W życiu może zdarzyć się sytuacja, że zgubimy telefon lub uszkodzimy kartę SIM naszego numeru telefonu i pilnie będziemy potrzebowali wyrobić jej duplikat. Operatorzy komórkowi oferują możliwość wyrobienia duplikatu karty SIM. W większości przypadków będzie to wymagało udania się do salonu operatora a do uzyskania nowej karty konieczne będzie przejście uprzedniej weryfikacji. Niestety posiadając dane osobowe ofiary może to zrobić również złodziej. Z tego artykułu dowiesz się jak działa oszustwo SIM Swap?
Okazuje się, że złodzieje również mogą bez wiedzy posiadacza telefonu, podając nawet tylko PESEL, w związku z dziurawymi procedurami odzyskiwania kart SIM u operatorów komórkowych, uzyskać nieograniczony dostęp do telefonu ofiary. Coś, co na pierwszy rzut oka wydaje się niemożliwe, w rzeczywistości może się przydarzyć każdemu, więc warto zawczasu się zabezpieczyć.
Jak działa oszustwo SIM Swap i dlaczego jest tak niebezpieczne?
SIM Swap (także nazywane oszustwo na duplikat karty SIM, SIM Swapping, SIM exchange lub SIM replacement) to sposób oszustwa, polegający na przejęciu przez przestępców kontroli nad numerem telefonu ofiary przez uzyskanie duplikatu karty SIM. Przestępca pozyskując duplikat karty SIM numeru telefonu ofiary uzyskuje dostęp do połączeń, wiadomości SMS i innych informacji przekazywanych przez operatora komórkowego.
Jak złodziej pozyskuje dane osobowe ofiary SIM Swap i uzyskuje dostęp do telefonu?
Do dokonania oszustwa na duplikat karty SIM (SIM Swap), oprócz numeru telefonu, złodziej musi pozyskać dane osobowe ofiary, takie jak m.in. imię i nazwisko, PESEL, adres e-mail.
Paradoksalnie zdobycie tych danych nie jest wcale takie trudne. Źródłem pozyskania danych może być dokonanie innego przestępstwa np. za pomocą phishingu, haseł wykradzionych ze stron internetowych lub włamanie do systemów bezpieczeństwa, w których ofiara jest zarejestrowana, z nielegalnych baz danych pochodzących z wycieku danych np. sklepów internetowych. Co ważne dane można uzyskać legalnie nawet z ogólnie dostępnych źródeł jak np. dane osób pełniących funkcje w spółkach z Krajowego Rejestru Sądowego, dane dostępne w Centralnej Ewidencji Działalności Gospodarczej.
Posiadając już niezbędne dane ofiary, złodziej kontaktuje się z operatorem telefonii komórkowej i podszywając się pod ofiarę, zleca przeniesienie numeru telefonu na nową kartę SIM, którą operator prześle na wskazany (zmieniony przez oszusta) adres. Pomimo, że operator zazwyczaj wymaga podania danych identyfikacyjnych, jak numer PESEL, imię i nazwisko, adres e-mail, adres zamieszkania lub ustalone hasło / PIN, jednakże te zabezpieczenia często są niewystarczające lub przestępca niestety może te dane znać.
Od momentu uzyskania duplikatu karty SIM przestępca, w bardzo prosty przejmując kontrolę nad numerem telefonu ofiary, otrzymuje pełen dostęp do połączeń i wiadomości przypisanych do tego numeru telefonu.
Jak złodzieje wykorzystują SIM Swap do kradzieży pieniędzy z konta?
Sama utrata dostępu do połączeń i wiadomości nie jest jeszcze najgorszym możliwym skutkiem SIM Swap. Dzięki posiadanej kontroli nad numerem telefonu przestępca może uzyskać dostęp do m.in. skrzynek mailowych, portali społecznościowych, ale co może być najbardziej dotkliwe do kodów SMS uwierzytelniających wysyłanych przez banki lub inne instytucje finansowe. Dzięki temu jest w stanie uzyskać dostęp do konta bankowego i przelać na własne konta wszystkie znajdujące się tam środki. Może nawet zaciągnąć kredyt gotówkowy i te środki również wypłacić. Konsekwencje utraty karty SIM mogą być bardzo dotkliwe a namierzenie oszustów niemożliwe.
Jakie są sposoby ochrony przed oszustwami SIM Swap?
Przestępcy wykorzystują różne metody, aby uzyskać dostęp do numeru telefonu i innych danych potrzebnych do wyrobienia duplikatu karty SIM, dlatego należy być ostrożnym i uważnym w każdej sytuacji.
Poniżej lista sposobów, które zwiększają poziom zabezpieczenia przed oszustwami SIM Swap i pozwalają uniknąć kradzieży pieniędzy z konta bankowego:
- ustawienia prywatności w mediach społecznościowych: zmień ustawienia na prywatne wszystkich swoich profili w mediach społecznościowych, nie publikuj numeru swojego telefonu oraz swoich danych osobowych (np. zdjęcia swojego dowodu osobistego) – jest to jedna z najczęstszych metod pozyskania przez przestępców informacji osobowych;
- nie podawaj publicznie swoich danych osobowych, np. głośno rozmawiając przez telefon w komunikacji miejskiej, realizując receptę w aptece;
- dostosuj ustawienia prywatności w telefonie:
- ustaw blokadę telefonu hasłem, PIN-em, odciskiem palca, aby uniemożliwić dostęp do numeru telefonu,
- wyłącz opcję przekazywania połączeń i SMS-ów na inny numer telefonu.
- zmień sposób silnego uwierzytelnienia z autoryzacji z kodów SMS na inne, np. aplikacja uwierzytelniająca (generująca kody) instalowana w telefonie, logowanie biometryczne (np. odcisk palca) lub klucze bezpieczeństwa U2F;
- unikaj korzystania z publicznych sieci Wi-Fi, upewnij się, czy korzystasz z bezpiecznej sieci, która jest zabezpieczona hasłem;
- zmień ustawienia bezpieczeństwa konta bankowego: ustawiaj silne hasła, zmieniaj regularnie i korzystaj z autoryzacji dwuetapowej za pomocą autoryzacji w aplikacji mobilnej, nie kodami SMS;
- zmień operatora komórkowego jeśli pojawiają się negatywne informacje o jego zabezpieczeniach przed oszustwami SIM Swap.
Potencjalnego ataku SIM Swap nie można lekceważyć, ponieważ jest to poważne zagrożenie dla bezpieczeństwa prywatności i finansów każdej osoby korzystającej z telefonu komórkowego. Aby uchronić się przed atakiem, warto stosować tych kilka prostych zasad.
Jak rozpoznać, czy padliśmy ofiarą oszustwa SIM Swap?
Jest kilka sygnałów ostrzegawczych, które powinny wzbudzić podejrzenie, ponieważ mogą świadczyć o tym, że padłeś ofiarą oszustwa SIM Swap. Warto zwrócić uwagę na:
- brak otrzymywanych lub możliwości wykonywania połączeń telefonicznych i/lub SMS – może to być sygnał, że ktoś uzyskał dostęp i je przechwycił;
- połączenia i wiadomości z nieznanych numerów – złodziej może próbować uzyskać dostęp do twojego konta u operatora;
- zmiany w ustawieniach telefonu – sygnałem ataku mogą być nowe numery telefonów w książce adresowej, adresy e-mail lub dziwna historia logowań;
- problemy z autoryzacją dwuetapową w bankowości internetowej lub do innych serwisów wymagających logowania – np. przychodzą powiadomienia o próbach logowania na konta mailowe, portali społecznościowych, ale też nie docierają kody autoryzacyjne SMS lub po wpisaniu okazuje się, że są błędne – ktoś może próbować uzyskać dostęp do konta;
- brak dostępu do skrzynki mailowej, kont na portalach społecznościowych, usług bankowych lub pojawiają się transakcje, których nie rozpoznajesz, może to świadczyć o kradzieży danych.
Co zrobić, gdy staniemy się ofiarą oszustwa SIM Swap?
Jeśli zaobserwowałeś niepokojące sygnały wymienione powyżej i uważasz, że stałeś się ofiarą oszustwa, powinieneś jak najszybciej zacząć działać, aby zminimalizować szkody i zabezpieczyć swoje pieniądze:
- natychmiast skontaktuj się z operatorem telefonii komórkowej – powiadom o podejrzeniu oszustwa i poproś o zablokowanie karty SIM, aby uniemożliwić dalsze działanie złodzieja;
- jeśli telefon wykorzystujesz do logowania do banku, natychmiast skontaktuj się z bankiem i poproś o zablokowanie dostępu do konta, aby uniemożliwić kradzież pieniędzy. Poproś również o udostępnienie zestawienia podejrzanych transakcji i jeśli stwierdzisz transakcje, których nie wykonywałeś, koniecznie zgłoś do banku reklamację;
- z innego urządzenia zaloguj się do wszystkich kont usług, które są powiązane z numerem telefonu i wybierz opcję „wyloguj się ze wszystkich aktywnych sesji”;
- niezwłocznie zmień hasła do wszystkich usług, które są powiązane z twoim numerem telefonu. Zmień hasło do dostępu zdalnego do konta bankowego;
- zgłoś się osobiście do salonu w celu wymiany karty SIM, aby uniknąć dalszych prób ataku;
- zgłoś się na policję w przypadku stwierdzonej kradzieży pieniędzy z konta.
Pamiętaj, aby działać jak najszybciej po podejrzeniu oszustwa. Im szybciej podejmiesz działania, tym większa szansa na minimalizację szkód i zabezpieczenie swojego konta.
Warto mieć świadomość, że pomimo wykonania powyższych działań złodzieje posiadają już Twoje dane więc często próbują ponownie dokonać kradzieży, stąd musisz być wyczulony zachowując szczególną ostrożność i nie udostępniać swoich danych osobowych. Dzięki stosowaniu odpowiednich środków ostrożności, można zminimalizować ryzyko kolejnego ataku.