadzić tokeny challenge response to banki mówią, że to za drogie rozwiązanie najtańsze są smsy, wiec niech wezmą odpowiedzialność a nie zganiają winę na telecomy.

    • hmmm….a aplikacja bankowa to niby co?

  16. A nato instytucje które wydają dowody osobiste rodo kontrolujące ich pisma jak ma być sprawdzany dowód osobisty i dane wrażliwe np imię ojca lub imię matki i nazwisko rodowe a jak kradzież lub zgrubienie telefonu zrobić zdjęcie osoby zglaszajacej i powiadomienie policji

    • Poniżej przedstawiam moją historię która ma smutne i wesołe zakończenie. Podczas covid wygasł mi numer telefonu. Zadzwoniłem i okazało się że muszę w ciągu 60 dni odebrać kartę SIM. Ze względu na pobyt za granicą nie byłem w stanie. Udało mi się jednak wyłudzić własną kartę od operatora przez członka rodziny. Z jednej strony byłem szczęśliwy bo rodzina podesłała mi nową kartę. Z drugiej strony kwestie bezpieczeństwa leżą.

  17. Całkiem niedawno przenosiłem numer – Pani tylko spojrzała na mój dowód, coś tam wstukała, spytała czy od jutra – ok, już. Przyznam, że byłem w szoku i z niedowierzaniem dopytuje – i to tyle? Nikt nic nie sprawdza? Pani tylko stwierdzia – system operatora u którego mam teraz numer sprawdza jedynie imie, nazwisko i PESEL. Jak sie zgadzają to przechodzi. Nikt nie wysyła smsa z potwierdzeniem, nikogo nie interesuje czy ja to ja.

    • nie do końca prawda, owszem wklepuje dane z dowodu, ale potem dostajesz smsy od obecnego operatora, że zgłoszono przeniesienie, potem o zgodzie na przeniesienie i zazwyczaj zaczynają wydzwaniać z ofertą żebyś został a nie przenosił numer

  18. Wystarczy że przed przyjęciem zlecenia na duplikat, operator OBOWIĄZKOWO podejmie próbę połączenia się z numerem przypisanym do karty. Możliwości są co najmniej trzy:

    – zadzwoni telefon w kieszeni osoby siedzącej przed nim = cacy
    – połączenie nie będzie mogło być zrealizowane albo nikt nie będzie odbierał = hmmm…
    – odbierze zaskoczony właściciel, który ma sprawny telefon i żadnej karty nie wymienia.

    W tym ostatnim przypadku osoba siedząca przed konsulatem zapewne pospiesznie uda się do wyjścia, ale sama nieuchronność takiej weryfikacji stanowi IMO istotny czynnik zniechęcający.

    • A co jeśli karta została zniszczona przez dziecko albo karta nie działała przy zakupie

  19. Może jakaś wymiana informacji (wspólny rejestr?) między telekomami a bankami, tak że gdy karta sim jest duplikowana, numer trafia do takiego rejestru i banki blokują wtedy autoryzację takim numerem. Żeby przywrócić autoryzację trzeba by np. pofatygować się osobiście do placówki banku, ew. skorzystać z infolinii.

  20. Na dniach wchodzi dowód biometryczny co daje nowe możliwości identyfikacji.

  21. 1) Przed wydaniem duplikatu dzwonimy na numer karty którą operator miałby wymienić – jeśli delikwent się zgłosi no to mamy wyłudzacza :)
    2) od momentu wydania 48 godzin na uaktywnienie wydanej karty – daje to czas na zgłoszenie wyłudzenia operatorowi
    3) Wydanie tylko osobiście w salonie z obowiązkowym wykonaniem wspólnego zdjęcia osoby wyrabiającej kartę i pracownika salonu – ilu wyłudzaczy się na tym etapie podda? W przypadku wyłudzenia jest czarno na białym że to nie ta osoba.

  22. Niestety dużo osób woli wygodę i w praktycznie w każdej firmie weryfikacja klienta leży :(
    Raczej nikt tego nie zmieni, bo koszta. Już obecnie firmy mają sporo kontaktów, bo klient zapomniał hasła, emaila nie pamięta / nie ma dostępu. Mało kto aktualizuje dane jak email czy numer telefonu, a niestety są zmieniane dość często.

    Według mnie na umowie powinien być dodatkowy checkbox jak zgody marketingowe czy życzymy sobie większego bezpieczeństwa czy nie. Wystarczyła by nawet prosta weryfikacja przez kod na email, Chcesz dupikat, zgłaszasz się osobiście u operatora, pokazujesz dowód, podajesz kod z email który wyśle pracownik. Operator wysyła sms, email i powiadomienie push o wydaniu duplikatu sim, odczekuje min. 12h i aktywuje nową kartę. Wszystko opcjonalne jak zgody marketingowe, bo nie każdy sobie tego życzy. Weryfikacja przez email jest raczej wygodna, znacznie bezpieczniejsza niż brak weryfikacji. Wiadomo, można przejąć konto email, można kod próbować od kogoś uzyskać, ale myślę, że zdecydowanie zmniejszyło by to szanse na udany atak. Obecnie jest tak z weryfikacją dwuetapową, włączają ją tylko chętni, tutaj można zrobić podobnie :)

  23. Ale nie ma jak w obecnym stanie prawnym wymagać więcej w kwestii weryfikacji tożsamości. Można uniesprawnić procedurę by trwała dłużej i dawała szansę ofierze.
    Ale… To nie telekomów problem, że SIM SWAP pozwala na kradzież tylko instytucji finansowych, które przerzuciły ryzyka na stronę trzecią bez umów i wbrew rekomendacjom (ale nie polskim). SMS autoryzujący przelewy nigdy nie powinien powstać.

    • Sensowna wymówka, do czasu – biorąc dane abonentów na fali pseudoterrorystycznej jawności (bo moim zdaniem chodzilo raczej o zyski operatorow) strzelili sobie w stope stajac sie czescia narodowego systemu identyfikacji ludnosci…

  24. Dowód biometryczny, tak oferuje nowe możliwości identyfikacji :D

    Mam dowód z tzw. warstwą elektroniczną, komunikujący się przez NFC, z hasłami, pinami itp. Nikt nigdy, nikogda, niemals never ever ever nie chciał tego sprawdzać. Ot rzut okiem, imię-nazwisko-pesel, na pomniejszonym zdjęciu g, yyy niewiele widać. Żeby sprawdzić warstwę elektroniczną trzeba mieć czytnik nfc, oprogramowanie itd. Ten rząd miewa różne pomysły, ale nie wiem czy będzie taki śmiały żeby zmusić operatorów, ajentów, providentów, banki żeby sobie kupiły sprzęcik dla security frajerów klientów. Jakie są metody i jaki sprzęt jest potrzebny do sprawdzenia dowodu biometrycznego?

    • Też liczę na upowszechnienie się weryfikacji warstwy elektronicznej DO. Potrzeba do tego jedynie smartfonu z NFC oraz programu eDO App PWPW. Ale podejrzewam, że z takimi procedurami firmy ruszą dopiero, gdy e-dowody będą znacznie bardziej powszechne, czyli pewnie za 2-3 lata.

    • > Ten rząd miewa różne pomysły, ale nie wiem czy będzie taki śmiały żeby zmusić operatorów, ajentów, providentów, banki żeby sobie kupiły sprzęcik dla security frajerów klientów

      Jak sobie wymyśli, to zmusi. Już niektórych zmusił do brzydkich rzeczy.

      Starszą panią, sprzedającą warzywa na targu, za 15 miesięcy obejmie obowiązek posiadania kasy fiskalnej podłączonej na stałe do Internetu i wysyłającej dane z paragonów wszystkich klientów na będące pod obcą jurysdykcją serwery Microso… tzn. przepraszam, chciałem powiedzieć: udostępniające w innowacyjnej Chmurze Narodowej paragony Polaków dla ułatwienia im życia “jednym kliknięciem” i Powszechnej Cyfryzacji Handlu Uruchamiającej Koło Zamachowe Polskiej Gospodarki!

    • @kornelia
      Ja wiem że jak sobie wymyśli, to zmusi. Pytanie tylko czy będzie chciał. Hint: Starsza babcia z targu sprzedająca pietruszkę wiele rządowi nie zrobi, chyba ze przestanie na niego głosować – jeden głosik mniej. Natomiast tzw. więksi gracze zmuszani do wydania pewnej sumy pieniędzy mogą się, hmm, nie zgadzać.

  25. Przy rejestracji jako opcja powinna być możliwość podania numeru telefonu do “przyjaciela” na taką okoliczność. Przed wydaniem duplikatu pracownik salonu wykonywałby telefon do tej osoby i dopiero po jej poświadczeniu kontynuował procedurę. Czyż nie jestem genialny?

  26. Dosc ciekawy atak od kilku dni
    https://www.nieznany-numer.pl/Numer/226912220

    Zastanawiam sie skad maja dane ludzi oraz do czego ten atak ma doprowadzic.
    Pytaja tylko o to czy potwerdza sie przelew oraz o potwerdzenie danych (imie nazwisko)

  27. Niestety rządu to nie interesuje bardzo, bo temat nie jest chodliwy, nie przeklada się tak bardzo na wyniki wyborów.

    • Witam
      Interesuje, kiedy psychiatra zgøosido CIA mozliwoß© nielegalnego obrotu fentanylem w Chinach na jego receptach autoryzowanych numerem Play do kupienia za 5 zeta w Lycamobile
      Do tego zaøoæy sobie dwa konta firmowe na nazwisko CESC CESc z Angoli zamawiajác Visa, lub Mastercard, o czympoinformuje Visa i Mastercard, a nastépnie zaæáda kontroli skarbowej, bo US przyjmuje PITy bez podpisu, albo z podpisem……

      A nastépnie rozeßle do wszystkich znajomych za granicá, æe przy 56 ppm czadu w domu, zostawiono já bez æadnych badañ, 112 nie odbiera jej telefonow, a google æáda klucza USB do konta Microsoftu.

      Ponadto pamiéta, æe z Ustawy o Ochronie Zdrowia Psychicznego zniknéøy szczoteczki do zébów dla dzieci w szpitalach i zapyta o podpisy pod najwaæniejszymi ustawami.

      Oraz od kiedy telekomy, firmy farmaceutyczne, producenci jedzenia sá ZOO.

      Oraz zmieni w Wikipedii kilka artykuøów na bezsensowne.

      Ponadto spróbuje znale© formularz do listy filadelfijskiej, æeby skurwysyny z PANu tez nie ßmiaøy sié pokaza© za granicá, bo pierdoli karé ßmierciw Egipcie.

      Czego wszystkim zyczé, przy jakichkolwiek uprawnieniach szanowanych za granicá, bo moæna by© np. sprawcá katastrofy budowlanej np. runiécia tamy w Chinach.

      Weksle
      Morfina
      Konstytucja

      WHO coß o tym wie.

  28. Trzeba sobie zadać pytania podstawowe:

    1. Skąd w ogóle pomysł by telefon (jego IMEI, numer zawarty w SIM czy numer telefonu) był nośnikiem czyjejkolwiek tożsamości i był wykorzystywany w istotnych sprawach dotyczących osoby. To jest najgorsze uproszczenie od lat. Taki telefon co najwyżej może mieć funkcję potwierdzania równoważną anonimowemu adresowi email gdzie właściciel konta nie korzysta z żadnych funkcji kryptograficznych w których klucz prywatny przechowuje odrębnie i bezpiecznie. To co mamy dziś wyniknęło z prostej przyczyny – ktoś mega zaoszczędził zakładając, że telefon ma każdy i zawsze go ma przy sobie. Wiele banków za darmo korzysta z tego faktu i nie płaci producentom telefonów i telekomom za wprowadzenie koniecznych zabezpieczeń. Mało tego tak robi tez Państwo i cała administracja budująca e-usługi na bazie pseudo bezpiecznej cyfrowej tożsamości.

    2. Dlaczego nie otrzymujemy cyfrowej tożsamości gwarantowanej przez Państwo i przez Państwo zabezpieczanej. Dowód cyfrowy powinien być oparty o chip wyprodukowany w Polsce z polskim narodowym algorytmem szyfrowania (może nawet opartym na obecnej technologii) ale z dodaną “częścią niejawną” PwPw powinna mieć mała linię do produkcji tych chipów – chroniona jak skarbiec rezerw złota. Procedury uzyskiwania cyfrowej tożsamości, uzyskiwania i wymiany jej nośników (np. DO z warstwą cyfrową) winny być na tyle szczelne by ryzyko wydania ich nieuprawnionej osobie minimalne.

    3. Dlaczego nie funkcjonuje certyfikacja urządzeń pozwalających na potwierdzanie cyfrowej tożsamości. Kiedyś by zwykły stary kablowy telefon podłączyć do sieci musiał mieć homologację, nie mówię że trzeba do tego wracać ze względów telekomunikacyjnych ale już smartfon który pozwala na “podpisywanie cyfrowe” winien taką certyfikację przechodzić, a oprogramowanie do tego wykorzystywane (niskopoziomowa komunikacja poprzez NFC z chipem w DO) zaszaszyte w ROM telefonu. Jak zobaczycie starą ustawę /rozporzadzenie o podpisie elektronicznym to właśnie tam była mowa o “bezpiecznym urządzeniu do składania podpisu” – tego obecnie nie mamy a wszystkie te oparte na telefonach pseudo-rozwiązania są namiastką i kompromisem w którym ryzyka albo zaakceptowano albo po cichu przeniesiono na nas oszczędzając ogromne pieniądze.
    DO z warstwą cyfrową i system certyfikacji urządzen spokojnie molyby być sfinansowane przez wszystkich dzisiejszych beneficjentów (banki, telekomy, e-commerce, urzędy) którzy na cyfryzacji oszczędzają i zarabiają krocie.

    Można by spokojnie stwierdzić, że globalne upowszechnienie silnej niepodważalnej i bezpiecznej cyfrowej tożsamości zrodziłoby efekty jak wynalazek Gutenberga :)

    • Cyfrowa tożsamość? Dostajemy ale jest bezużyteczna. Zauważ że już od kilku/nastu lat każdy może sobie wygenerować klucz, podpisać maila lub jakieś pliki/dane.
      Ile osób umie to zrobić? Ile osób umie zweryfikować podpis?
      Nie zapytam ile to robi na codzień bo będzie śmiech na sali.

      Mylisz wynalazek Gutenberga z wynalezieniem przez Leonardo helikoptera – zajęło zaledwie 420 lat żeby wprowadzić go w życie i to jeszcze w bardzo ograniczonym zakresie (ile znasz osób które leciały choć raz w życiu helikopterem?)

  29. A nie można po prostu wprowadzić zasady, że karta musi być offline przynajmniej 24 h? Rozwiązuje to problem tajnego wyłudzenia kart – prawie nikt nie jest offline przez tak długi okres czasu w trakcie normalnego użytkowania telefonu.

    • > A nie można po prostu wprowadzić zasady, że karta musi być offline przynajmniej 24 h?

      Bardzo praktyczne rozwiązanie, gdy ktoś ukradł twój telefon, a ty chciałbyś odzyskać przynajmniej numer…

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: