15:28
26/4/2019

Na styku banków i operatorów komórkowych mamy ogromną lukę bezpieczeństwa. Można wyłudzić kartę SIM, co otwiera drogę do kradzieży pieniędzy z konta. W Polsce… ba! Nawet w USA tej luki nie załatano, ale poradził z tym sobie niepozorny afrykański kraj.

Możliwość wyłudzenia karty SIM innej osoby to problem poważny i ciągle aktualny. W Polsce zdarzały się kradzieże setek tysięcy złotych z kont bankowych właśnie dzięki temu, że oszustom udało się wyłudzić kartę SIM klienta banku. Podobnych oszustw dokonywano za granicą i to nie tylko w celu zrabowania pieniędzy, ale także w celu przejęcia cennych kont np. na Instagramie albo w celu dokonania ataków z szantażem.

Najgorsze w tzw. SIM swap frauds jest to, że luka bezpieczeństwa znajduje się pomiędzy dwoma instytucjami, zatem odpowiedzialność tak jakby się rozmywa. Zasadniczo nasze pieniądze trzyma bank, który odpowiada za ich bezpieczeństwo. Jeśli jednak dojdzie do kradzieży karty SIM, bank powie iż zawinił operator, który nie powinien wydawać duplikatu karty SIM byle komu. Operator z kolei nie czuje się odpowiedzialny za bezpieczeństwo pieniędzy, bo przecież jest tylko “operatorem” komórkowym. Koniec końców z kont bankowych giną kwoty liczone w dziesiątkach lub setkach tysięcy złotych, a klient najczęściej jest zostawiany sam sobie, co najwyżej z perspektywą długiego sporu sądowego z bankiem (który może wygrać, ale nie szybko – por.Bank ma oddać 86 tysięcy zł ofierze kradzieży. Wpisanie kodu z SMS-a nie było “rażącym niedbalstwem”).

Pisząc o oszustwach SIM swap proponowaliśmy pewne rozwiązania zaradcze. Przykładowo w momencie wydawania karty SIM konsultant w salonie GSM mógłby zwyczajnie dzwonić do zainteresowanego by sprawdzić, czy nie odbierze on telefonu. W ten sposób pracownik salonu mógłby ustalić, że osoba siedząca przed nim w salonie nie jest tym, za kogo się podaje. Oczywiście ta metoda miałaby również swoje wady. Czy dałoby się wynaleźć coś lepszego?

Da się. Udowodnili to bankowcy i operatorzy z Mozambiku. Wprowadzili oni taką ochronę przed SIM swapami, jakiej nie mają nawet najbardziej zaawansowane technologicznie kraje.

Dlaczego Mozambik?

Wiemy, że Mozambik kojarzy się wam z czymś takim.

To jest Mozambik

To skojarzenie jest słuszne, ale niepełne. W Mozambiku też mają miasta, internety, komórki i fintechy.

To też Mozambik (fot. Andrew Moir, lic CC BY 2.0)

André Tenreiro z mozambickiego CERT-u przedstawił doświadczenia tego kraju na konferencji Kaspersky’s Security Analyst Summit. Na stronie Kaspersky Lab znajdziecie artykuł z podsumowaniem. Dowiecie się z niego, że w Mozambiku skala oszustw SIM swap była ogromna. W największym banku Mozambiku notowano średnio 17,2 przypadków tego typu kradzieży msięcznie. Pewnemu biznesmenowi ukradziono 50 tys. dolarów. Ale może być i gorzej. W Brazylii, w której podobnie jak w Mozambiku mówi się po portugalsku, jedna ze zorganizowanych grup przestępców wyłudziła karty 5 tys. ofiar.

Oszuści z Mozambiku i Brazylii w celu wyłudzenia kart posługiwali się socjotechniką, prostym phishingiem, ale również łapówkami. Sprawa stała się na tyle uciążliwa, że przykuła uwagę mediów, które krytykowały banki i operatorów. Media nawet sugerowały, że banki i telekomu uczestniczą w zmowie mającej na celu ułatwianie oszustw.

Rzeczywiście oszuści nie mieli pod górkę zważywszy na to, że u niektórych operatorów w celu otrzymania karty SIM wystarczyło podać podstawowe informacje jak imię, data urodzenia i kwota ostatniego doładowania. Dane były zdobywane poprzez wywiad w sieci albo przez prosty phishing. Konsultanci wydający karty SIM pytali czasem o ostatnie połączenia, ale z tym oszuści również sobie radzili – dzwonili do ofiar lub wysyłali SMS-y aby sprowokować oddzwonienie. Jeśli te metody zawodziły, oszuści przekupywali pracowników salonów GSM oferując kilkadziesiąt dolarów za aktywowanie karty SIM.

To wszystko brzmi znajomo. Naszemu redaktorowi udało się kiedyś w Polsce wyłudzić kartę SIM bez dowodu. Nasi Czytelnicy również zgłaszali nam, że dostawali karty SIM bez dowodu bo Pan w salonie chciał działać szybko i chciał być miły. Od swoich źródeł zbliżonych do organów ścigania wiemy, że współpraca przestępców z pracownikami salonów lub nawet banków również jest możliwością braną pod uwagę przy śledztwach.

Jak Mozambik to ogarnął?

Pod presją społeczeństwa i mediów telekomy i bankowcy zrobili to, co powinni zrobić. Usiedli do stołu i wypracowali rozwiązanie wspólne.

Jeśli mozambicki oszust przejął czyjąś kartę SIM, zazwyczaj starał się wykorzystać ją natychmiast, w ciągu paru minut. To zrozumiałe i tak samo robią oszuści na całym świecie. Dlatego właśnie w Mozambiku stworzono specjalną platformę, która zawiera informację o numerach, na których dokonano w ostatnim czasie zmiany karty SIM.  Większość banków korzysta z tej platformy w taki sposób, że blokuje transakcje na “oflagowanych” numerach na okres od 48 do 72 godzin. Zazwyczaj taki czas wystarcza, aby ofiara podmianki karty SIM zorientowała się, że usługi komórkowe nie działają jak powinny.

Technicznie rzez ujmując działa to tak.

  1. Banki łączą się z platformami różnych operatorów przez VPN.
  2. Gdy dochodzi do transakcji, system bankowości wykonuje do systemu odpowiedniego operatora zapytanie REST API podając jako argumenty numer telefonu i czas (od 24 do 72 godzin).
  3. System operatora zwraca odpowiedź True lub False (zmieniano kartę sim/nie zmieniano)
  4. W razie odpowiedzi False transakcja przebiega bez zakłóceń.
  5. W razie odpowiedzi True transakcja jest blokowana. Jeśli ktoś zmienił kartę SIM i musi dokonać przelewu, może odblokować przelew poprzez wizytę w banku.

Zauważcie, że przy takim rozwiązaniu operator nie udostępnia bankowi żadnych danych identyfikujących abonenta. Co istotne, mozambicki regulator usług telekomunikacyjnych uznał, że udostępnianie informacji przez operatorów ma w tym przypadku wymiar realizowania interesu narodowego.

Dlaczego tego nie mamy?

Zdajemy sobie sprawę, że łatwo jest powiedzieć “tak należy zrobić”. Trudniej jest to zrobić. Wprowadzenie podobnego rozwiązania w Polsce zapewne wymagałoby uprzednich analiz technicznych i prawnych. Wątpliwości mógłby budzić np. fakt informowania operatorów o tym, że dany klient przeprowadza transakcję bankową.

Rozwiązania mozambickiego nie ma także w tak rozwiniętym kraju jak USA. Oficjalnie mówi się o zbyt dużej złożoności systemów, ale nieoficjalnie WIRED usłyszał inne wyjaśnienie. Operatorzy mogliby wyczuć możliwość zrobienia biznesu na swoich platformach co oznacza, że banki stałyby się przymusowymi nabywcami nowego rodzaju usługi. Możliwe, że dla banków bardziej opłacalne jest… tolerowanie pewnego poziomu oszustw.

Polska nie jest może tak duża jak USA, ale jednak jest krajem bardziej zaludnionym niż Mozambik. Działa u nas więcej operatorów, a usługi telefonii komórkowej są bardziej powszechne. Musimy też przyznać, że oszustwa typu SIM swap nie są u nas tak nasilone jak w Mozambiku, więc nie ma wielkiego parcia na rozwiązanie problemu. Natomiast jedno trzeba przyznać. Przykład mozambicki  pokazuje, że można załatać lukę bezpieczeństwa na styku dwóch instytucji. Trzeba tylko chcieć.

Co robić? Jak żyć?

Jeśli nie chcecie być ofiarami podmianki karty SIM, radzimy wam zastosować się do kilku prostych porad.

  1. Zmień numer telefonu w kluczowych usługach. Nie musisz przecież w banku korzystać z tego samego numeru, który znają wszyscy znajomi, klienci lub który – co gorsza – widnieje na wizytówkach Twojej firmy.
  2. Ustaw powiadomienia o transakcjach w banku.
  3. Monitoruj regularnie, czy masz dostęp do sieci GSM. Odbieraj też SMS-y, bo mogą one ostrzegać np. przed złośliwym przekierowaniem (por. Jak przestępcy przekierowali mu telefon w T-Mobile i okradli konto w mBanku).
  4. Dowiedz się dlaczego autoryzacja mobilna transakcji w bankowości internetowej może być lepsza od autoryzacji transakcji poprzez przepisywanie kodów z SMS.
  5. Ograniczaj podawanie swoich danych osobowych.

Dobrym uzupełnieniem takich osobistych zabezpieczeń byłyby zabezpieczenia po stronie operatorów… gdyby je wprowadzono. Przykładowo operatorzy mogliby informować SMS-owo, że dana karta SIM zostanie wyłączona. Mogliby również wykonywać połączenia kontrolne albo sprawdzać gdzie ostatnio dana osoba logowała się do sieci (znamy przypadek wyłudzenia karty SIM klienta z Pomorza, a wyłudzenie nastąpiło w salonie na Dolnym Śląsku). A może dałoby się w Polsce jakoś zaimplementować pomysł mozambicki? Będziemy jeszcze o to pytać.

Aktualizacja 29.04.2019 15:00

Tak jak sądziliśmy, na przeszkodzie wprowadzenia takiego rozwiązania w Polsce stoją kwestie prawne. Okazuje się bowiem, że pewien operator już się do czegoś takiego przymierzał. Wiemy o tym z własnego źródła zbliżonego do sprawy.

Chcieliśmy wprowadzić dla banków podobną usługę, ale prawnicy to przyblokowali – powiedziało nam nasze źródło – Chodzi głównie o konieczność zebrania zgód od wszystkich abonentów, że zgadzają się na udostępnienie informacji o ich numerze instytucjom bankowym i w jakim celu – RODO + prawo telekomunikacyjne.

Nasze źródło powiedziało nam, że w Polsce rozważano wprowadzenie dwóch usług.

1. Wystawienie po API informacji TAK/NIE dla zapytań z banków, czy dany numer telefonu nie jest numerem wirtualnym. Przestępcy na takie numery wystawiane na słupy składają wnioski kredytowe w sieci,
2. „Bazę reputacji” czyli wystawiane po API info TAK/NIE dla zapytań z banków, które miały nas pytać, czy IP z którego łączy się ich klient bankowości elektronicznej nie jest może “oflagowany”.

Nasze źródło przyznało, że rozważano także wprowadzenie czegoś podobnego do rozwiązania mozambickiego.

Nie jest to pierwszy raz, gdy operatorzy mają problem prawny z wdrożeniem jakieś usługi dla bezpieczeństwa. Regionalny System Ostrzegania nie mógł być szczególnie precyzyjny właśnie dlatego, że operatorzy nie mogli przetwarzać danych klientów w celu skierowania komunikatu do abonentów na wybranym obszarze (mniejszym niż województwo). Efekty były takie, że wiele osób otrzymywało bezsensowne ostrzeżenia, “znieczulając” się po pewnym czasie na komunikaty o zagrożeniach. W przypadku tej usługi operatorzy oficjalnie przyznawali, że technicznie byli gotowi, ale prawo było przeszkodą.

 


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

83 komentarzy

Dodaj komentarz
  1. Zrobić coś dla klientów, za darmo? To wbrew etyce biznesowej banków i operatorów.

  2. Czyli nadal jesteśmy sto lat za… mieszkańcami Mozambiku ;-P

    • Czyli Mozambijczykami :D

  3. “luka bezpieczeństwa znajduje się pomiędzy dwoma instytucjami”
    *Dwiema

    • @3cik:
      obydwie formy są poprawne.
      https://epodreczniki.pl/a/DoluLQfXb – odmiana liczebników głównych

    • @Eryk:
      “Obie formy są poprawne, polecam jednak formę dwiema – nie tylko dlatego, że jest częstsza, ale też dlatego, że bardziej wyrazista, jednoznacznie wskazująca na rodzaj żeński” – prof. Bańko.

  4. Największy maltański bank, BoV (Bank of Valletta), rozwiązał to jeszcze inaczej. Po prostu jest 20 lat do tyłu i do bankowości internetowej daje klientom jedynie fizyczne tokeny :D.

    Osobiście, przy takim rozwiązaniu czuję się znacznie bezpieczniej. Oczywiście, jest ono znacznie mniej wygodne jeśli np. korzystamy z tokena w podróży, ale uważam, że całkowita rezygnacja z takiego rozwiązania była błędem. Pamiętam, miałem taki token w PKO BP w latach 90.

    Moim zdaniem klient powinien mieć możliwość wyboru: kody SMS / aplikacja w telefonie / token fizyczny. Nawet jeśli token fizyczny by ciut kosztował, ja na przykład wybrałbym wtedy dopłatę i większy poziom bezpieczeństwa.

    • Fizyczny token daje bardzo dobrą ochronę pod warunkiem, że jest tokenem typu challenge-response. Challenge-response oznacza, że do wygenerowania kodu autoryzującego np przelew potrzeba wprowadzić kwotę przelewu oraz kilka cyfr z rachunku odbiorcy. Chroni to przed wszystkimi rodzajami ataków (w przeciwieństwie do zwykłego tokenu).
      Do fizycznego tokenu hacker nie ma dostępu – w przeciwieństwie do tokenu aplikacji- a jak wiemy wszystko można shackować.
      Ważne jest aby token challenge-response był używany również do autoryzacji zmian zlecanych przez infolinię banku.
      Kilka banków w Wielkiej Brytanii stosuje tokeny typu challenge-response i świetnie się spisują.

    • ABN AMRO w Holandii też daje tylko tokeny, które działają z “zwykłą” kartą płatniczą.

    • W Austrii “die Erste” daje token C-R za pare euro. Zwykły kobil. “magię” robi karta, którą dostaje klient.

    • Przecież takie uwierzytelnianie jest już od kilku ładnych lat – korzysta z niego i Google i FB, Dropbox itd – nazywa się klucz u2F (Fido). Tylko niestety banki (nie tylko polskie) są zbyt mocno zacofane technologicznie (lub po prostu nie zależy im na środkach, w końcu to i tak klient będzie walczył o odzyskanie swoich pieniędzy) więc takich prostych i BEZPIECZNYCH rozwiązań nie wprowadzają.
      A tak logowanie to login+hasło+U2F i tego typu akcje jak w artykule nie mają racji bytu – bo bez u2f nie da się zalogować, więc przejęcie SMSów z tokenami potwierdzenia transakcji nic nie da.

    • Ale wciaz da sie przejechac da lewym dotpayu. Dlatego w przypdku banku (gdzie najwiekszy bol to utrata drodkow) klient musi wiedziec co potwierdza. Do tego sluzy challenge response a nie u2f.

    • Pozwolę sobie uzupełnić informacje w takim razie. Token dawany przez BoV ma dwa tryby. W celu zalogowania się do aplikacji online wystarczy wprowadzić PIN w tokenie i wygenerować jednorazowy kod-hasło. Natomiast w celu wykonania jakiejkolwiek operacji innej niż read-only, jest challenge-response. Aplikacja na komputerze daje nam kod, kod wprowadzamy w tokenie, token wypluwa inny kod, kod z tokena wprowadzamy w aplikacji. Pełne C-R. Pełne bezpieczeństwo.

    • To ja też uzupełniam. Dla tych, którzy chcieliby zobaczyć jak to wygląda:
      – logowanie do bankowości internetowej z użyciem tokenu challenge-response
      Nationwide Building Society – A step-by-step guide to using your card reader to log in
      https://www.youtube.com/watch?v=sKTgfFakuuU
      – dodanie stałego odbiorcy przelewów z użyciem tokenu challenge-response
      Royal Bank of Scotland – How to Add a Payee Using Digital Banking
      https://www.youtube.com/watch?v=sypbel6_YfI
      – szwjacarski bank pocztowy również stosuje taki token
      PostFinance Demo – wybrać E-Finance demo
      https://www.postfinance.ch/ap/ba/fp/html/e-finance/home?login

      Moim zdaniem taki token daje idealny balans między bezpieczeństwem i wygodą. Jedyne skuteczne ataki, o których znalazłem informacje to wyłudzenie kodu do autoryzacji w rozmowie telefonicznej. Szkoda, że żaden bank w Polsce nie stosuje takiego zabezpieczenia.

    • BGŻ Optima parę lat temu dawał token, zasada taka sama jak w powyższych: zwykły kod do logowania, C-R do zatwierdzania przelewów. Ale potem BGŻ przejęli francuzi i poza wymianą systemu bankowości internetowej na swój antyczny z demobilu, zastąpili token kodami SMS. Technologia z krajów pierwszego świata ich mać…

    • ING Bank Śląski oferuje wybranym klientom biznesowym możliwość logowania za pomocą karty inteligentnej i czytnika. Niestety, jest to używane zasadniczo zamiast kodów SMS. IMHO tokeny U2F + kody SMS są bezpieczniejsze.

      Poza tym, kiedyś Kredyt Bank miał aplikację “KB token”. Przy potwierdzaniu przelewu wpisywało się do aplikacji *kwotę przelewu* oraz kilka cyfr wyświetlanych na ekranie komputera. Aplikacja we własnym zakresie (bez komunikacji z Internetem) generowała grupę cyfr, które trzeba było wpisać na komputerze. Było to bardzo dobre rozwiązanie, bo wymuszało sprawdzenie kwoty przelewu i ograniczało wysokość środków, które można było utracić na skutek kradzieży.

    • A ja dostałem jeszcze w WBK tai token (challenge-responce) i to ok. 1997 roku i działa do dziś! Szkoda, że bank nie ma zamiaru połączyć konta firmowego z kontem osobistym, aby obsługiwać jednym tokenem. Mógłbym nawet mieć dwa takie tokeny, bo niewielkie i nie dające możliwości doinstalowania czegokolwiek (+złosliwe) jak np. w smartfonie. Dawny Lukas Bank też dawał tokeny sprzętowe w postaci breloczka. Teraz jest Credit Agricole i wymienili tamte tokeny na nowinkę. Transakcja generuje obrazek pixelowy w trzech kolorach. Token sczytuje ten kod punktowy i podaje info jaka transakcja i za ile oraz podaje kod cyfrowy do wpisania w okienko na stronie. Problem jednak jest. Logowanie polega na podaniu loginu a następnie hasła. Jak to ukraść to chyba tylko niemowlaki jeszcze nie wiedzą. Na dokładkę, to po zalogowaniu, od reki jest dostęp do informacji o kliencie (dane adresowe, e-mail, fragment numer telefonu) i jego ostatnich miesięcznych transakcji oraz stanu konta. Ponadto token jest wrażliwy na ustawienie matrycy. Np. tryb nocny uniemożliwia poprawne odczytanie kodu pixelowego. Taka jest funkcjonalność nowego rozwiązania! Jak widać, nowe nie znaczy lepsze!

  5. Nie ma co wymyślać koła na nowo, trzeba wprowadzić ustawą (czyli zmusić banki) wymóg aktywowania przez banki dla wszystkich klientów podwójnego uwierzytelnienie przy logowania się na konto bankowe zarówno przez przeglądarkę internetową jak i przez aplikację (lub w przypadku aplikacji, gdy ponownie ją instalujemy na nowym urządzeniu po raz pierwszy). Przy czym najlepiej gdyby tym podwójnym uwierzytelnieniem były klucze U2F typu np. Yubikey (tak wiem, to kosztuje trochę klienta). Aby zmniejszyć koszt zakupu takich kluczy dla klienta, każdy z klientów, który zdecydował by się używać takiego klucza mógłby podzielić się z bankiem kosztem tego zakupu po połowie, tym bardziej, że banki mogły by podjąć się zakupu tego typu kluczy od producenta w sposób hurtowy by wynegocjować lepszą cenę, a następnie udostępniać/odsprzedawać je klientowi po niższej cenie.
    Technologia już jest, ale niestety żaden bank nie spieszy się z jej wdrożeniem, podobnie zresztą jak wiele innych portali na świecie. Np. ostatnio pytałem się o wprowadzenie takiego rozwiązania w systemie zarządzania zadaniami Trello, czy oni zamierzają wprowadzić możliwość używania takich kluczy (teraz jest tylko za pomocą aplikacji) to odpisali mi, że się nad tym zastanawiają, ale nie wiadomo nic o tym by miało to nastąpić szybko. Tylko na co tu czekać? Z czym właściwie jest problem? To raczej problem mentalny.

    • Całkiem prawdopodobne, że dla banku jest taniej płacić za fraudy, niż tworzyć obsługę kluczy U2F, zakupić je, edukować klientów i zajmować się tymi, którzy sobie nie poradzą z ich obsługą.

    • Ta “ustawa” nazywa się PSD2 i obowiązywać będzie od września tego roku. Banki już przygotowują się do zmian.

    • Zamiast kombinowania to wystarczą tokeny. Na początek dla kont firmowych.

    • > i przez aplikację (lub w przypadku aplikacji, gdy ponownie ją instalujemy na nowym urządzeniu

      Jaką aplikację? Jakim urządzeniu??? Upadłeś?
      To ja jeszcze mam smartfon kupować i aktywację GSM, żeby móc korzystać z banku?
      Poczytaj o tokenach C/R, a potem zacznij wymyślać.

    • Banki i telekomy tną koszty jak leci, nawet w podstawowej obsłudze czy systemach bezpieczeństwa. Gdzie wydadzą nawet dolara na dodatkowe zabezpieczenia. Od tego mają sztab prawników aby potem się sądzić z okradzionym klientem wykazując, że to jego wina. Ale kasa się zgadza i udziałowcy są zachwyceni. Tak to, niestety, działa

  6. Wg mnie źródłem problemu jest podpięcie się przez banki do usługi dostawców telefonii komórkowej. Zanim zaczęli forsować sms-kody, musieli wydawać klientom elektronicznym własne rozwiązania bezpieczeństwa (listy kodów, tokeny OTP, tokeny Challenge-Response, terminale osobiste) i ponosić odpowiedzialność za ich poprawne i bezpieczne działanie, co oznaczało czasem spore koszty. Dlatego ochoczo przerzucili się na coraz szersze wykorzystanie urządzeń posiadanych przez klienta, nad którymi nie mają nawet części kontroli, ignorując (a właściwie – akceptując) oczywiste zagrożenia pojawiające się w tym modelu. Tak, wiem, że sms-kody mają zalety, jak podawanie klientowi danych transakcji potwierdzanej. A dla banku – koszt, który w przypadku sms-kodów jest minimalny w porównaniu z porządnymi rozwiązaniami sprzętowymi. Ale mają też oczywiste wady, jak np. 1) powiązanie z numerem telefonu, co zachęca do przejęcia tegoż numeru, 2) urządzenie odbierające kod jest często znacznej wartości zachęcającej do kradzieży, 3) urządzenia odbierające kod są zróżnicowanej konstrukcji i interfejsu, co uniemożliwia skuteczne zabezpieczenie każdego z nich, 4) urządzenie odbierające kod może być tym samym, na którym kod jest wpisywany w system transakcyjny… itd.
    I teraz wielkie zdziwienie banków, że operator komórkowy nie chce wziąć części odpowiedzialności za pieniądze ich klientów. Może jeszcze niech się spierają z producentami smartfonów, żeby ich interfejsy nie umożliwiały czytania smsów na zablokowanym ekranie, a do odblokowania trzeba było wpisać długie hasło. Nie ma to jak przerzucać na innych kłopoty, które samemu się wygenerowało.

  7. SIM swap ma na celu odczytanie kodów jednorazowych wysyłanych przez banki. Jeśli ten sposób przejęcia kodów zostanie zablokowany to oszuści zaczną wykorzystywać inne luki np.:
    – wykorzystanie dziur w procedurach bankowych/socjotechniki i zmiana numeru telefonu, który znajduje się w systemie banku na telefon, który znajduje się w posiadaniu oszusta – czytałem o takim przypadku,
    – metodę zastosowaną w Niemczech do opróżnienia rachunków bankowych osób posiadających telefony u operatora O2-Telefonica, szczegóły w poniższym artykule:
    Bank Account Hackers Used SS7 to Intercept Security Codes
    https://www.bankinfosecurity.com/bank-account-hackers-used-ss7-to-intercept-security-codes-a-9893
    https://niebezpiecznik.pl/post/3-sposoby-na-podsluch-telefonu-komorkowego/
    „Nagrania rozmów i SMS-y możemy także wykradać z telefonu przy pomocy złośliwej aplikacji „
    moje – Co robić? Jak żyć?
    Nie trzymać dużych pieniędzy na koncie z dostępem przez internet i telefon. Wtedy jedyna metoda oszustwa to wizyta w oddziale banku i podrobienie podpisu.

    • Tylko się nie zdziw jak bank wprowadzi nową usługę i włączy ją wszystkim klientom. Tak było z apką mBanku. Nawet przez infolinię nie było możliwości zablokowania sparowania z kontem. Ciekawe czy teraz można?

    • RE: Ja 2019.04.30 15:16
      Słuszna uwaga. Najlepiej wybrać bank gdzie aby zacząć korzystać z bankowości internetowej, telefonicznej itp potrzebne jest podpisanie dodatkowej/osobnej umowy.

  8. “Popieramy każde rozsądne rozwiązanie, zwłaszcza niekorporacyjne i zwłaszcza w sektorze bezpieczeństwa … ”
    +1 do like’ów :P

  9. W Mobile Vikings należy aktywować kartę SIM, logując się do konta z przypisaną tą kartą. Czy nie eliminuje to tej podatności? Tylko właściciel może ją przecież aktywować.

  10. Może lepiej zakończyć zabawę w SMS i przejść na jakieś tokeny w stylu FIDO2, tokeny sam rejestrujesz, najlepiej dwa. Jeden token może obsłużyć wiele banków + email, etc…

  11. wciąż korzystam z tokena w mBanku (korporacyjny)

  12. A może wystarczyłoby aby każdy miał tajne hasło, które musiałby podac operatorowi podczas wydawania duplikatu karty SIM? Jak nie zna hasła to musiałby przejść jakąś dodatkową weryfikację albo chociażby duplikat karty SIM mógłby być aktywowany dopiero po 60 minutach od wydania…

  13. A może po prostu wydanie duplikatu nie powinno być tak proste. Nie ma potrzeby włączania w to Banków. Wystarczy by operatorzy wprowadzili CHĘTNYM klientom flagę na ich kontach dajmy na to {FLG:OPÓŹNIENIE72h}. Po weryfikacji tożsamości na podstawie dowodu osobistego w punkcie i wprowadzeniu przez konsultanta zlecenia system nie zezwolił by na natychmiastową wymianę karty SIM. Operator wysyłał by co 24h SMS z informacją o przyjęciu zlecenia wydania duplikatu. Karta była by do odbioru po minimum 72h i nie ma przebacz. Bezpieczeństwo nie znosi kompromisów. Pomysł na licencji MIT. Operatorzy bierzcie i wdrażajcie :)

  14. Karty sim nie trzeba wyłudzać w salonie. Można zamówić ją przez infolinię. Wiedza wyniesiona z czasów pracy dla jednego z telekomów(z oczywistych względów nie podaję jakiego).

    Aby klient mógł cokolwiek załatwić, musiał się zautoryzować. Do załatwienia prostych spraw, np. wysłania duplikatu faktury(tylko na adres korespondencyjny widniejący w systemie) wystarczyła tzw. autoryzacja uproszczona: 3 banalne pytania. W innych wypadkach, klient musiał podać pin, który ustalił. Co jednak, jeśli klient nie pamiętał pinu? Wtedy wkracza autoryzacja szczegółowa. Jak się odbywa? Zaznaczam, że mówimy o kliencie biznesowym. Klient zawsze musi odpowiedzieć jaki jest adres korespondencyjny(ceidg), adres główny(ceidg) i musi odpowiedzieć dodatkowo na 3 pytania, które konsultant wybierał z listy 6 dostępnych. Klient mógł na jedno nie odpowiedzieć i wtedy konsultant zadaje inne. W przypadku błędnej odpowiedzi należy się rozłączyć z klientem. I teraz hit. Te 6 pytań jest w stylu “czy w ciągu 3 ostatnich miesięcy był zmieniany plan taryfowy”, “czy adres korespondencyjny jest taki sam jak adres główny(sic!)”. I tutaj już widać problem. Co jeśli nie znamy odpowiedzi? Strzelamy. Nie trafiliśmy? No to dzwonimy jeszcze raz. Tym razem już znamy odpowiedź. Po takiej autoryzacji można wszystko. Ustalić pin do konta, zamówić duplikat karty sim(na dowolny adres), zmienić adres korespondencyjny. Dosłownie wszystko, co według prawa, nie musi być na papierze.

    Jeszcze odnosząc się do fragmentu “konsultant chciał być miły”. Nie chciał być miły, tylko nie chciał zostać negatywnie oceniony przez klienta. Kiedyś nie było tych wszystkich ankiet obdzwaniających klientów i był względny spokój. Teraz konsultanci naginają zasady bezpieczeństwa, byleby tylko zostać ocenionym pozytywnie.

  15. > sms-kody mają zalety (…) Ale mają też oczywiste wady

    Główną wadą jest niemożliwość korzystania z konta bankowego bez posiadania telefonu komórkowego.

  16. Dlatego: 1. Karta zdrapka Twoim przyjacielem. 2. Dual SIM jest koniecznością. 4. Wyłączenie second factor SMS gdzie się da, a na pewno na koncie google.

  17. Operator mógłby wysyłać smsa że karta zostanie dezaktywowana i dopiero po 1h nowa dokonać przełączenia, zresztą operator widzi czy karta jest aktualnie zalogowana do sieci i to powinno na dzień dobry zwiększyć czynność pracownika.
    Może rozwiązaniem byłoby dodanie opcji autoryzacji płatności za pomocą e-Dowodu. Do autoryzacji przez aplikację dodać opcję przyłożenia dowodu.

    • No właśnie, rozwiązanie jest tak banalnie proste, jeszcze prostsze niż to w Mozambiku: kiedy Pan używał telefonu po raz ostatni? Przecież operator ma dostęp do tych danych, jeżeli karta jest aktywna to operator próbuje się dodzwonić, w interesie operatora jest zweryfikowanie użytkownika przypisanego do karty, nie tylko ze względu na banki.

    • Jeszcze prostsze jest po prostu zwrócenie starej karty sim. W końcu to własność operatora a nie nasza. Przypadki że faktycznie karta sim jest zniszczona fizycznie to jakiś mega margines procentowy, i wtedy powinna ruszyć specjalna procedura weryfikacyjna.

  18. Właściwie gotowa baza danych już jest wystarczy dodać stosowną informacje o duplikacie. Chociaż pamiętając w jakich bólach rodziło się PLICBD2 może to nie być takie trywialne jak się wydaje :)

  19. W bankach dalej brak możliwości włączenia dwuetapowego logowania [mBank].
    Opóźnienie w wygenerowaniu nowej karty SIM raczej nie zda egzaminu – bo w momencie uszkodzenia karty, użytkownik che być jak najszybciej z powrotem dostępny. Nikt nie będzie czekał na aktywację numeru 72h – co innego powiązanie numeru z bankiem i odpytanie o czas ostatniej modyfikacji karty SIM.

  20. Nie czaję. Jak opóźnienie ma wpłynąć na bezpieczeństwo? Co za problem dla złodzieja zaczekać 3 lub 4 dni na dokonanie pierwszej transakcji ? Jeśli ktoś ma się czuć bezpiecznie to chyba nieświadomy użytkownik…

    • zastanow sie, na spokojnie, co moze pojsc nie tak jak po wyrobieniu duplikatu karty SIM bedziesz czekac na walek 3-4 dni..

    • przez 3-4 dni właściciel podmienionej karty sim zauważy że telefon mu nie działa i po zgłoszeniu do operatora nieplanowany sim swap powinien zostać ujawniony. Piszę powinien, bo rozpatrzenie takiej reklamacji wcale dla operatora nie jest oczywiste – klient mówi ze telefon nie działa, a on w systemie widzi że wszystko jest ok.

    • Pomysl czy w ciagu 4 dni zorientowalbys sie, ze Twoja komorka (a dokladniej karta SIM) dziala czy nie? Obstawia, ze bys sie zorientowal, wiec skontaktowalbys sie ze swoim operatorem i zglosilbys awarie dla numeru XYZ, operator wyjasnilby Ci, ze przeciez byles wczoraj w salonie i sam zazadales nowej karty SIM.

      Teraz jasne? :-)

      Aczkolwiek to jest pomocne, tyle ze dookola, zmiana karty SIM, powinna odbywac sie analogicznie do zmiany hasla — na “stara” przychodzi info o zmianie i jest podawany od razu kod do zablokowania tej zmiany. To nie tylko poprawiloby bezpieczenstwo, ale w niektorych przypadkach umozliwiloby zlapanie przestepcy na goracym uczynku.

      Ale tez jest i trzecie dno, lacznosc komorkowa jest dziurawa jak rzeszoto, wiec chociaz te wszystkie srodki by sie przydaly, to bitwa o stracone z gory pozycje.

    • Wyjeżdżam na tydzień w Bieszczady lub Ukrainę w pierwszym przypadku o zasięg trudno prędzej bateria mi padnie a w kolejnym wyłączam by roaming! nie obrabował mojego konta :) sim swap odkryje po kilku dniach wraz z uszczupleniem środków na koncie…

    • Jestes tym jednym promilem, ktory nalezy zaakceptowac (i zignorowac podczas analizy ryzyka), wprowadzajac te metode chroniaca wiekszosc obywateli.

    • Ok.zabezpieczenie do bani, sytuacja, kradna mi telefon, ide zablokowac kartę i zonk karta xostanie zablokowana za iles tam czasu, przez ten czas zlodziej ma dostęp do urzadzenia i robi przelewy dostajac tylko info ze karta sim bedzie zablokowana. Wiec sie spieszy jeszcze bardziej.
      Dzwonienie na numer tez lipa, odbierze zlodziej i powie ze nic nie wie o blokowaniu sim….

      Dlaczego systemy w telefonach nie alarmuja ze karta stala sie nieaktywna? Nie tylko zmiana ikonki, ale wyswietlenie kominukatu z odpowiednim dzwiekiem. Wtedy karta jest blokowana natychmiast a nowa moze byc aktywan po ok. 2godzinach. W jakims stopniu pomogloby sie zorientowac ze cos sie dzieje i podjac działania.

  21. Moje konto Facebook ma lepsze zabezpieczenia (U2F) niż moje konto w banku z pieniędzmi. To czysta patologia. Ignorancja banków jest porażająca.

    • U2F w banku ma mniejszy sens niz w facebooku. Wazniejsze w banku jest podwojne autoryzowanie (najlepiej challenge response) a nie uwierzytelnianie.

  22. Wg mnie nie należy tego traktować jako problem na styku dwóch instytucji, tylko jako dwa osobne problemy:
    1. Wyłudzenie kart SIM
    2. Opieranie mechanizmów bezpieczeństwa banków na usługach operatorów komórkowych, które nie są do tego dostosowane

    Przy takim podejściu nie ma rozmycia odpowiedzialności – każdy odpowiada za swoją część.

    Rozwiązanie wprowadzone w Mozambiku też nie jest idealne i ma wady:
    1. Blokowanie przelewów na pewien czas
    2. Uzależnienie od siebie dwóch różnych instytucji: banków i operatorów i obligowanie operatorów do implementacji usługi dla banków.
    3. Operatorzy będą wiedzieć kiedy dokładnie osoba o danym numerze wykonała przelew.

    Lepiej byłoby rozwiązać źródło problemu – niedostateczna weryfikacja tożsamości przy wydawaniu karty SIM, lub ewentualnie dodatkowa weryfikacja mogłaby być usługą operatorów z której mogłyby skorzystać banki i ich klienci.

  23. Do tego czasu użytkownik powinien wykryć, że karta sim nie działa i powstrzymać oszustwo.

  24. Nawet wyłudzać nie trzeba, żeby dostać kartę SIM z czyimś numerem… Przenieśliśmy numer do Orange i na miejscu dostaliśmy kartę SIM z ‘tymczasowym’ numerem telefonu. Zaraz po tym, jak karta aktywowała się po włożeniu zaczęły się telefony i ‘co pan robi po tamtej stronie słuchawki’… Okazało się, że numer przypisany do karty należy do jakiejś dziewczyny. Poszliśmy więc z powrotem do salonu, bo my akurat nikomu życia nie chcieliśmy uprzykrzać. Okazało się, że dziewczyna godzinę przed nami odbierała duplikat swojej karty SIM, a jakiś błąd doprowadził do tego, że następnej karcie przypisali ten sam numer…

  25. “Wątpliwości mógłby budzić np. fakt informowania operatorów o tym, że dany klient przeprowadza transakcję bankową.”

    wystarczy zaszumić kanał wysyłając od czasu do czasu fake’owe zapytania.

  26. A czemu u nas tak samo nie można zrobić nie tylko z tym ale i z blokadą dzwonienia od telemarketerów, i w każdej innej dziedzinie gdzie jest to uciążliwe dla nas a nie możemy tego prosto zablokować, np kredyty chwilówki … bo ci co są za to odpowiedzialni są po drugiej stronie barykady i im by się to nie opłacało, poza tym system jest tak prosty i banalny oraz tani że wprowadzenie go nie generuje praktycznie żadnych kosztów a wtedy nie można zarobić na przetargach i zleceniach.

  27. A nie wystarczy 2 numery telefonów i wymóg autoryzacji niektórych operacji podwójnie, dwoma SMSami ?
    Alternatywnie 2 stopniowo czyli SMS + aplikacja?

    Przykładowo przelew do kwoty X = 2000zł jeden SMS. Powyżej 2000zł wymaga dwu stopni autoryzacji.

    • Brnąc w temat dalej, jak klient robi przelew na 3000zł to musi mieć trzy telefony, a jak kupuje auto w salonie to musi zarejestrować 80 kart SIM :).
      Wybacz sarkazm, ale mamy już dwie metody autoryzacji każdego (no prawie) przelewu. Pierwszym stopniem jest “hasło do konta”, drugim SMS autoryzujący transakcję. Po co dublować autoryzację SMS? Bank w ogóle nie powinien wymagać by klient posiadał telefon. Ciekawszym rozwiązaniem będą zapewne nowe dowody osobiste (każdy pełnoletni obywatel RP musi posiadać dowód, wymiana dowodu jest bezpłatna), które od niedawna mają warstwę elektroniczną. Najprawdopodobniej banki znowu polecą na darmochę (jak to było z SMS) i wymuszą podpisywanie transakcji powyżej zdefiniowanych limitów za pomocą warstwy elektronicznej dowodów osobistych jako trzecią (huhu) metodę autoryzacji 9koszt zakupu czytnika spadnie zapewne na klienta, a jedyną słuszną platformą będzie MS Windows :)
      Cytat za obywatel.gov.pl/dokumenty-i-dane-osobowe/dowod-osobisty-informacja-o-dokumencie/
      “Podpis osobisty — zaawansowany podpis elektroniczny umieszczany w e-dowodzie. W kontakcie z urzędem (podmiotem publicznym) jest tak samo ważny jak podpis własnoręczny. Możesz go też używać do załatwiania innych spraw — z firmami lub osobami, jeśli zgodzą się na to obie strony. Ty jako jedna strona i inna osoba lub firma jako druga strona”.

    • Obowiązek posiadania dowodu mają tylko ci pełnoletni obywatele RP, który mieszkają w Polsce. Pozostali mają prawo do jego posiadania, ale nie obowiązek.
      Poza tym na razie korzystanie z podpisu w e-dowodzie nie jest obowiązkowe. Ale spodziewam się że będzie. Rząd w wielu swoich projektach realizuje strategię gotowania żaby.

  28. Polska to kolonia, sto lat za Mozambikiem

  29. Czyli najlepsza opcja, że po wyrobieniu nowej sim np. przez 24h mamy zablokowane sms z banków.

  30. Myślę, że zwykły, generowany automatycznie SMS wysyłany przed dezaktywowaniem starej karty sim byłby bardzo dobrym rozwiązaniem, zwłaszcza w połączeniu z jakimś niewielkim, powiedzmy godzinnym opóźnieniem uruchomienia nowej karty. Nie zapobiegłoby to może wszystkim wyłudzeniom, ale stanowiłoby dodatkową linię obrony, zwłaszcza biorąc pod uwagę, że większość ludzi dość szybko sprawdza swoje SMSy.

    A do listy porad w “co robić, jak żyć” dodałbym jeszcze sugestię przeprowadzenia się do Mozambiku :)

  31. Załóżmy, że ktoś zgubił lub został okradziony z telefonu (smartfona lub standardowego, w którym nie włączył blokady ekranu za pomocą kodu) oraz dokumentów (również z nazwiskiem panieńskim matki), np. skradziono torebkę, kołczan :D czy inne coś, a osoba ma konto w mBanku (z niewyzerowanymi limitami aplikacji mobilnej), to nawet jeśli ma super silne hasło w serwisie transakcyjnym, to przestępca może się chyba z tymi danymi zalogować na konto. Przez to logowanie do aplikacji mobilnej mBanku przez pesel, nazwisko panieńskie matki i kod sms zastanawiam się nad zmianą konta, gdzie to logowanie wymaga podania loginu + hasła do aktywacji.
    Ja z banku korzystam tylko na komputerze i mi aplikacje mobilne niepotrzebne – zresztą mam smartfona, ale starego z WP 8.1, więc i tak nic bym nie zainstalował…
    Jak ktoś chce i ma jako takie pojęcie o kompach, to może przydzielić kilkadziesiąt GB miejsca na dysku i zainstalować obok Windowsa jakiegoś Ubuntu, czy innego Linuksa i tylko tam korzystać z banku (skomplikowane hasło zapisać w jakimś KeePassX i pamiętać tylko prostsze hasło do programu, a nie banku). Z tego systemu korzystać tylko do banku, a zakupy na Windowsie robić np. z wykorzystaniem karty.
    W Interwencji na Polsacie była afera z kradzieżą z konta z wykorzystaniem smartfona (chyba do tego doszedł kredyt – który swoją drogą w aplikacji mBanku można również wziąć z aplikacji mobilnej – dodatkowy minus mBanku) i babka tłumaczyła, że smartfon sobie leżał i nagle sam się zaczął aktualizować, coś tam coś tam, i się nagle okazało, że pieniądze zniknęły i że winny jest BANK – zero szczegółów, coś tam się robiło i winny BANK…
    Z kolei jakaś “jutuberka” tłumaczyła jak ją okradziono z wykorzystaniem OLX, gdzie korzystała z kodów z list papierowych, ale tłumaczyła, że wszystko wyglądało ok i trochę ją zmyliły zielone kłódki (zaczęła w pewnym sensie oskarżać nawet Google o to, że “wymusiło korzystanie z certyfikatów” twórców stron – że niby jak strona ma certyfikat to jest bezpieczna)…
    Ja się oduczyłem płacić szybkimi przelewami (płacę kartą), a gdy w jakichś przelewach24 (np. przy usuwaniu reklam z poczty o2) czy innych nie ma możliwości zapłaty kartą i w grę wchodzi tylko szybki przelew, to bezpośrednio po tym przelewie zmieniam hasło do serwisu transakcyjnego (sprawdzam oczywiście dokładnie adres w pasku przeglądarki i adres przelewów24).
    Tak czy inaczej weryfikacja dwuetapowa, o której wspominacie, to byłaby świetna sprawa (z wykorzystaniem np. Yubikey), ale ludzie, którzy wysyłają pieniądze przez linki z maili czy smsów pewnie i tak by z nich nie korzystały.

  32. “Wątpliwości mógłby budzić np. fakt informowania operatorów o tym, że dany klient przeprowadza transakcję bankową”

    Autorowi wydaje się, że banki wysyłają smsy z kodami, nie informując o tym operatorów.

    • Albo autor wie, ze to nie jedyna metoda autoryzacji a takze taka? Ktorej tresc jest chroniona inną ustawą niż REST API

  33. Można też do autoryzacji sms korzystać z drugiej komórki z numerem telefonu z innego kraju. Jak będą chcieli wyrobić duplikat karty sim to czeka ich wycieczka.

    • Albo telefon na infolinie i ustawienie przekierowania.

  34. Dlaczego w Polsce tego nie mamy? Bo system jest przestarzaly. Wezmy np takie przelewy. W Polsce nadal odbywa sie to w sesjach, ktore odbywaja sie o roznych godzinach. W UK czy np. Holandii (w innych karajach nie sprawdzalem) przelewy realizowane sa w systemie ciaglym.

    • Może przestarzały, ale nie przeszkadza to w byciu poligonem doświadczalnym dla branży – takie mam wrażenie po porównaniu co i jak się wdraża u nas, a co mają inne kraje (i jak bardzo są czasem do tyłu).

      Przelewy w systemie ciągłym? Jeszcze napisz, że za darmo ;o) U nas przecież są “przelewy natychmiastowe”, oczywiście ze stosowną dodatkową opłatą od tego luksusu ;-D

  35. gratuluję! świetna porada zablokuj każdemu wymieniającemu SIM dostęp do transakcji internetowej na 72 godziny a jak chcesz skorzystać z takiej możliwości to idź do banku! Jak już pójdę do banku to po co mam korzystać z transakcji internetowej? To rozwiązanie w stylu Mozambik jest po prostu jak Mozambik. Dlatego USA nie rozwiązały tego problemu bo nie jest to problem. To jest odpowiedzialność pracownika operatora.

  36. “Wątpliwości mógłby budzić np. fakt informowania operatorów o tym, że dany klient przeprowadza transakcję bankową.”

    Tak jakby oni o tym nie wiedzieli. Jak dostajesz SMS-a z banku z kodem SMS, to on przechodzi przez sieć operatora. Oczywiście, prywatność SMS-ów jest chroniona, ale to samo można zrobić z nową ustawą wymuszającą udostępnianie takich informacji przez operatora.

    Powiem więcej, logiczniejsze byłoby nie udostępnianie takiego API, a informowanie banku kiedy próbuje wysłać SMS-a z kodem błędu wyjaśniającym odrzucenie z powodu niedawnej zmiany karty SIM. Bank nie potrzebuje wiedzieć tego, chyba że akurat chce wysłać kod SMS.

  37. Czasami faktycznie za kradzieżami jest “drugie dno”. Pamiętam jak lata temu, w szczycie niemieckiej nagonki na “kradzieże samochodów przez Polaków” wystąpił komendant niemieckiej policji i powiedział, że seryjne zabezpieczanie samochodów, by wyeliminować 90% kradzieży kosztowałoby mniej niż 15€, ale… nikt tym nie jest zainteresowany, bo 3/4 “kradzieży” przez Polaków niemieckich samochodów, to “ustawka” z Niemcami: Niemiec daje polskiemu “złodziejowi” dowód rejestracyjny, Polak bez ryzyka wywozi samochód, odwozi dowód, Niemiec zgłasza kradzież, dostaje odszkodowanie i kupuje sobie nowy model i wszyscy są szczęśliwi: Niemiec tanim kosztem mający nowy samochód, producenci samochodów mający rynek zbytu, Polacy mający tanie samochody, ubezpieczyciel podnoszący składki i mający większe obroty i zyski. No prawie wszyscy: niezadowoleni byli tylko uczciwi Niemcy, którzy w tym nie brali udziału a którzy płacili przez to wyższe składki na ubezpieczenie, ale jak zauważył komendant, ich głos liczył się najmniej… ;)

  38. Ciekawe byłoby gdyby Państwo spróbowali opisać problem z innej strony. Sam „SIM swap” nie bierze się z powietrza i jest to chyba jeden z ostatnich etapów decyzyjnych u przestępców.
    Przestępcy najpierw musieli w jakiś sposób poznać login i hasło do konta bankowego. Musieli w jakiś sposób pozyskać informację, że dany klient ma odpowiednią ilość pieniędzy na koncie że warto ryzykować wycieczkę do salonu celem wyrobienia nowego SIMa.
    Może zatem warto opisać to wszystko co poprzedza decyzję o zrobieniu „SIM swapa” przez przestępcę. To pozwoliłoby ludziom nie doprowadzać do sytuacji w której SIM swap jest realnym zagrożeniem.

    • Ależ opisywaliśmy to. Wiele razy. I nawet jest podlinkowane w niniejszym artykule.

  39. przy okazji tematu autoryzacji sms.. czy ktoś wie coś na temat występującej aktualnie występującej awarii w plusie?
    strona: multiinfo.plus.pl leży od 2 godzin…

    • Mają coś skopane z certyfikatem/konfiguracją.

  40. A mogliby po prostu zadzwonić na numer który dana osoba chce przejąć…

    • trochę dziurawy pomysł: załóżmy :

      ukradli mi telefon, zgłaszam w punkcie żeby mi zablokować telefon i wyrobić duplikat, operator dzwoni na numer, odbiera złodziej i mówi że to ja chcę wyłudzić duplikat, w tym momencie to ja staję się podejrzany, a złodziej czyści konto…..

  41. A jakby używać w banku numeru telefonu zarejestrowanego na inne dane osobowe? Osoba co zdobędzie dane do naszego konta zakłada, że numer telefonu należy do osoby na te same dane. A jak telefon jest na inne?

  42. Ale operatorzy mają gdzieś bezpieczeństwo!
    Kiedyś miałem nieprzyjemność się o tym przekonać osobiście. Główny grzech to nierzetelne sprawdzanie danych, nieprzestrzeganie podstawowych procedur bezpieczeństwa. No bo jakim cudem możliwe jest zawarcie umowy na nieaktualny dowód przez osobę 3-cią? Dowód wpisany do systemu że jest nieaktualny od dawna, fizycznie przecięty przez urzędnika przy wymianie na nowy, ale jednak w Polkomtelu dało się na niego zawrzeć umowę (nawet 3). Ba! Takich umów było więcej, na inne osoby, o ile pamiętam to albo 80 albo 180. Wszystkie z dostawą na jeden adres. I Polkomtel się nie zorientował niby że coś jest nie tak… Dopiero po 3 miesiącach jak im płatności nie przychodziły…
    A jak już do czegoś dojdzie to Polkomtel próbuje “obuć” w spłatę takich umów niewinnych ludzi, a nie tego który oszukał.
    W moim przypadku Polkomtelowi się nie udało, choć trochę mi to zajęło, byłem w stanie udowodnić im, że to oni są odpowiedzialni za zawarcie umów na podstawie nieaktualnych dokumentów. Ale jak ktoś nie zmieniał akurat DO to miał problem.
    W “nagrodę” Polkomtel chyba wpisał mnie na swoją czarną listę, bo jak potem chciałem wziąć u nich abonament (bez tel.) to mi kazali wpłacić kaucje. W Orange nie miałem żadnych problemów z tym. Polkomtel, jak ich spytałem dlaczego,podał tylko listę możliwych przyczyn dla którym mogą wymagać kaucji i podobno nie muszą klientowi dokładnie podawać dlaczego chcą kaucję. Sprawdziłem wszystkie pozycje z ich listy – pod żadną nie podpadałem żeby stosować kaucję, więc myślę że to taka ich “zemsta” za to że nie dałem się wrobić w spłacanie tych wyłudzonych telefonów.

    • ha, bo taka jest prawda że nie sprawdzają, można podać cokolwiek i przejdzie. Ba nawet BIK nie weryfikuje ważności dokumentów, sam mam zgłoszony w bik stary dowód i bez problemów mogę brać kredyty na nowy dokument.

      Wygląda to tak, że te wszystkie BIKI, CHRONPESELE itp służą tylko poprawie SAMOPOCZUCIA dla ludzi. tak naprawdę jak przychodzi co do czego to i tak ofiara wyłudzenia musi udowadniać że nie jest wielbłądem, bardzo dobrze pokazuje to Twój przykład.

      Wygląda na to że jedyne wyjście to zastrzeganie dokumentów po każdym skanowaniu/kserowaniu w banku, ratach, telkomie itp. Wtedy jest jakaś szansa że się nie będzie płaciło za kogoś….

  43. Czyli żeby być (w miarę) bezpiecznym trzeba utrzymywać dwa numery? Wiadomości sms też mogą zawierać wirusa – więc nie wiem czy wszystkie trzeba odbierać… Natomiast autor nie pisał o konieczności aktualizacji WSZYSTKIEGO, co jest zainstalowane. Nawet w tym formularzu trzeba wpisywać swój mail. W jakim celu?

  44. Problemem jest uzywanie GSM/SMS do MFA (w tym przypadku do autentykacji przy transakcjach bankowych) przy jednoczesnym wydawaniu SIM w zasadzie bez autentykacji (“podanie podstawowych danych jak imie i nazwisko, etc”). Rozwiazanie z Mozambiku jest o tyle “slabe”, ze nie dotyka przyczyny, a skutek.

  45. […] SIM Swap powinien być jakoś rozwiązany systemowo, choć łatwiej to powiedzieć niż zrobić. Mozambik pokazał, że istnieje rozwiazanie zaradcze choć w naszej rzeczywistości taki system nie może być wprowadzony (#boRODO). Wydaje się, że […]

Odpowiadasz na komentarz Cezary

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: