12:12
17/3/2020

O tym jak dużym problemem są oszustwa bankowe z wyłudzeniami kart SIM może świadczyć skala działania dwóch grup oszustów z Hiszpanii i  Rumunii. Na szczęście obie grupy zostały rozbite.

W ostatnich dniach Europol poinformował o zatrzymaniu 26 osób, które dokonywały tzw. SIM swap frauds, czyli oszustw związanych z wyłudzeniem karty SIM. Przypomnijmy jak to działa. Najpierw oszust musi uzyskać dane logowania do banku. Może to zrobić poprzez phishing lub malware. Następnie oszust podrabia dokument ofiary i udaje się do salonu operatora by uzyskać duplikat karty SIM. Mając duplikat może autoryzować przelewy bo SMS-y przychodzą na jego telefon. W Polsce też dokonywano takich oszustw i to na duże kwoty.

SIM swap na 3 mln euro

Funkcjonariusze hiszpańskiej policji (Policía Nacional), Straży Narodowej (Guardia Civil) oraz Europolu namierzyli grupę przestępczą odpowiedzialną za kradzież ok. 3 mln euro właśnie z wykorzystaniem wyłudzonych kart SIM. W związku ze sprawą aresztowano 12 osób w Benidorm, Granadzie i Valladolid. W skład grupy wchodzili ludzie w wieku od 22 do 52 lat będący obywatelami Włoch, Rumunii, Kolumbii i Hiszpanii. Szacuje się, że grupa dokonała blisko 100 oszustw, z których każde było na kwotę od 6 tys. do 137 tys. EUR.

Przestępcy najpierw pozyskiwali dane do logowania do banku za pomocą m.in. trojanów bankowych oraz “innych rodzajów złośliwego oprogramowania” (tak to nazwał Europol). Następnie wyłudzali karty SIM od operatorów posługując się fałszywymi dokumentami. Mając karty SIM mogli autoryzować przelewy kodami SMS przychodzącymi na telefony. Pieniądze wyprowadzali na konta słupów. Każdy atak był przeprowadzony w czasie od 1 do 2 godzin, a zatem ofiara nie miała zbyt wiele czasu na reakcję.

Kradli karty SIM by wypłacać z bankomatów

W ramach innego śledztwa policja rumuńska (Poliția Română) przy wsparciu austriackiego Bundeskriminalamtu oraz Europolu aresztowała 14 osób zaangażowanych w podobne oszustwa, których ofiarami byli posiadacze kont w bankach austriackich. Zatrzymań przestępców dokonano m.in. w Bukareszcie i Konstancy.

Złodzieje z Rumunii działali nieco inaczej. Logowali się na konta bankowe nie w celu wykonania przelewu, ale w celu wygenerowania kodu jednorazowego służącego nastepnie do wykonania jednorazowej operacji wypłacenia pieniędzy z bankomatu bez użycia karty. Oczywiście wygenerowanie kodu do wypłaty było operacją wymagającą potwierdzenia kodem jednorazowym przesłanym SMS-em i tutaj potrzebna była wyłudzona karta.

Szacuje się, że ta grupa ukradła ponad pół miliona euro. Europol nie ujawnił w jaki sposób złodzieje pozyskiwali dane logowania na konta.

Przy obu dochodzeniach  zaangażowane było EC3 – centrum Europolu do spraw cyberprzestępczości. Ta istna unijna cyberpolicja, która działa od roku 2013. Celem jej istnienia jest wspieranie innych jednostek wiedzą ekspercką oraz specjalistycznym sprzętem. Przy okazji rozbicia grup SIM swaperów EC3 przygotowała infografikę wyjaśniającą jak działają oszustwa tego typu.

Choć oszustwa typu SIM swap znane są od dawna, problem jest ciągle aktualny i ma charakter międzynarodowy. W ubiegłym roku w Stanach Zjednoczonych FBI publikowało oficjalne ostrzeżenia przed tego typu oszustwami, a co jakiś czas informowano o aresztowaniu pojedynczych oszustów. Przykładowo pod koniec ubiegłego roku Departament Sprawiedliwości informował o zatrzymaniu 23-latka, który wyłudzał karty SIM przy pomocy socjotechniki i w ten sposób uzyskiwał dostęp m.in. do kont związanych z kryptowalutami. Da się zauważyć, że w USA SIM swap fraud częściej służy własnie do przejęcia kryptowalut albo do przejęcia cennych kont w usługach online (np. kont z krótkimi nazwami na Instagramie).

Co robić? Jak żyć?

Naszym zdaniem problem oszustw typu SIM Swap powinien być jakoś rozwiązany systemowo, choć łatwiej to powiedzieć niż zrobić. Mozambik pokazał, że istnieje rozwiazanie zaradcze choć w naszej rzeczywistości taki system nie może być wprowadzony (#boRODO). Wydaje się, że dobrym pomysłem byłoby np. dzwonienie za każdym razem do osoby, która rzekomo chce zmienić kartę SIM. Być może należałoby wprowadzić okienko czasowe między wyłączeniem jednej, a włączeniem drugiej karty SIM. To wyeliminowałoby przynajmniej część oszustw, choć nie byłoby to super wygodne.

To co nam nam pozostaje to zabezpieczyć się we własnym zakresie.

  1. Jeśli Twój numer telefonu jest znany publicznie, nie używaj go do konta bankowego. Bardzo często ofiarami wyłudzeń SIM trafiają osoby, które np. podpięły do konta numer firmowy (a w dodatku inne ich dane są publiczne np. PESEL jest widoczny w KRS). Im bardziej eksponowaną osobą jesteś tym bardziej zadbaj o to, aby do konta podpięty był Twój tajny, a nie oficjalny numer.
  2. Dbaj o aktualność oprogramowania na komputerze i telefonie (oszustwo SIM swap nierzadko wspierane jest złośliwym oprogramowaniem do wykradania loginu i hasła).
  3. Uodpornij się na phishing (szczególnie teraz, w czasach koronawirusa). Nie loguj się na strony, do których link dostałeś SMS-em lub mailem.
  4. Ogranicz udostępnianie danych o sobie (oszuści mogą potrzebować Twoich danych by zweryfikować się na infolinii).
  5. Jeśli Twój telefon nagle traci zasięg bez wyraźnego powodu, skontaktuj się z operatorem i ustal, czy ktoś nie wyłudził Twojej karty SIM.

 

Przeczytaj także:



24 komentarzy

Dodaj komentarz
  1. Używanie dedykowanego numeru do banku ma też inne zalety. Na przykład w mBanku nie da się wskazać oddzielnych numerów do kontaktu i do odbioru SMS (musi być jeden numer do tego i tego). Zatem podajemy numer takiego telefonu, który przez 99% czasu leży wyłączony w szufladzie i jest używany tylko na okazję przelewu. Dzięki temu prostemu trikowi uwalniamy się od całej telehołoty marketingowej, która wydzwania w najmniej odpowiednim momencie, wciska kredyty i podnosi klientowi ciśnienie!

    • Ja właśnie tak robię, czyli numer dedykowany tylko do przelewów, odpada fishing, telemarketing.

    • Akurat marketing w mBanku idzie wyłączyć prosto- dzwonisz na infolinię i prosisz o wyłączenie wszystkich zgód na kontakt, wliczając te, które są niedostępne z panelu klienta (jest ich o ile pamiętam o dwie więcej, niż widzisz po zalogowaniu).

    • A jeszcze lepiej władować taką karę sim do jakiejś bramiki GSM -> SIP, albo od razu do modemu USB i sobie pod jakimś Debianem skonfigurować sktypt, który będzie odbierał SMS’y.

    • Dlaczego rozmawiasz z telehołotą marketingową, ja im grzecznie mówię, że nie jestem w stanie zweryfikować czy dzwonią faktycznie z banku i dziękuję za rozmowę.

      W ogóle dziwne, że jak ktoś przedstawia się, że jest z banku i prosi o nasze dane jak imię czy data urodzenia, a innym razem o miejsce zamieszkania czy nazwisko panieńskie to tak chętnie podajemy :).

  2. A w tymczasie, Orange Flex, przez konto aktywowane paszportem, który był nieważny od 5 lat, pozwolił mi w ciągu 5 minut przepiąć kartę sim z nju (zależnego od Orange) do Flexa.
    Weryfikacja w Flexie jest tylko przez zdjęcie dokumentu i twarzy.

  3. Namierzyłem hakera groźnego ma nick tomeknieromek, ciągle trolluje na forach zmienia nicki, odgrażał mi się gdy poznałem jego stały nick. Wgrywa trojany ludziom na Windows 10, gdy poznałem jego prawdziwy nick tomeknieromek to przeniósł się na systemy Linux i trollował fora linuksowe typu linuksiarze.pl, linux.pl, slackware.pl, dobreprogramy, debian.pl

  4. To nie jest wyludzenie karty sim tylko przypisanie numeru do nowej karty sim ( a nie duplikat itp)

  5. A może lepiej zrezygnować z uwierzytelnienia przez sms, na poczet np. kart zdrapek? Ja dalej takie mam w PKO BP.

    • Eee. Przecież mieli to wyłączyć!
      Ja też mam nieużywaną kartę kodów jednorazowych od mBanku. Tyle, że mogę ją wyrzucić, bo już nie ma prawa działać.

  6. Powiedzcie mi, czy jak komuś uda się dostać duplikat mojej karty SIM, to czy jak go uaktywni to moja karta SIM przestanie działać, tak? Czyli wtedy mamy podejrzenie że coś się dzieje? Czy może być tak że obie karty działają równolegle,a my nie mamy pojęcia że ktoś ma duplikat ?

    • Tak, tak, nie :-)

    • Kamil, w większości przypadków (powiedziałbym że w 99%) przy wyrobieniu duplikatu karta przestaje działać. Więc warto wtedy skontaktować się ze swoim operatorem i zgłosić problem. Niektórzy operatorzy przy wymianie karty SIM wysyłają SMSa o tym, ze karta będzie wymieniana, opóźniając aktywację nowej karty SIM zeby dać czas klientowi na zgłoszenie podejrzenia oszustwa. Może wystąpić przypadek klona karty, który działa bez dezaktywacji karty oryginalnej, ale na chwile obecną jest on dużo trudniejszy technicznie do wdrożenia przez oszustów i nie słyszałem, zeby w PL wystąpił w scenariuszu z wyłudzeniem środków z banku.

  7. > policja rumuńska […] aresztowała

    Błagam, przestańcie tępo tłumaczyć “arrested” jako “aresztować”!
    Policja może tylko *zatrzymać* i to na określony, krótki czas.

  8. Silne uwierzytelnianie dwuskładnikowe ma w założeniu zrealizować dwie pierwsze literki z AAA tj. Authentication (kto to robi) i Authorization (co autoryzuje). Trzecia literka A (Accounting) to robota banku (wiemy co kto zrobił). I tak:

    1) przy wspomnianych zdrapkach – jest pierwsze A – wiemy kto autoryzuje (bo zdrapki przychodzą listem poleconym w szczelnej kopercie itp.), ale nie mamy pewności drugiego A (wpisujemy kod na ślepo – być może w podstawioną stronę bankowości, albo autoryzujemy przelew zaufany zamiast tego co wyświetla nam złośliwy kod w przeglądarce),
    2) przy SMS – mamy dwa A (SMS przychodzi do wiadomo kogo i jest w nim informacja o tym co autoryzujemy – nawet jak strona przekonuje nas, że jest inaczej – wystarczy przeczytać treść SMS). Przechwycenie/podmiana SMS przez “cywilnego” złodzieja (IMSI Catcher) prawie nierabialna. Słabym ogniwem jest tutaj człowiek w salonie operatora, który nieostrożnie wyda duplikat karty SIM przestępcy.
    3) token sprzętowy bez challenge/response (generujący kolejne wartości automatycznie) – dokładnie taka sam sytuacja jak ze zdrapką,
    4) token sprzętowy z challenge/response (aby dostać token trzeba wklepać challenge – np. kilka cyfr z rachunku odbiorcy) – chyba najbezpieczniejszy – tokena nie da się zainfekować złośliwym oprogramowaniem, a jak operacja wyświetlana w przeglądarce nie zgadza się z tym co rzeczywiście złośliwy kod w przeglądarce wysyła do banku to operacja po prostu nie przejdzie. Niestety rozwiązanie na wymarciu w bankach (duże koszty, tokeny trzeba wymieniać itp.)
    5) aplikacja token mobilny – jeśli założymy, że jest poprawnie aktywowana i wyświetla także dane autoryzowanej transakcji i nie mamy zawirusowanego telefonu to daje podobne bezpieczeństwo jak opcja 4). Chyba najlepsza i jedyna opcja w obecnych czasach tylko trzeba pilnować bezpieczeństwa na telefonie (tu przewaga iOS nad Android w kontekście śmieciowego softu w sklepie).

    Niebezpieczniku – coś pominąłem ? :)

    • > Niestety rozwiązanie na wymarciu w bankach (duże koszty, tokeny trzeba wymieniać itp.)

      Czy rzeczywiście jest to tak drogie?

      Bo to rozwiązanie wprost idealne. Token jest malutki, można przypiąć do kluczy. Nie wymaga podawania bankowi numeru telefonu. Nie trzeba dosyłać nowych zdrapek. Nie grozi żaden SIM swap…

    • W UK nadal można mieć PIN sentry. Urządzenie do którego wkłada się kartę debetową powiązaną z kontem. Wpisuje PIN następnie można wpisać challenge podany przez bank I wyświetla się odpowiedź. Urządzenie jest kompatybilne między bankami więc wystarczy wsadzić kartę z innego banku by potwierdzać tranzakcje. nie sądzę by to było drogie w produkcji a moje działa już od 6 lat. Trzeba było tylko zmieniać baterię co jakieś 2-3 lata.
      Oczywiście jak ukradną kartę i wyłudzą PIN to jest problem, ale równie dobrze mogą ukraść telefon.

  9. Tak sobie głośno myślę. Przecież są osoby, które odkrywają próbę wyłudzenia i wpisują nieprawdziwe dane (które pewnie nie zawsze da się łatwo rozpoznać). W takim razie złodzieje muszą jakoś weryfikować dane logowania do banku, które wyłudzą, bo wyłudzenie karty SIM pewnie trochę kosztuje (pieniądze, czas, ryzyko). A jak można inaczej zweryfikować dane logowania do banku, niż logując się tymi danymi?
    Jeśli tak, to całkiem niezłym zabezpieczeniem przed kradzieżą powinna być informacja SMS lub email, że ktoś się zalogował na moje konto w banku. Jeśli to nie byłem ja, to trzeba natychmiast zadzwonić do banku i zgłosić problem. Tylko czasem ten email o próbie logowania potrafi przyjść po kilku godzinach.

  10. “Alee paaniieee, ja jestem uczciwy czlowiek, ja nie mam nic do ukrycia! Niech sobie szpieguja na zdrowie a tego szyfrowania tez *tym* cwaniakom zabronic…”

    “Dziury w sprzecie? Dziury w oprogramowaniu? Danie o bezpieczenstwo i instalowanie latek jest dla nerdow, no bo co sie moze stac?”

    To. Dokladnie To.

  11. Mieszkam w UK. Kilka miesięcy temu okradli tak mojego kolegę. Tutaj do swapa nie potrzeba dokumentu, bo prepaidowe SIMy nie są rejestrowane.
    Przy swapie wysyłają SMS na starą kartę i trzeba go podać by potwierdzić swap.
    Do kolegi zadzwonili podając się za dział obsługi klienta O2 I spytali się czy na pewno chce kupić nowego iPhona. Kolega powiedział, że nie. Na co mu odpowiedzieli, że prawdopodobnie hackerzy włamali się na jego konto i trzeba je zablokować. aby to zrobić musi im przeczytać numer z SMSa, który do niego wyślą. Kolega im przeczytał i po chwili jego telefon przestał działać. Dopiero wówczas przeczytał SMSa i się zorientował że coś jest nie tak. Zadzwonił z pożyczonego telefonu do O2 a tam mu powiedzieli, że pewnie padł ofiarą swap scam I polecili szybko skontaktować się z bankiem. Zanim to zrobił złodzieje użyli SIMu do podpięcia aplikacji mobilnej do jego konta i przy jej pomocy potwierdzili przelewy. wysyłali po kilkaset funtów i po kilku tranzakcjach bank zablokował konto domyślając się scamu.

    • Czyli kolega przeczytał kod z SMSa ale już samej treści, która jest zwykle przed kodem nie przeczytał. Na takie pułapki socjotechniczne żadna technologia nie pomoże :P

  12. Problem SIM swap można bardzo łatwo rozwiązać, oczywiście systemowo. Wystarczy, aby każdy operator wysyłał do klienta wiadomość SMS o przyjęciu zgłoszenia dezaktywacji starej i aktywacji nowej karty SIM. Zanim cała procedura zakończy się (zwykle trwa to kilka godzin), to klient zdąży skontaktować się z operatorem w celu anulowania niezleonej przez niego operacji.

    • Ależ tak właśnie jest – otrzymuje się SMS-a (przynajmniej w Plusie). Tyle tylko, że jak już podniesiesz telefon do oczu zaraz po piknięciu info o nowej wiadomości i ją czytasz to ta karta co ją masz w trzymanym urządzeniu już jest wyłączona. Wymieniałem kartę w styczniu i tak właśnie było. Tak więc SMS nie jest żadnym rozwiązaniem, jeżeli nie ma po nim sensownej (długiej) zwłoki czasowej. A jeszcze lepiej żeby w starej karcie, jeśli jest aktywna, trzeba było wysyłać jakiś kod potwierdzenia. Niestety operatorom chyba to zwisa, bo tyle czasu jest z tym problem i jeszcze nic sensownego nie wdrożyli.

  13. […] Do innych spektakularnych zatrzymań SIM swaperów doszło w marcu br. Funkcjonariusze hiszpańskiej policji (Policía Nacional), Straży Narodowej (Guardia Civil) oraz Europolu namierzyli grupę przestępczą odpowiedzialną za kradzież ok. 3 mln euro. Z kolei policja rumuńska (Poliția Română) przy wsparciu austriackiego Bundeskriminalamtu oraz Europolu aresztowała 14 osób, które ukradły ponad pół miliona euro (więcej o tym w tekście pt. Wyłudzacze kart SIM ukradli miliony euro). […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: