Kradzież tożsamości i oszustwa na SIM-swap

[kemsinenu]

W temacie SIM-swap:
Jak to skutecznie robią w Mozambiku? https://niebezpiecznik.pl/post/szkoda-z ... -kart-sim/
Niektórzy operatorzy jednak myślą o problemie. https://niebezpiecznik.pl/post/czy-graf ... karty-sim/
Zastanawiam się, czy którykolwiek z operatorów w PL wprowadził możliwość ustawienia dodatkowego hasła/PINu do wymiany karty SIM? Czy ktoś coś słyszał? Podobno w USA są takie możliwości u niektórych opów.

Otwierają się możliwości zastosowania Profilu Zaufanego poza administracją rządową. Można podpisać dowolny dokument PZ, przesłać komuś np. emailem, a odbiorca może sprawdzić poprawność podpisu na tej samej stronie. Nie wiem jednak czy np. podpisanie umowy najmu w ten sposób byłoby wiążące.
https://www.gov.pl/web/uslugi/podpisz-d ... is-zaufany
Z PZ jest jednak pewien problem: autoryzacja operacji podpisu SMSem. Dodatkowo w SMSach brak informacji co właściwie podpisujemy.

Niebezpiecznik porównał szczegółowo różne sposoby autoryzacji w bankach:
https://niebezpiecznik.pl/post/autoryza ... -przelewy/

Trafiłem na całkiem dobry przewodnik co zrobić przed, w trakcie i po wrogim przejęciu numeru telefonu:
https://medium.com/mycrypto/what-to-do- ... 67f296ef4d
Podobają mi się podpowiedzi jak w stresie rozmawiać z konsultantami. Niestety nie wszystkie porady są do zastosowania w Polsce, np. Google Voice/Fi. Jest też podlinkowana lista kontaktów do instytucji zajmujących się takimi sprawami. Wydaje mi się, że w Polsce jest to niepoprawny kontakt: Komenda Główna Policji. Prawdopodobnie trzeba zgłosić to w najbliższej jednostce policji. https://cipherblade.com/cybercrime-reporting/

[Remington]

Otwierają się możliwości zastosowania Profilu Zaufanego poza administracją rządową. Można podpisać dowolny dokument PZ, przesłać komuś np. emailem, a odbiorca może sprawdzić poprawność podpisu na tej samej stronie.

Gdzie coś takiego jest możliwe?

[kemsinenu]

Podałem link w poście: https://www.gov.pl/web/uslugi/podpisz-d ... is-zaufany

[Remington]

Sorry, nie skojarzyłem go z tym. No to jest coś, ważne jest więc kto będzie to honorował. Dobrze, że jest możliwość.

[Remington]

Najnowszy news:
https://www.telepolis.pl/wiadomosci/bez ... 370-tys-zl

W tym przypadku Orange mogło tylko porównać nr dokumentu, bo skserować go nie mogli, a oszust najczęściej ma replikę z poprawnym numerem. Można jeszcze jakoś skomplikować procedurę i jeśli jest stara karta na wymianę to aktywować nową od razu, a jeśli nie to po np. 24 godzinach zwłoki itd.

Podobno od sierpnia 2021 dowody osobiste będą obowiązkowo biometryczne. Bez masowego wprowadzenia biometrii w dowodach osobistych (i obowiązku jej stosowania) nie będzie wiarygodnego sposobu weryfikacji tożsamości.

[forum_tg]

A co sądzicie o mobilnej autoryzacji? Czyli potwierdzanie przelewów przez aplikację mobilną banku. Widać co się potwierdza, a samych apek dotąd nie zhackowano.

Super rozwiązanie
Przy zabezpieczeniu telefonu hasłem plus hasło z aplikacji banku i dodatkowo hasło potwierdzające płatność jest dość dobrym rozwiązaniem

[toms]

2020-09-04 18:12:46

Remington - mam kilka pytań do Ciebie z różnych postów, dlatego piszę oddzielnie.
Po pierwsze - żeby uwierzytelnić się w przeglądarce przy logowaniu trzeba:
-znać login,
'-znać hasło,
-znać numer telefonu podpięty pod konkretne konto.
Trochę za dużo tych danych dla złodzieja, nie uważasz?
Moim zdaniem to grubsza sprawa, bo skąd złodziej wziął te wszystkie dane?

No i kwestia wymiany sim.
Jak karta się uszkodzi, w jaki sposób ją zweryfikujesz przez sms?
Na miejscu pracownika salonu, najpierw zadzwonił bym pod wskazany numer, celem dodatkowej weryfikacji.
I wówczas oszustwo wyszło by na jaw, bo prawowity właściciel odebrałby ten telefon, lub przynajmniej byłby sygnał, że numer jest zalogowany.


2020-09-04 18:15:39

Po drugie, konsultanci mają wgląd we wszystkie dane i jeśli karta nie uległa kradzieży, zagubieniu czy zniszczeniu, łatwo można odczytać jej numer wytłoczony na obudowie i zweryfikować go.
Brak karty - telefon kontrolny na wymieniany numer.
Skoro w bazie nie można umieszczać skanów dowodu osobistego, to przynajmniej powinien być dostępny wizerunek właściciela. To też zawęża możliwość oszustw moim zdaniem.
Cała akcja było moim zdaniem dokładnie zaplanowana.
Złodziej jakimś cudem wszedł w posiadanie loginu, hasła i numeru dostępowego.
No i wiedział kogo okrada, skoro właściciel stracił aż 370 tysięcy.
Myślę, że w sprawę mogło być zamieszane większe grono osób.

[Remington]

toms zacznę od końca. To wszystko.co piszesz o procesie po stronie sieci ma sens. Rzecz w tym, że operatorów jest kilkudziesięciu i każdy musiałby mieć tak szczelne procedury. Przynajmniej najwięksi mają interes by procesy uszczelnić. Ale nawet pomysł z zadzwonieniem na starą kartę ma lukę: oszust powie, że ktoś ukradł mu telefon lub go zgubił, wtedy pracownik przecież nie zadzwoni z prośbą o potwierdzenie kradzieży. Trzeba pamiętać, że wymian kart jest dziennie zapewne setki, a oszustw promil. To usypia czujność, a i operatorzy mają w nosie skutki wydania karty nieuprawnionej osobie, wykraczające poza nabicie rachunku.

Co do loginu i hasła oraz numeru to są dwa aspekty.

Pierwszy, że minęły czasy wyłącznie ataków niespersonalizowanych, gdy ogół ludzi był celem tego samego ataku. Dziś często jest to atak na konkretną osobę, wcześniej odpowiednio przygotowany - gdy znają jego dane, w jakim banku ma większość pieniędzy itd. Kopia dowodu osobistego to jeden z elementów takiego ataku, ona też przecież nie powstaje ot tak, od ręki. Czasem tej konkretnej osobie metodami psychologicznymi wgrywany jest szpieg na telefon, wtedy nawet SIM Swap jest zbędny.

Drugi, że dysponując podróbką dowodu osobistego wcale nie trzeba znać hasła i loginu do banku. Wystarczy podmienić u operatora kartę SIM, a potem zadzwonić do banku, że zapomniało się loginu i hasła... Nieliczne banki w tej sytuacji każą udać się do oddziału. Przepytają z danych, wyślą SMS lub zadzwonią na ten nr telefonu itd.

[paciorek]

Szanowni

Dlatego w Bankach powinna być autoryzacja PUSH, jako oczywiście alternatywna. Druga sprawa, to wymiana kart SIM. Powinna być autoryzacja dwuetapowa. Np. z wykorzystaniem SMSów wysłanych na starą kartę SIM, lub za pośrednictwem QR CODE, taki QR Code generował by się w aplikacji, oraz znienawidzony przez wszystkich obrazek bezpieczeństwa. Logowanie do BOK nie powinno być przez adres email, lecz poprzez ostatnie kilka cyfr np. z nr karty SIM, nr ewidencyjny abo i td, lub losowo generowany, tak jest w bankach. Druga rzecz, to opy powinny mieć dostęp do bazy MZWiA odnośnie matchowania nr PESEL z NR DOWODU, tak aby zweryfikować, czy dowód nie jest dowodem kradzionym. Lub w POKACH autoryzować specjalnie wymyślonym PINEM, lub kartą płatniczą

[piotrzet]

Najprostsze zabezpieczenie wymiana karty sim tylko w sklepie u operatora.

[Remington]

Druga rzecz, to opy powinny mieć dostęp do bazy MZWiA odnośnie matchowania nr PESEL z NR DOWODU, tak aby zweryfikować, czy dowód nie jest dowodem kradzionym.

Najprostsze zabezpieczenie wymiana karty sim tylko w sklepie u operatora.

Oszuści mają idealne repliki ważnego dowodu osobistego, różniące się tylko zdjęciem. Wtedy taka weryfikacja nic nie da. Trzeba proces wymiany zabezpieczyć tak, aby móc potwierdzić tożsamość czymś więcej niż tylko łatwym do podrobienia dokumentem.

Druga sprawa, to wymiana kart SIM. Powinna być autoryzacja dwuetapowa. Np. z wykorzystaniem SMSów wysłanych na starą kartę SIM, lub za pośrednictwem QR CODE, taki QR Code generował by się w aplikacji, oraz znienawidzony przez wszystkich obrazek bezpieczeństwa.

Łatwe do obejścia, podobnie jak kod. Telefon zgubił, więc SMS traci rację bytu, a aplikacja przepadła z telefonem. Albo klient (nawet prawdziwy, a nie oszust) mówi, że kodu nie pamięta i co wtedy? Musi trafić w procedurę nadania mu dostępu na nowo, a w tym momencie trudno o stuprocentową pewność weryfikacji. Plus wysyła PlusKod5 razem z fakturą, ale to tylko do klientów abonamentowych, a klienci prepaidowi wcale nie podają adresu przy rejestracji.

Trzeba też pamiętać, że wymiana karty od ręki jest standardową procedurą od dwudziestu paru lat na wypadek utraty karty SIM, jej zablokowania, zmiany telefonu, uszkodzenia karty itp. Aby brak dostępu do numeru był jak najkrótszy.

W każdej tego typu procedurze trzeba uwzględnić przypadek klienta, który niczego nie pamięta, telefon z kartą zgubił i ma do okazania tylko siebie oraz dowód tożsamości. Czy to bank, czy operator mają swoje procedury dla takich przypadków i... oszuści potrafią znaleźć i wykorzystać w nich luki. Błędne koło.

[piotrzet]

Operator powinen wysyłać notkę do banku, że karta sim została wymieniona. Wtedy telefon i potwierdzenie jak np przy zablokowaniu konta przez złe hasło kilka razy wpisane. Albo od razu blokada dostępu internetowego po wymianie karty, a dzwonisz sam i odblokowujesz.

[mp107]

Operator powinen wysyłać notkę do banku, że karta sim została wymieniona. Wtedy telefon i potwierdzenie jak np przy zablokowaniu konta przez złe hasło kilka razy wpisane. Albo od razu blokada dostępu internetowego po wymianie karty, a dzwonisz sam i odblokowujesz.

Niestety, ale obawiam się, że to rozwiązanie się by nie sprawdziło. Operator nie wie, w jakich bankach użytkownik numeru 123456789 ma konto, więc nie wie też, do jakich banków taką notkę wysłać. Użytkownik nie ma obowiązku ani potrzeby informować operatora o tym, w jakich bankach ma konto, bo to informacje zbędne dla umożliwienia korzystania z telefonu, użyteczne ewentualnie jedynie w takich, jednostkowych przypadkach. A przekazywanie przez operatora informacji typu "Operator X informuje, że użytkownik numeru 123456789 wymienił kartę SIM" do każdego działającego w Polsce banku również wyglądałoby dość kiepsko z punktu widzenia ochrony danych osobowych (numeru telefonu). A bez wiedzy operatora o tym, w jakich bankach użytkownik numeru ma konto, to przekazywanie informacji mogłoby działać jedynie przez wysyłkę (albo wręcz "rozsyłkę") takich ogólnych "notek".

Myślę, że to głównie wina niedostatecznej weryfikacji tożsamości osoby ubiegającej się o wymianę karty SIM po stronie operatorów i to oni (przy ewentualnej współpracy z instytucjami rządowymi, jeśli pojawia się potrzeba wypracowania nowego, ogólnokrajowego rozwiązania) powinni opracować sposób zapobiegania takim nadużyciom.

[Remington]

Operator powinen wysyłać notkę do banku,

Którego? Banków jest kilkaset w Polsce.

Myślę, że to głównie wina niedostatecznej weryfikacji tożsamości osoby ubiegającej się o wymianę karty SIM po stronie operatorów i to oni (przy ewentualnej współpracy z instytucjami rządowymi, jeśli pojawia się potrzeba wypracowania nowego, ogólnokrajowego rozwiązania) powinni opracować sposób zapobiegania takim nadużyciom.

Zgoda. Zwróć jednak uwagę, że operatorów trudno do tego zmusić. Sieć nie odpowiada za to do czego ktoś wykorzystuje telefon. Jeśli w wyniku swojego błędu wyda duplikat osobie nieuprawnionej to odpowiedzialność kończy się na zwrocie kasy za to co ten ktoś nabije na rachunek abonenta. Operator przecież nie wie jak klient wykorzystuje swój numer - czy dany nr zabezpiecza jego pieniądze w banku (żaden przepis prawny takiego wykorzystania nie sankcjonuje, to jest jedynie praktyka banków), czy prowadzi wysokodochodowy biznes mogący się zawalić bez telefonu, może przez nieodebranie jednej rozmowy straci miliony, albo utrzymująca go żona dowie się o kochance i go rzuci itd.

Gdyby wprowadzono Mobile Connect, można byłoby go blokować przez np. 24 godziny od wymiany karty SIM. Jednak problem nadal pozostanie dla operacji innych niż autoryzacja, tj. np. rozmów zwrotnych z banku w celu potwierdzenia podejrzanego przelewu.

[Remington]

Rozbito dobrze zorganizowany gang hakerów:
https://www.rp.pl/Spoleczenstwo/3092398 ... kerow.html

Tysiące okradzionych, wiele różnych metod oszustw, w tym SIM Swap.

[Remington]

Tym razem ostrzega Rzecznik Finansowy, a państwo dalej nic nie zrobiło w sprawie skuteczności posługiwania się podrobionymi dokumentami:
https://www.telepolis.pl/wiadomosci/bez ... a-kart-sim

[Remington]

„Niebezpiecznik” obnażył nonsens dziurawego procesu wymiany kart SIM w T-Mobile, rzekomej sieci bez nonsensów:

https://www.telepolis.pl/wiadomosci/bez ... rczy-pesel

Nie wiadomo co jest wyrazem większej indolencji - dziurawy proces czy ich uzasadnienie dla niego:

[Remington]

Ponoć rząd ma jakiś pomysł uszczelnienia:

https://www.telepolis.pl/wiadomosci/pra ... duplikatow

https://www.telko.in/dgp-rzad-chce-ukrocic-sim-swapping