Kradzież tożsamości i oszustwa na SIM-swap

[Remington]

Dziś znów wróciła w mediach sprawa oszustw dokonywanych po wymianie karty SIM. Z kolei do wymiany karty SIM dochodzi przy użyciu podrobionego dowodu osobistego.

Więcej:
https://niebezpiecznik.pl/post/duplikat ... ank-bzwbk/
https://www.bankier.pl/wiadomosc/Kolekc ... 38447.html
http://wyborcza.pl/7,155287,24369036,jo ... 1-mln.html
https://subiektywnieofinansach.pl/skopi ... o-uniknac/

Problemy wyłaniają się następujące:
1. możliwość łatwego podrabiania dowodów osobistych (bez znaczenia czy jest to legalne czy nielegalne) i posługiwania się podróbkami nie tylko w telekomunikacji, ale też mogąc sprzedać np. nie swoje mieszkanie
2. łatwa wymiana kart SIM, tylko na podstawie dowodu osobistego pozwalająca na przejęcie numeru konkretnej osoby
3. autoryzacja w bankach oparta przede wszystkim i nr telefonu, która okazuje się zbyt słaba w przypadku jego przejęcia

Jakie jest Wasze zdanie? Czy można skutecznie chronić się przed tymi oszustwami lub choćby znacząco zminimalizować ryzyko? Co powinny zrobić telekomy, banki, a co państwo by temu zapobiegać?

[perxenat]

przede wszystkim zdelegalizować i karać produkcję, sprzedaż i posługiwanie się "dowodami kolekcjonarskimi". Przecież to są jakieś rzewne jaja. Bandytyzm w literze prawa. Idąc tym śladem, niedługo może podrobione pieniądze będą określane jako "banknoty kolekcjonerskie"?
Ja widzę tutaj - w "dowodach kolekcjonerskich" znaczące źródło problemów. Fałszowanie dokumentów w świetle prawa, tu jest całe źródło tych wszytskich problemów, co nakreślił Remington.

[Remington]

Fałszowanie dokumentów w świetle prawa, tu jest całe źródło tych wszytskich problemów, co nakreślił Remington.

Zdelegalizować jak najbardziej, ale to niewiele zmieni. Za takimi oszustwami stoją najpewniej zorganizowane grupy przestępcze, a one bez problemu przeniosą produkcję fałszywek do podziemia. Problem tkwi w technicznej łatwości podrobienia, bo pieniądze są dobrze zabezpieczone przed podrabianiem, a dokumenty nie są.

[SACZI]

A to już nie wystarczy osobista obecność właściciela umowy lub notarialne upoważnienie kogoś do realizowania czynności prawnych w imieniu właściciela?
Z usuwaniem DPF'ow w samochodach też rządzący walczyć chcą nowymi ustawami, gdy tymczasem wystarczy zaostrzyć badania techniczne i przestrzegać zgodności samochodów z homologacją.

[Remington]

A to już nie wystarczy osobista obecność właściciela umowy

Jak widać wystarczy, skoro okradają podszywając się pod właściciela.

[Dorotea]

Korzystać z usług bankowych do których dają tokeny sprzętowe. Autoryzacja SMS dobra jest dla kont, gdzie jest jakaś niewielka kwota i niemożność wzięcia kredytu online (np. odnawialny w Mbanku można wyklinać i zatwierdzić jednym SMS-em, sprawdzone).

[umcusumc]

Akurat korzystanie z tokenów sprzętowych nie ma nic wspólnego z bezpieczeństwem. Ba, jest nawet gorzej niż w przypadku sms, bo w przypadku sms można chociaż zweryfikować typ operacji, konto i kwotę, a przy tokenie potwierdzasz w ciemno operację. Na dokładkę istnieje system bankowości elektronicznej, gdzie wystarczy tylko zalogować się tokenem, a same przelewy można wykonać bez dodatkowej autoryzacji. I to ma być bezpieczeństwo? Chyba kiepski żart, strzał w kolano, a nie bezpieczeństwo. Token to ułuda bezpieczeństwa. Może do konta, gdzie trzymałbym niewielką kwotę. Ale na litość boską, nie do głównego konta!

Mam względne zaufanie do komputera, na którym dokonuję operacji bankowych, ale w życiu nie zdecydowałbym się na używanie tokenów - w myśl nieśmiertelnej zasady: kontrola najwyższą formą zaufania.

[Dorotea]

Nie rozumiem, dlaczego ciąg cyfr wygenerowanych z tokena do potwierdzenia operacji (każdej, bo nie chodzi o atrapy) miałby być gorszym zabezpieczeniem niż SMS. Jest raczej odwrotnie - to system oparty o SMS daje złudne poczucie bezpieczeństwa i przestępcy znaleźli furtkę do kradzieży sporych sum za pomocą wyłudzonych duplikatów kart sim.

Token tokenowi nierówny. Nie mam na myśli tokenów-aplikacji itp. wynalazków. Dość bezpieczne są sprzętowe typu DigiPass oparte o challenge-response, z klawiaturą i dodatkowym zabezpieczeniem pin. Niektóre polskie banki mają je w ofercie.

Ponad 10 lat temu posługiwałam się tokenem sprzętowym zabezpieczonym dodatkowo pinem (z Pekao S.A.) i nie ma możliwości, żeby ktoś nim posłużył się bez mojej zgody, bo po pierwsze pin - wielokrotne wpisanie złego pinu oznacza blokadę tokena i wymianę w placówce, gdzie trzeba oprócz podania dokumentu tożsamości posiadać dodatkowe informacje autoryzacyjne. Nie można tego obejść, nie istnieją duplikaty tego typu tokenów, czy wykonywane przez pracowników/serwis resety pin itp. metody. Nawet nieuczciwy pracownik banku (zdarzają się i tacy) nie da rady ukraść nic z konta mając token klienta jeśli nie zna pinu przez niego ustawionego, który nie jest nigdzie w dokumentach zapisany. Nie mogę się wprost nadziwić, że niektórzy ludzie deponują ogromne sumy w bankach posiadających systemy autoryzacyjne typu SMS.

[umcusumc]

Dlaczego token jest bardzo, ale to bardzo złym pomysłem, już tłumaczyłem wyżej. Ale jeszcze raz: żaden znany mi token (fakt, mam wiedzę wyłącznie o tokenach w polskich bankach, nie mam pełnego rozeznania, jak sprawa wygląda na świecie) nie podaje informacji zwrotnej co autoryzujemy. Innymi słowy, wprowadzamy przelew na 25 zł za usługi telefoniczne, a w rzeczywistości autoryzujemy przelew na 10 000 zł na nieznane nam konto. W przypadku autoryzacji smsem, widzielibyśmy numer konta oraz kwotę. W przypadku tokena autoryzujemy radośnie nieznaną nam operację.

I teraz mała podpowiedź, dlaczego w firmach (korporacjach) stosuje się przeważnie tokeny: otóż w odróżnieniu od osób prywatnych, w firmach procedura wykonania płatności obejmuje zazwyczaj minimum 2 osoby (pierwsza osoba wprowadza i autoryzuje przelew, druga autoryzuje i wysyła), a nierzadko 3, czy nawet spotkałem się z przypadkiem angażowania 4 osób (pierwsza tylko wprowadza, a aż 3 osoby weryfikują i autoryzują przelewy). Analiza ryzyka jednoznacznie wykazuje, że możliwość dokonania fraudu jest wtedy znacznie niższa lub wręcz zbliżona do zera, w odróżnieniu od osoby prywatnej, gdzie nie ma dodatkowej weryfikacji. Dlatego stosowanie tokenów sprzętowych jest w naszym przypadku nierozważne.

Przy okazji - zabezpieczenie smsem nie jest złudnym bezpieczeństwem, wystarczy stosować podstawowe zasady bezpieczeństwa typu blokada ekranu PINem, czy biometrią, ukrywanie komunikatów przy zablokowanym ekranie i ryzyko maleje praktycznie do zera. Do tego wystarczy stosować inny numer niż nasz podstawowy do autoryzacji (osobiście znam 2 takie osoby, fakt że mają one ponadprzeciętną wiedzę na temat finansów i banków) i praktycznie ryzyko jest zerowe.

Na swoje nieszczęście większość ludzi chce maksymalnie sobie uprościć życie i jak to wygląda wszyscy wiemy. Takim osobom token w niczym nie pomoże.

I taka mała dygresja co do tokenów - znam 3 osoby, które używają ich prywatnie - w pierwszym przypadku PIN zgadłem za pierwszym razem, w drugim za trzecim razem. Nie wiem, jak to wygląda globalnie, ale statystycznie z mojej małej, niereprezentatywnej próby wyszło bardzo słabo, sam przyznasz.

Parafrazując Ciebie: nie mogę się nadziwić, że niektórzy ludzie deponują ogromne sumy w bankach, w których posiadają token sprzętowy bez żadnej możliwości weryfikacji wykonywanej operacji. Ciarki mnie przechodzą na samą myśl wykonania przelewu z takiego konta.

[Remington]

@Dorotea
tokeny zostały skompromitowane co najmniej 10 lat temu. Wpisujesz PIN+cyfry z tokena i się logujesz, zlecasz przelew na 25 zł i też wpisujesz PIN+cyfry z tokena. A w rzeczywistości zalogowałaś się na fake'owej stronie będącej tunelem do prawdziwej i potwierdziłaś przelew na 25 tys., albo masz na komputerze nakładkę, która choć byłaś na prawdziwej stronie podmieniła dane w locie.

W SMSach widzisz co potwierdzasz, ale na nic się zdadzą jeśli masz zawirusowany telefon lub oszuści przejęli Twój numer.

A co sądzicie o mobilnej autoryzacji? Czyli potwierdzanie przelewów przez aplikację mobilną banku. Widać co się potwierdza, a samych apek dotąd nie zhackowano.

[Dorotea]

@umcusumc @Remington
Macie pewnie na myśli proste tokeny w postaci aplikacji mobilnej, breloczka, na usb itp. generujące hasła jednorazowe lub klucze do logowania. Tutaj zgadzam się, że można sobie darować takie rozwiązania. Tokeny nie operujące na cechach przeprowadzanej transakcji są kompletnym nieporozumieniem.

Mnie natomiast od początku chodzi o tokeny sprzętowe działające trybie challenge-response (zapytanie-odpowiedź), gdzie jest klawiatura i pin (np. min. 6 znaków, po kilku nieudanych próbach blokada). Działa w ten sposób, że klient wprowadza tzw. challenge, czyli ciąg cyfr wygenerowany przez system przeprowadzający autoryzację dla danej operacji, a token wedle swojego programu/algorytmu wylicza i generuje odpowiedź response, którą trzeba wprowadzić do systemu. Challenge nie jest przypadkowy lecz zawiera kwotę operacji, fragment numeru konta (i inne informacje), a system bankowy po drugiej stronie sprawdza, czy właściwy token wygenerował odpowiedź i czy dane zgadzają się. Występuje powiązanie kodu z konkretną transakcją, żeby zapobiec podmianie nr konta i autoryzacji lewej transakcji.

[martin87]

Banki ogólnie mają słabe zabezpieczenia. W niemczech podobno ksero dowodu nie daje w zasadzie nic, u nas z automatu dają pożyczki/kredyty bez weryfikacji. Banki blokuja ok 100k takich tranzakcji, to ile musi ich przechodzić i karana za to jest ofiara a nie sprawca i współsprawca (bank)..

[umcusumc]

A co sądzicie o mobilnej autoryzacji? Czyli potwierdzanie przelewów przez aplikację mobilną banku. Widać co się potwierdza, a samych apek dotąd nie zhackowano.

Wszystko działa, póki ktoś używa zabezpieczeń na telefonie, ale ciągle bardzo dużo ludzi nie używa choćby wzoru, nie mówiąc o antywirusach. Natomiast samą apkę jako system autoryzujący np. w mBanku też dość prosto można obejść. Nie ma systemu nie do przejścia.

Mnie natomiast od początku chodzi o tokeny sprzętowe działające trybie challenge-response (zapytanie-odpowiedź)

Nie musisz tłumaczyć, co to jest. Lepiej napisz, który bank w Polsce oferuje taką formę zabezpieczenia oprócz rzecz jasna BGŻ Optimy (oraz wynalazku Pekao, który z racji zasady działania jest podatny na niefrasobliwość użytkownika tak samo jak sms/apka). Wg mnie nie ma co rozmawiać o hipotetycznych sposobach zabezpieczeń, skoro właściwie nikt na rynku ich nie oferuje - taki token nie jest żadną alternatywą, skoro nie można z niego skorzystać.

I dlatego moim zdaniem jedyną sensowną metodą uwierzytelniania jest sms (lub apka na telefon), pod warunkiem zachowania zdroworozsądkowego podejścia do bezpieczeństwa.

[Remington]

@Dorotea
korzystałem z takich tokenów w BGŻ i w Optimie (bank ten sam, ale różne systemy i tokeny). Challenge wcale nie zawierał części danych transakcji tylko po prostu ciąg cyfr, który trzeba było przepisać (w jednym z tokenów też zeskanować z ekranu) do tokena odblokowanego PINem, a następnie response przepisać na stronie internetowej. Żadne to zabezpieczenie, bo na podstawionej stronie oszuści mogą nam wyświetlić do przepisania dokładnie taki kod jaki sami ujrzeli na prawdziwej stronie banku.

Zabezpieczeniem byłby token wyświetlający dane przelewu na podstawie podanego challenge'u, ale takich nigdy nie spotkałem. Poza tokenem aplikacyjnym w Eurobanku (zlikwidowanym już zresztą).

[forum_tg]

A co sądzicie o mobilnej autoryzacji? Czyli potwierdzanie przelewów przez aplikację mobilną banku. Widać co się potwierdza, a samych apek dotąd nie zhackowano.

fajny sposób zabezpieczenia. Zdecydowanie podnosi bezpieczeństwo. robiąc przelew i tak jest dostęp do internetu czyli posiadamy dostęp do aplikacji.
Tutaj ważne jest żeby pin do aplikacji banku nie byl banalny (np. mBank wymaga pięciu cyfr, a nie jak nie które tylko 4), jak do tego telefon jest zabezpieczony hasłem (nie jakimś ogólnie wykorzystywanym znakiem) to takie połączenie daje już naprawdę dobre zabezpieczenie wg mnie.
W chwili obecnej to apki mogą być przyszłością bezpieczeństwa w temacie potwierdzania przelewów.

[Morvius]

A co sądzicie o mobilnej autoryzacji? Czyli potwierdzanie przelewów przez aplikację mobilną banku. Widać co się potwierdza, a samych apek dotąd nie zhackowano.

Bardzo wygodne rozwiązanie. W mBanku autoryzacja przychodzi mi natychmiast, a samo potwierdzenie nie jest wybierane pinem a odciskiem linii papilarnych. Uważam, że to chyba jak dotąd najbezpieczniejsze rozwiązanie zaraz po Blik.

[Remington]

Dziś wchodzą zmiany ułatwiające proces MNP poprzez możliwość składania wniosków m.in. elektronicznie:
https://www.telko.in/zmiana-w-procedurz ... ia-numerow

Obawiam się, że będzie to doskonałe pole do nadużyć i przejmowania czyichś numerów. Operatorów jest kilkudziesięciu, a każdy ma swoje procedury i na pewno trafi się taki co łatwo przyjmie wniosek. Bez podpisu elektronicznego nie da się przecież na odległość zweryfikować tożsamości wnioskującego, a podpisów cyfrowych niemal nikt w Polsce nie ma.

[umcusumc]

A wystarczyłoby zamiast "elektronicznie" dać zapis o profilu zaufanym (dla osób fizycznych). Też uważam, że możliwość uruchomienia procedury zmiany dostawcy za pomocą wysłania zaledwie imienia, nazwiska i PESELu to proszenie się o kłopoty. Trzeba jeszcze podać dotychczasowego operatora, niemniej zabezpieczenie praktycznie żadne.

[Remington]

Profil Zaufany przeznaczony jest tylko dla administracji publicznej nie dopuszczają do korzystania z niego żadnych innych instytucji, np. sądów, tym bardziej prywatnych firm.

Za to wprowadzają dowód osobisty z "warstwą elektroniczną", która nie będzie obowiązkowa, niedostępna dla innych instytucji niż państwowe, a jego warstwa "fizyczna" (wykorzystywana niemal wszędzie) nadal będzie prosta do podrobienia.

[umcusumc]

Nie wiem jak to wygląda w przypadku e-dowodu, wiem za to jak wygląda to rozwiązanie w Belgii. I choć z punktu widzenia prywatności jest to słabe, to z danych z dowodu może skorzystać każdy, włącznie z właścicielem. Jest to o tyle ciekawe, że jest tam zapisane wszystko, od wizyt lekarskich, przez wydane leki, produkty zakupione na raty, punkty karne. Jeśli polski e-dowód nie przewiduje takiej funkcjonalności, to znaczy że zmarnowaliśmy szansę na sensowne wykorzystanie tego kawałka plastiku. Co do profilu zaufanego - nie wgryzałem się w takie szczegóły. Jeśli tak jest jak piszesz, to jest to kolejna zmarnowana szansa.

Tak czy inaczej bezpieczeństwo zmiany operatora za pomocą maila wola o pomstę do nieba.