SIM SWAP to rodzaj oszustwa polegający na pozyskaniu duplikatu karty SIM ofiary, dzięki czemu oszuści zyskują możliwość wykonywania połączeń oraz wysyłania i odbierania SMS.
To bardzo niebezpieczne w przypadku uwierzytelnień dwuskładnikowych, do których chętnie wykorzystujemy właśnie SMS.
Eksperci apelują o ostrożność, gdyż w ostatnim czasie w Polsce rozbito zorganizowaną grupę przestępczą wykorzystującą do swoich celów m. in. ten mechanizm. Skala strat ofiar to 18 mln zł, a udaremniono próby oszustw na kolejne 26 mln zł!
SIM SWAP – na czym polega?
Oszustwo SIM SWAP oparte jest na pozyskaniu duplikatu karty SIM. Wstępem do działania ze strony oszustów może być dostępny publicznie numer telefonu połączony z imieniem i nazwiskiem. Jest to całkowicie naturalne w przypadku osób prowadzących działalność gospodarczą, więc nawet jeśli jako przedsiębiorcy nie podajemy pełnych danych w np. na stronie internetowej firmy czy jej social mediach, mogą one być publicznie dostępne w CEIDG jeśli nie skonfigurujemy odpowiednio opcji prywatności. Niestety, bardzo często tego typu informacje pochodzą również z wycieków danych zawierających nawet numery PESEL.
W następnym kroku cyberprzestępcy, gromadzą jak najwięcej informacji dotyczących nie tylko samej ofiary, ale też jej rodziny, w tym dzieci lub współmałżonka. Najbardziej przydatne są dane zawierające cyfry, jak np. daty urodzin czy rocznic. Niestety, często sami narażamy się na zagrożenie, np. umieszczając bezrefleksyjnie w mediach społecznościowych, Facebooku czy Instagramie, posty dotyczące świętowania urodzin.
- Dysponując takim zasobem wiedzy, oszust kontaktuje się z operatorem sieci komórkowej, aby poprosić o przeniesienie numeru na nowo zakupioną kartę SIM z powodu zagubienia lub kradzieży obecnie używanej. W zależności od operatora weryfikacja tożsamości może odbywać się przez podanie kodu i niestety, jak pokazuje praktyka, najczęściej, by był łatwy do zapamiętania, jest on ustawiany przez użytkowników jako kombinacja cyfr np. urodzin naszych, dzieci lub współmałżonka. Jeśli więc oszust zna te daty, szansa na trafienie kodu jest relatywnie wysoka. Co więcej, zdarza nam się też ustawiać hasło jako ciąg następujących po sobie cyfr 1-6. Nawet jeśli oszust nie trafi za pierwszym razem, konsultant operatora, wykazując się cierpliwością prawdopodobnie zezwoli na jeszcze jedną czy dwie próby. Po pozytywnej weryfikacji oszust najczęściej prosi o uruchomienie sygnału już na nowej karcie, podając jej numer w trakcie rozmowy. Warto dodać, że często używane są również podrobione dowody osobiste w celu weryfikacji tożsamości w punktach operatora. - opisuje mechanizm Beniamin Szczepankiewicz, analityk laboratorium antywirusowego ESET.
Ofiary oszustwa SWIM SWAP o tym, że wydarzyło się coś niepokojącego, często dowiadują się dopiero po kilku godzinach. Dlaczego? Otóż będąc w pracy, przykładowo w biurze, często korzystamy z dostępnego Wi-Fi i otrzymując wszelkie powiadomienia z maila czy mediów społecznościowych, nie mamy świadomości, że karta SIM w telefonie jest nieaktywna. Najczęściej dopiero próba wykonania połączenia daje do myślenia i pozwala odkryć, że telefon został pozbawiony sygnału.
Wspomniane kilka godzin najczęściej jest wystarczające dla cyberprzestępców, a konsekwencje ich działania w tym czasie mogą być druzgocące. Od momentu włączenia sygnału na nowej karcie SIM, oszuści mogą bezkarnie dzwonić, wysyłać i odbierać wiadomości tekstowe z przejętego numeru. Szczególnie niebezpieczna okazuje się możliwość wysyłania i odbierania wiadomości. Dlaczego?
- To właśnie SMS bardzo często stanowi element potwierdzenia przy uwierzytelnianiu wieloskładnikowym (MFA) dla logowania w mediach społecznościowych, na stronach internetowych firm, do systemów pracowniczych czy jako niezbędna część dokończenia transakcji czy nawet logowania do konta bankowego - dodaje analityk ESET. Szacuje się, że dla 3 na 4 Polaków SMS to preferowany sposób zabezpieczeń . Jest to również chętnie wykorzystywana droga do odzyskiwania haseł.
Z punktu widzenia finansów najbardziej kosztowne mogą być oczywiście wszelkie przejęcia kont bankowych czy zlecanie przelewów z kont osobistych czy firmowych. Z drugiej strony, włamanie przez cyberprzestępców na pocztę (firmową lub osobistą) lub do interfejsu stron internetowych może oznaczać kolejne potencjalne problemy na czele z: wyciekami danych ofiary i jej klientów, możliwością wprowadzania kompromitujących treści lub wysyłki wiadomości z przejętych kont. W wielu przypadkach utrata reputacji i straty wizerunkowe mogą być równie dotkliwe, co finansowe.
Oszuści po uzyskaniu kontroli nad numerem telefonu, mogą kontaktować się też z rodziną lub współpracownikami ofiary w celu zebrania danych osobowych lub szantażu w celu wyłudzenia pieniędzy.
Oszuści w Polsce znają ten mechanizm
Mechanizm SWIM SWAP jest doskonale znany cyberprzestępcom w Polsce. Kilkanaście dni temu policja poinformowała o przekazaniu do sądu aktu oskarżenia przeciwko 12 osobom, członkom zorganizowanej grupy przestępczej, podejrzanym m.in. o bezprawne uzyskiwanie dostępu do rachunków bankowych firm i osób fizycznych.
Jak podaje policja, oszuści w okresie od stycznia 2018 roku do października 2021 roku, dokonywali szeregu przestępstw internetowych polegających na kradzieży tożsamości pokrzywdzonych przy wykorzystaniu podrobionych dokumentów tożsamości, przełamywaniu zabezpieczeń systemów bankowości elektronicznej oraz bezprawnym pozyskiwaniu loginów i haseł dostępowych do rachunków rozliczeniowych przy wykorzystaniu metody SIM SWAP. Łączna wartość szkód powstałych w wyniku przestępstw tej grupy przestępczej przekroczyła 18 milionów złotych. Oskarżeni usiłowali również przejąć kolejne środki pieniężne w łącznej kwocie 26 milionów złotych. Grozi im kara do 15 lat pozbawienia wolności.
Jak się uchronić? 4 proste kroki
SIM SWAP to szalenie niebezpieczna metoda cyberprzestępców pozwalająca im w krótkim czasie wykonać szereg skutecznych ruchów. Aby jednak było to niemożliwe, należy stosować się do kilku prostych rad:
- PIN-y i hasła – zadbaj, by Twoje kody, piny i hasła nie były powiązane z ważnymi datami w życiu, np. urodzinami dzieci, współmałżonka, datami rocznic. Ciągi następujących po sobie cyfr również nie są bezpiecznym rozwiązaniem.
- Prywatność i bezpieczeństwo w mediach społecznościowych – nie udostępniaj w sieci wrażliwych danych, jak numery telefonów, daty urodzin dzieci, współmałżonka, rocznic. Warto rozważyć widoczność postów tylko dla znajomych.
- Uwierzytelnianie wieloskładnikowe SMS-em – tam, gdzie to możliwe, warto zamiast uwierzytelnienia SMS-owego, rozważyć zastosowanie aplikacji weryfikującej lub tokena fizycznego.
- Zastrzeż numer PESEL. Operator nie będzie mógł wydać duplikatu karty SIM, dopóki nasz numer jest zastrzeżony.
1https://www.smsapi.pl/blog/wp-content/uploads/2023/11/smsapi-raport-bezpieczenstwo-logowanie-kw.png