Mamy już połowę listopada i wielkimi krokami nadchodzą święta. Wiążą się one z prezentami i zakupami, które najczęściej robimy przez Internet. W gorączce zakupów i powiadomień dotyczących przesyłek możemy nie zauważyć nic podejrzanego w otrzymanych mailach i wiadomościach SMS. Niestety naszą nieuwagę i brak czasu w tym okresie mogą wykorzystać przestępcy. Chcemy Wam o tym przypomnieć.
Pamiętajcie – Zawsze należy zachować czujność. Jeśli coś wzbudzi nasze podejrzenia zareagujmy w odpowiedni sposób. Sprawdzajmy podane informacje, weryfikujmy adresy przesłanych linków. Nie pozwólmy aby przez nasze roztargnienie stworzyć okazję dla złodzieja.
Wielokrotnie pisaliśmy o różnych sposobach na zdobycie naszych danych i posłużenia się nimi do kradzieży. Kreatywność oszustów jest duża i co rusz wymyślają nowe rozwiązania na ominięcie zabezpieczeń. Jednym z nich jest SIM Swapping, którego jeszcze nie omawialiśmy. Czas to zmienić.
SIM Swapping – na czym polega?
Jest to jedna z metod stosowanych przez przestępców. Polega ona na duplikowaniu karty SIM i wykorzystaniu jej do dostępu do naszych powiadomień i połączeń. Dzięki niemu mogą oni uzyskać dostęp do między innymi naszych kont bankowych lub wiadomości autoryzacyjnych.
Cały proceder rozpoczyna się od zdobycia danych osobowych ofiary oraz numeru telefonu i sieci z jakiej korzysta (sam zakres numeracji nie jest wyznacznikiem sieci). Oznacza, to że nie jest to osoba przypadkowa. Należy poświęcić odpowiednią ilość czasu i zasobów na zgromadzenie informacji. Tu wszystko zależy od tego jak wiele faktów na swój temat publikujemy w sieci. To właśnie łatwość zdobycia danych na nasz temat może sprawić, że to my, a nie ktoś inny zostanie poddany próbie oszustwa na SIM Swapping.
Co musi się stać, aby to zadziałało? Nie jest to takie łatwe, ponieważ wiele elementów musi zadziałać jednocześnie. Jak już pisaliśmy na samym początku, na nasz temat zostają gromadzone dane (mogą być to dane zdobyte przy wykorzystaniu phishingu). Następnie oszust (lub oszuści) musi zdobyć nieaktywną kartę SIM danego operatora. Kolejnym etapem jest podszycie się pod ofiarę na podstawie zdobytych informacji. W tym celu kontaktuje się on z konkretnym operatorem – odbywa się to głównie przez infolinię, ale zdarzają się także „osobiste” odwiedziny w salonach. Jeśli podszycie się zakończy się sukcesem, operator aktywuje posiadaną przez przestępcę kartę SIM. Dzięki temu zyskuje on dostęp do naszego numeru telefonu, a co za tym idzie wiadomości SMS oraz połączeń.
W jakim celu oszust potrzebuje naszego numeru telefonu? Chodzi o ominięcie zabezpieczenia jakim jest uwierzytelnianie dwuskładnikowe za pomocą kodu / tokena SMS. Teraz będzie on przychodził na zduplikowaną kartę SIM. Jeśli przestępca wcześniej zdobył nasze dane do logowania do np. aplikacji bankowej, to teraz otrzyma także wszystkie powiadomienia autoryzujące – w przypadku, gdy przychodziły one na nasz numer telefonu. Sytuacja jest więc bardzo poważna, ponieważ będzie miał on całkowitą swobodę działania. Podobnie może być w przypadku kont w mediach społecznościowych i innych aplikacjach wymagających podania kodu przysłanego wiadomością SMS. Może zmienić hasło i zabrać nam do nich dostęp.
Jak rozpoznać, że ktoś zduplikował naszą kartę?
Tracimy dostęp do sieci mobilnej (dalej mamy dostęp do Internetu np. przez Wi-Fi). Nie możemy wykonać połączenia, nie można się do nas dodzwonić, nie otrzymujemy wiadomości SMS. Dzieje się to nagle – ponieważ operator wyłączył naszą kartę z sieci. Należy pamiętać, że istnieją miejsca i obszary gdzie zasięgu sieci nie ma ze względów technicznych. Są to np. miejsca odosobnione takie jak szlaki górskie, a także pomieszczenia, do których sygnał radiowy nie może się przedostać – windy, piwnice, tunele. Z przyczyn losowych mogą także zdarzyć się awarie sieci. Operatorzy wyłączają także usługi osobom, które nie są na bieżąco z rachunkami za abonament (taka osoba zostanie z odpowiednim wyprzedzeniem o tym poinformowana). Dlatego nie każda utrata zasięgu będzie oznaczała, że ktoś zduplikował naszą kartę. W rzeczywistości nie jest wcale to takie łatwe.
W FM MOBILE stosujemy odpowiednie zabezpieczenia:
- Po pierwsze:
Nie posiadamy stacjonarnych punktów, w których można zakupić nieaktywną kartę SIM. Można to zrobić np. podczas rozmowy z konsultantem, który odpowiednio zweryfikuje naszą tożsamość. Procesu weryfikacji nie będziemy opisywać, aby nie ułatwić pracy oszustom.
- Po drugie:
Duplikat karty SIM wysyłany jest kurierem pod wskazany adres z adnotacją – do rąk własnych. Kurier jest zobowiązany do weryfikacji osoby, która odbiera przesyłkę. Z naszej strony podajemy mu otrzymany przed doręczeniem kod odbioru przesyłki.
- Po trzecie:
Aktywacja duplikatu karty SIM następuje po jej otrzymaniu, podczas kolejnego kontaktu z Biurem Obsługi Klienta, gdzie następuje ponowna weryfikacja dzwoniącego.
Jak możemy zabezpieczyć się we własnym zakresie?
Przede wszystkim bądźmy świadomi zagrożeń, bądźmy ostrożni i czujni. Chrońmy także swoje dane. Oprócz tego nie zaszkodzi zastosowanie się do:
- Jeśli Twój numer telefonu jest znany publicznie, nie używaj go do konta bankowego. Dlaczego? Ponieważ bardzo często ofiarami wyłudzeń SIM Swapping są osoby, które np. podpięły do konta numer firmowy (a w dodatku inne ich dane są publiczne są widoczne w KRS). Im bardziej eksponowaną osobą jesteś, tym bardziej zadbaj o to, aby do konta podpięty był nieoficjalny numer telefonu.
- Zadbaj o aktualność oprogramowania na smartfonie i komputerze (metoda ta często wspierana jest złośliwym oprogramowaniem do wykradania loginu i hasła).
- Uważaj na phishing – zweryfikuj adres przed zalogowaniem się na stronę, do której link dostarczono Ci SMS-em lub mailem. Najlepiej zaloguj się bezpośrednio nie korzystając z linka.
- Ogranicz udostępnianie danych o sobie (oszuści potrzebują Twoich danych, aby podszyć się pod Ciebie)
- Jeśli Twój telefon nagle traci zasięg bez wyraźnego powodu, skontaktuj się z operatorem i ustal, dlaczego tak się stało.