Coraz więcej osób pada ofiarą złożonych schematów oszukańczych, które wykorzystują luki w systemach bezpieczeństwa oraz naiwność nieświadomych użytkowników. Jednym z takich niebezpiecznych trendów jest oszustwo kolekcjonerskie polegające na przejęciu konta bankowego lub innych kont internetowych ofiary poprzez wyłudzenie duplikatu karty SIM.
Atak na konto Grzegorza – błyskawiczna kradzież tysięcy złotych
Przykładem takiego oszustwa jest przypadek Grzegorza, klienta mBanku, który we wrześniu 2022 roku padł ofiarą skomplikowanego ataku. Według relacji Grzegorza, w ciągu zaledwie 40 minut z jego firmowego konta wyprowadzono bardzo duże sumy pieniędzy – praktycznie całe oszczędności zostały wyczyszczone.
Wszystko zaczęło się od awarii karty SIM w telefonie Grzegorza. Jak się później okazało, sprawcy zdołali wyłudzić duplikat karty SIM w salonie operatora, prawdopodobnie podszywając się pod ofiarę. Dzięki temu uzyskali dostęp do numeru telefonu Grzegorza i kodów potwierdzających przelewy bankowe wysyłanych przez bank na ten numer.
W ciągu kilkudziesięciu minut sprawcy dokonali kilku nielegalnych przelewów ekspresowych z konta Grzegorza na inne rachunki. Mimo że bank szybko zareagował i skontaktował się z klientem, pieniądze zdążyły już opuścić jego konto. Choć bank obiecywał rozpatrzenie reklamacji w ciągu 30-60 dni, ostatecznie udało się odzyskać skradzione środki w niespełna 10 dni – prawdopodobnie dzięki sprawnej współpracy między bankami oraz organami ścigania.
Kolejne ofiary – atak na konta w Żywcu
Jak się później okazało, Grzegorz nie był jedyną ofiarą tego typu przestępstwa. Według informatora serwisu Niebezpiecznik.pl, w tym samym dniu 12 lipca 2022 roku w Żywcu podobnej kradzieży padło łącznie 7 osób – również klientów mBanku, którym skradziono po kilkaset tysięcy złotych.
Wektor ataku był podobny – sprawcy wyłudzali duplikaty kart SIM, doprowadzając do wyłączenia telefonów ofiar, a następnie dokonywali nielegalnych przelewów na inne rachunki. Skradzione środki były następnie wyprowadzane z banku i zamieniane na kryptowaluty.
Sprawa została przejęta przez Policję Gospodarczą, a komputer jednej z ofiar został przebadany pod kątem obecności złośliwego oprogramowania. Analiza wykazała 9 wirusów, w tym 4 pliki związane z nielegalnymi próbami aktywacji pakietu Office. Choć nie udowodniono bezpośredniego udziału komputera w kradzieży, sytuacja ta potwierdza, że przestępcy mogą wykorzystywać różne kanały, by pozyskać poufne dane potrzebne do przeprowadzenia ataku.
Przypadek Wandy – podrobione upoważnienie i wyłudzenie karty SIM
Opisane wyżej przypadki nie były jedynymi tego typu incydentami. Wcześniej, w styczniu 2022 roku, do redakcji Niebezpiecznika.pl zgłosiła się Wanda, której również wyczyszczono konto w banku BZWBK przy użyciu duplikatu karty SIM.
W tym przypadku oszuści posłużyli się podrobioną notarialną zgodą na wydanie duplikatu karty SIM. Co ciekawe, wskazany na dokumencie notariusz w ogóle nie istniał, a numer dowodu osobistego Wandy nie zgadzał się z tym podanym na upoważnieniu.
Wykorzystując duplikat karty SIM, złodziej uzyskał dostęp do kodów startowych i loginu do konta Wandy w BZWBK. Prawdopodobnie udawał na infolinii banku, że zapomniał danych logowania, i poprosił o ich ponowne przesłanie. Po kradzieży środków z konta w BZWBK przestępca próbował także włamać się na konto Wandy w PKO BP, jednak bezskutecznie.
Wanda była wówczas za granicą, a jej telefon używała córka. Nieświadoma kradzieży, córka zadzwoniła do biura obsługi klienta T-Mobile, podając się za matkę, i poprosiła o wysłanie nowej karty SIM kurierem na adres swojej firmy. Kurier nie zweryfikował tożsamości córki i wydał jej przesyłkę z duplikatem karty SIM.
Bank BZWBK początkowo nie chciał uznać reklamacji Wandy, argumentując, że dostęp do jej konta został uzyskany przy użyciu prawidłowych danych. Dopiero po interwencji prawnej udało się doprowadzić do ugody, choć na dzień publikacji artykułu nie została ona jeszcze zawarta.
Zjawisko „SIM swap fraud” – zagrożenie nie tylko dla kont bankowych
Wyłudzanie duplikatów kart SIM i wykorzystywanie ich do kradzieży pieniędzy lub innych cennych zasobów to problem, który dotyczy nie tylko Polski. Według raportu serwisu Motherboard, takie ataki, określane mianem „SIM swap fraud”, są coraz bardziej powszechne na całym świecie.
Co gorsza, przejęcie cudzego numeru telefonu poprzez duplikat karty SIM może oznaczać nie tylko wyczyszczenie konta bankowego, ale także utratę kontroli nad kontami w serwisach społecznościowych, komunikatorach lub innych usługach internetowych, gdzie numer telefonu pełni rolę elementu autoryzacji lub uwierzytelniania.
Dlatego niezwykle ważne jest, aby użytkownicy zamiast polegać na autoryzacji przez SMS, korzystali z innych form dwuskładnikowego uwierzytelniania, takich jak aplikacje do generowania kodów jednorazowych. Warto również rozważyć całkowite usunięcie numeru telefonu z kont, jeśli jest to możliwe.
Luka w bezpieczeństwie – rola czynnika ludzkiego
Analiza opisanych przypadków wskazuje, że słabym ogniwem w systemie bezpieczeństwa są często sami pracownicy operatorów telekomunikacyjnych lub banków. Choć firmy te mają zaawansowane procedury weryfikacji klientów, zdarzają się sytuacje, gdy pracownicy, kierując się chęcią pomocy lub brakiem dostatecznej znajomości procedur, umożliwiają przestępcom zdobycie cennych informacji.
Serwis Stop Oszustom prowadzi badania, w ramach których testuje, w jaki sposób można wyłudzić duplikat karty SIM w różnych salonach operatorów. Okazuje się, że w części przypadków udaje się to zrobić, co tylko potwierdza, że luka w systemie bezpieczeństwa tkwi właśnie w czynnym ludzkim elemencie.
Dlatego oprócz usprawniania własnych zabezpieczeń, równie ważne jest, aby operatorzy telekomunikacyjni, banki i inne instytucje finansowe wdrażały rygorystyczne procedury weryfikacji klientów oraz odpowiednio szkolili swoich pracowników. Tylko takie kompleksowe podejście może skutecznie chronić użytkowników przed coraz bardziej wyrafinowanymi metodami oszustw.
Wnioski i rekomendacje
Oszustwo kolekcjonerskie oparte na wyłudzeniu duplikatu karty SIM to poważne zagrożenie, które może prowadzić do utraty oszczędności zgromadzonych na kontach bankowych, a nawet przejęcia kont w serwisach społecznościowych i innych usługach internetowych.
Aby uchronić się przed tego typu atakami, użytkownicy powinni:
- Zrezygnować z autoryzacji SMS na rzecz innych form dwuskładnikowego uwierzytelniania, takich jak aplikacje do generowania kodów jednorazowych.
- Rozważyć całkowite usunięcie numeru telefonu z kont, jeśli jest to możliwe.
- Zachować czujność i regularnie sprawdzać stan swoich kont oraz aktywność na nich.
- Zgłaszać wszelkie niepokojące sytuacje związane z dostępem do swoich danych lub kont do banków, operatorów telekomunikacyjnych i organów ścigania.
Z kolei instytucje finansowe i telekomunikacyjne powinny:
- Wdrożyć rygorystyczne procedury weryfikacji klientów, aby utrudnić przestępcom uzyskanie dostępu do danych użytkowników.
- Zapewnić kompleksowe szkolenia dla pracowników, aby podnieść świadomość zagrożeń i wzmocnić respektowanie obowiązujących procedur.
- Współpracować ściśle z organami ścigania, aby skutecznie walczyć z tego typu przestępstwami.
Tylko kompleksowe działania na wielu płaszczyznach mogą skutecznie chronić użytkowników przed coraz bardziej wyrafinowanymi metodami oszustw kolekcjonerskich. Kluczową rolę odgrywają zarówno świadomość i odpowiedzialne zachowania samych użytkowników, jak i ciągłe doskonalenie systemów bezpieczeństwa przez instytucje.
