Jak atak SIM swap może doprowadzić do wyczyszczenia konta w banku?

Wyrobienie duplikatu karty SIM to łatwo dostępna usługa oferowana przez każdego operatora sieci komórkowej, co jest niezwykle przydatne na przykład w razie utraty telefonu. Operatorzy zazwyczaj wydają kopie na podstawie potwierdzenia tożsamości klienta sieci. Wystarczy więc zadzwonić do swojego dostawcy i zgłosić problem (np. kradzież smartfona), by otrzymać duplikat utraconej karty SIM i nie musieć rezygnować ze swojego aktualnego numeru telefonu.

Problem w tym, że przestępcy już dawno znaleźli sposób na wykorzystanie tej procedury na swoją korzyść. Stąd właśnie atak SIM swap, którego nazwę można luźno przetłumaczyć na „podmianę karty SIM” (swap – „podmieniać”, „zamieniać”). Oszustwo to polega bowiem na wyłudzeniu duplikatu karty SIM od operatora sieci komórkowej.

Jak działają SIM swapperzy? Wykorzystują oni procedury operatorów dotyczące wydawania duplikatów uszkodzonych lub utraconych kart SIM, podszywając się pod ofiary. Mogą w ten sposób uzyskać przeniesienie numeru na kontrolowaną przez siebie kartę, a następnie otrzymać dostęp nie tylko do przychodzących wiadomości i połączeń ofiary, ale i do jednorazowych kodów weryfikujących 2FA, którymi mogą logować się do jej kont.

Ataki SIM swap są znane od lat, ale wcale nie wychodzą z mody. SIM swapperzy w Polsce ukradli już miliony złotych. Udało się zlokalizować i zatrzymać niektóre grupy przestępcze, ale zagrożenie to jest wciąż aktualne.

Jak działa SIM swap?

Sama zasada ataku SIM swap jest prosta, ale przeprowadzenie go wymaga od przestępcy przygotowania.

1. Zebranie informacji

Zanim oszust zdoła przekonać operatora sieci komórkowej do wydania duplikatu karty SIM, musi zebrać informacje, które pomogą mu podszyć się pod ofiarę. Operator nie wyda kopii karty byle komu – musi mieć pewność, że kontaktuje się z klientem.

W dzisiejszych czasach jednak podszywanie się pod innych nie jest takie trudne. Wielu z nas publikuje w mediach społecznościowych dane, które wydają się niepozorne, a mogą posłużyć przeciwko nam. Z platform społecznościowych można wyciągnąć takie informacje jak data urodzenia czy miejsce zamieszkania.

Oczywiście sama data urodzenia nie wystarczy, by podszyć się pod klienta sieci komórkowej, ale oszuści mają też inne, bardziej zaawansowane metody. Jedną z nich jest phishing, czyli udawanie kogoś innego (np. pracownika banku, urzędnika, współpracownika) w celu wyłudzenia informacji (najczęściej drogą mailową, choć nie tylko).

Przestępca może najpierw przeprowadzić atak phishingowy na wytypowaną wcześniej ofiarę, by przekonać ją do podania takich poufnych danych, jak numer PESEL czy dowodu osobistego. Potem nic nie stoi już na przeszkodzie, by z tymi informacjami udać się do dostawcy usług telekomunikacyjnych.

2. Podszycie się

Mając przy sobie takie dane, jak imię i nazwisko, PESEL czy numer dowodu, przestępca może skontaktować się z operatorem sieci komórkowej i spróbować przekonać go, że jest klientem, który stracił telefon i potrzebuje duplikatu karty SIM.

3. Uzyskanie duplikatu karty

Po złożeniu wniosku, nowa karta może zostać dostarczona na adres podany przez oszusta. Wystarczy, że – podszywając się – skłamie, że przeprowadził się albo przebywa poza domem, a potrzebuje duplikatu natychmiast. Jeśli ma dane logowania do konta ofiary na stronie operatora, może też zmienić jej adres korespondencyjny.

4. Przejęcie numeru telefonu

Gdy klon karty SIM zostanie aktywowany przez oszusta, uzyska on dostęp do numeru telefonu ofiary, a wraz z nim – do wszystkich przychodzących połączeń i wiadomości SMS.

Co gorsze, jeśli ofiara korzysta z 2FA (co zalecamy), jednorazowe kody weryfikujące będą przychodzić na numer znajdujący się pod kontrolą przestępcy, umożliwiając mu logowanie się do rozmaitych usług w imieniu poszkodowanego.

5. Uzyskanie dostępu do kont

Przejęcie kodów weryfikacyjnych przez oszusta może umożliwić mu dostęp do:

• kont na platformach społecznościowych,
• bankowości internetowej,
• portfeli elektronicznych,
• portfeli krypto.

Jak widać, oszustwo SIM swap powoduje nie tylko dyskomfort i konieczność zablokowania numeru. Przede wszystkim stanowi zagrożenie dla finansów – po uzyskaniu dostępu do kont bankowych i e-portfeli przestępca może po prostu wyczyścić rachunki ofiary.

Większość operatorów sieci komórkowych idzie klientom na rękę, umożliwiając im załatwianie spraw i składanie wniosków telefonicznie albo przez internet. Oszuści często nie muszą nawet udawać się do salonów, by wnioskować o wydanie duplikatu karty SIM, a ci bardziej przebiegli (i dysponujący odpowiednimi środkami) mogą nawet fałszować dokumenty ofiar, posługując się wcześniej zdobytymi informacjami osobistymi.

Same dane też nie są tak trudne do uzyskania, jak mogłoby się wydawać. Wspomnieliśmy wcześniej o atakach phishingowych, które mogą służyć do wyłudzania informacji. Przestępcy kupują też dane ofiar na czarnym rynku. Te natomiast mogą pochodzić z wcześniejszych kampanii socjotechnicznych albo cyberataków na firmy – takich jak atak na T-Mobile w USA z 2022 roku, w którym wykradziono m.in. nazwiska, adresy, daty urodzenia czy szczegóły ofert 37 milionów klientów sieci. Również złośliwe oprogramowanie rejestrujące poufne informacje dostarcza danych przestępcom.

Typowe oznaki ataku SIM swap to:

• utracenie dostępu do sieci komórkowej,
• dziwne wiadomości o aktywowaniu karty czy zmianach haseł,
• brak przychodzących kodów 2FA,
• podejrzana aktywność na kontach i niemożność zalogowania się do nich (co może sugerować, że ktoś pozmieniał hasła).

Jeśli spotkałeś się z takimi objawami, masz prawo podejrzewać, że padłeś ofiarą ataku SIM swap. Jak wyłączyć sklonowaną kartę w takim przypadku?

Koniecznie jak najszybciej zgłoś zdarzenie operatorowi sieci komórkowej. Zapytaj, czy ostatnio doszło do wydania duplikatu SIM, a jeśli tak – wnioskuj o natychmiastowe zablokowanie numeru.

Po zablokowaniu karty koniecznie zmień wszystkie swoje hasła: do bankowości elektronicznej, do e-portfeli, do kont w mediach społecznościowych i tak dalej. Jeśli zauważysz dziwną aktywność na koncie bankowym, koniecznie skontaktuj się z bankiem i poproś o zablokowanie konta i podpiętych do niego kart.

Nie zaszkodzi również przejrzeć wszystkie konta i sprawdzić ustawienia bezpieczeństwa. Tam, gdzie to możliwe, włącz uwierzytelnianie dwuskładnikowe kodem wygenerowanym przez zewnętrzną aplikację, np. Authy albo Google Authenticator.

Sprawę warto też zgłosić na policję. Choć wydaje się, że cyberprzestępcy ulatniają się i odnalezienie ich jest niezwykle trudne, to w Polsce nierzadko można usłyszeć o zatrzymaniu kolejnej szajki hakerów i oszustów. Zgłoszenie sprawy może też poskutkować wydaniem komunikatu ostrzegawczego dla innych potencjalnych ofiar.

• Zabezpiecz konto u operatora sieci komórkowej.Jeśli jest taka możliwość, ustal hasło lub kod PIN u swojego operatora. Będą one koniecznie do składania wniosków, m.in. o wydanie duplikatu karty.
• Uważaj, co udostępniasz.Nie wszystkie informacje o Tobie powinny być publiczne. Nazwisko, data urodzenia, miejsce zamieszkania – te rzeczy lepiej zachować dla siebie.
• Korzystaj z silnych i unikalnych haseł. Ustalaj silne hasła do wszystkich kont i nie powielaj ich. Jeśli trudno Ci je wszystkie spamiętać, przechowuj je w odpowiednim programie szyfrującym, takim jak menadżer haseł NordPass. Nigdy nie zapisuj haseł w zwykłych, niezaszyfrowanych, możliwych do odczytania przez każdego plikach tekstowych.
• Włącz powiadomienia w bankowości elektronicznej. Większość aplikacji bankowych pozwala na włączenie powiadomień o każdej aktywności na koncie. Umożliwia to monitorowanie podejrzanych zachowań w czasie rzeczywistym. Jeśli ktoś użyje Twojej karty do dokonania płatności – natychmiast się o tym dowiesz.
• Włącz uwierzytelnianie wieloskładnikowe za pomocą zewnętrznej aplikacji. Tam, gdzie to możliwe, włącz 2FA z użyciem aplikacji uwierzytelniającej (np. Authy, Google Authenticator). Dzięki temu, jeśli zhakowana karta SIM dostanie się w ręce przestępcy i uzyska on dostęp do Twoich wiadomości SMS, nie będzie mógł ich użyć do zdobycia kodów 2FA.
• Nie podawaj nikomu poufnych danych. Żaden pracownik banku czy urzędnik nie poprosi Cię o podanie PESEL-u albo hasła mailem lub SMS-em. Tego typu działania to zwyczajne ataki phishingowe.
• Zabezpiecz swoje połączenie.. Jeśli zdarza Ci się łączyć z publicznymi sieciami Wi-Fi, rozważ dodatkowe zabezpieczenie połączenia poprzez VPN. Usługa szyfruje dane i przesyła je przez bezpieczny tunel, dzięki czemu możesz uchronić się przed kradzieżą informacji, nawet jeśli natkniesz się na podsłuchiwaną sieć. Darmowy VPN to także rozwiązanie zwiększające prywatność podczas przeglądania sieci.