Współczesny świat dynamicznie się zmienia, a technologie ewoluują w tempie, które jeszcze niedawno wydawało się domeną science fiction. Już dziś możemy obserwować trendy, które jeszcze dekadę temu były jedynie odległymi wizjami. Mowa tu o takich innowacjach jak ubrania dostępne w usługach subskrypcyjnych, zarządzanie ludźmi przez sztuczną inteligencję czy personalizacja programów nauczania. To nie są już tylko pomysły na przyszłość, ale realne kierunki rozwoju, które mogą kształtować nasze życie już w 2040 roku.
Te fascynujące możliwości zostały zaprezentowane w ramach wspólnego cyklu T‑Mobile Polska i Polityki Insight (PI) pod nazwą „Człowiek 2040”. Projekt ten stanowi próbę spojrzenia w przyszłość, która ma na celu nie tylko podsumowanie dotychczasowej cyfrowej transformacji Polski, ale przede wszystkim zastanowienie się nad dalszym rozwojem technologii i jego wpływem na życie każdego z nas.
Kontynuacją tej wizji, przedstawioną w nieco innej i humorystycznej formie, jest nowy format wideo „Wczoraj & Jutro”. W tym programie różnorodni goście konfrontują swoje przemyślenia związane z przyszłością, jednocześnie wspominając to, co kiedyś stanowiło naszą codzienność. Seria składa się z 10 kilkuminutowych filmów, a każdy z nich koncentruje się na innym aspekcie projektu „Człowiek 2040”. Na starcie dostępne są trzy odcinki: pierwszy poświęcony mieszkalnictwu, drugi rozwojowi zakupów, a trzeci dbaniu o siebie. Program „Wczoraj & Jutro” stanowi lifestyle’ową odsłonę projektu, która dzięki swojej przystępnej formie skierowana jest do szerokiego grona odbiorców.
Gdy szef kupi nowe auto firmowe 😁 #budowa #budowlaniec #smieszne
Jednakże, obok obiecujących wizji przyszłości, współczesność niesie ze sobą również nowe zagrożenia. Od co najmniej pół roku na terenie Polski grasuje sprytna szajka złodziei, która stosuje wyrafinowaną metodę kradzieży. Zbierają oni informacje na temat potencjalnej ofiary, a następnie okradają jej internetowe konta bankowe. Dokonują tego poprzez podszywanie się pod ofiarę w salonie operatora GSM i wyrabianie duplikatu karty SIM. Uzyskanie duplikatu karty SIM daje im dostęp do numeru telefonu ofiary, a co za tym idzie, do kodów służących do potwierdzania przelewów, które bank wysyła SMS-em na ten numer.
Zobaczcie, jak na przestrzeni ostatnich miesięcy w ten sposób okradziono na kilkaset tysięcy złotych Grzegorza i Wandę. 13 lipca do redakcji zgłosił się klient mBanku, którego na potrzeby artykułu nazwaliśmy Grzegorzem. Z jego firmowego konta, za pomocą tzw. „przelewu ekspresowego SORBNET”, wyprowadzono bardzo duże sumy pieniędzy, praktycznie czyszcząc rachunek do zera. W tym przypadku niezwykle interesujące było tempo wydarzeń. Grzegorz z żoną zauważyli awarię karty SIM w telefonie, a już 40 minut później skontaktował się z nimi bank, pytając o podejrzane transakcje. Mimo tak błyskawicznej reakcji pracowników mBanku, pieniądze zniknęły. Bank obiecał Grzegorzowi odpowiedź na reklamację w ciągu 30 dni, a nawet 60 dni, jeśli sprawa okaże się skomplikowana.
Grzegorz opisał swoje przeżycia: „W dniu wczorajszym zostałem okradziony na bardzo duże sumy pieniędzy. Kilka nieautoryzowanych przelewów. Po sprawdzeniu konta stwierdziłem, że z konta dwoma przelewami expressowymi wypłynęły całe nasze pieniądze. Naprawdę duże. Kilkaset tysięcy. Wczoraj po południu małżonka pobrała w salonie duplikat karty SIM, gdyż telefon nadal nie działał. Skojarzyłem fakt pytania pracownika mBanku o awarię telefonu i sprawdziłem, kiedy wcześniej był wykonywany duplikat. Okazało się, że był wykonywany w dniu wczorajszym, pół godziny przed przelaniem pieniędzy. Niestety pracownik Orange nie chciał (chyba nie mógł) udzielić mi informacji, gdzie, w jakim salonie (czy w ogóle w salonie) i na jakiej podstawie wystawiono duplikat. Co za ironia losu, złodzieje zadziwiająco łatwo coś wyłudzają, podszywając się pod klienta, a następnie prawdziwemu klientowi odmawia się informacji o czynnościach dokonanych w jego imieniu.”
Zapytaliśmy Orange, czy informacja o pobraniu karty SIM powinna być udzielona, a jeśli nie, to dlaczego. Przedstawiciel firmy odpowiedział: „Nie mamy żadnych wewnętrznych wytycznych odnośnie udzielania lub nie klientowi informacji na temat wydania karty SIM. Jeśli klient zostanie zweryfikowany zgodnie z naszym standardem, to powinien dostać taką informację. Nie znając szczegółów tego konkretnego przypadku, nie potrafię odpowiedzieć, czy błąd popełnił nasz doradca, czy np.”
Wróćmy do sedna - włamania na konto w mBanku i kradzieży pieniędzy. Złodziej jakoś pozyskał login i hasło ofiary do banku. Nie wiadomo jak: czy było to złośliwe oprogramowanie na komputerze ofiary, czy phishing. Zauważmy, że w przypadku prawdziwych bankowych trojanów, po infekcji komputera ofiary, przestępca nie musi mieć dostępu do jej telefonu. W większości przypadków wystarczy atak „Man in the Browser”, czyli poczekanie, aż ofiara będzie zlecała jakąś płatność i podmiana w tle kwoty i/lub rachunku docelowego. Wiąże się to z ryzykiem wpadki - mBank informuje w SMS o kwocie i rachunku docelowym transakcji. Być może przestępcy, widząc spore sumy na koncie ofiary, nie chcieli ryzykować wpadki i „spalenia” tak bogatego klienta? Z kolei w przypadku phishingu, jeśli ofiara była na tyle naiwna, że podała login i hasło, to zazwyczaj na fałszywej stronie prosi się o przepisanie kodu z SMS, i ofiary to robią. Wreszcie, dane logowania można pozyskać po infekcji komputera zwykłym keyloggerem (nawet sprzętowym). A taki łatwo wgrać na firmowym komputerze. Być może (bo konto było firmowe) Grzegorz zalogował się na „cudzym” komputerze w firmie, albo nawet na takim, do którego dostęp mieli klienci… To zresztą wcale nie musiał być komputer w firmie.
Wyłudzenie duplikatu karty SIM nastąpiło w innym mieście, w fizycznym salonie (co Grzegorz ustalił własnymi znajomościami), a złodziej posłużył się podrobionym dowodem osobistym (tzw. dowody kolekcjonerskie można zamówić przez internet za ok. 300 PLN). Pieniądze z konta Grzegorza zostały najpierw przesłane na konto w BOŚ, a stamtąd miały trafić na giełdę kryptowalut BitBay.
Podsumowując, tylko szybka reakcja mBanku uchroniła Grzegorza przed stratą gotówki. I choć pieniądze opuściły bank, a mBank wspominał o 60 dniach rozpatrywania reklamacji, to finalnie środki udało się zablokować w BOŚ-u i jak wynika z rozmowy z Grzegorzem, zostały mu już zwrócone. W mniej niż 10 dni. To oznacza, że współpraca na linii mBank-BOŚ-BitBay była bardzo sprawna. Nie wiemy, co spowodowało, że pracownik mBanku postanowił zadzwonić do Grzegorza. Czy czynnikiem decydującym o oflagowaniu transakcji był transfer dużej kwoty szybkim przelewem, transfer na nieznane konto, czy może wykonanie tych operacji z nowego adresu IP. Ważne, że się udało.
Pytanie, jak poszło w pozostałych przypadkach… bo 12 lipca w ten sam sposób okradzionych zostało więcej osób. W Żywcu w dniu wczorajszym 7 osób zostało okradzione z pieniędzy. Zgłosił się do mnie klient, któremu skradziono kilka set tysięcy z konta firmowego w mbanku. Wektor ataku jest ciekawy: u operatora sieci komórkowej wyrabiają duplikat karty SIM. Klientowi wyłącza się telefon - aktywuje się zduplikowana karta SIM. Po kilkudziesięciu minutach przychodzi informacja, że komputer który połączył się z bankiem jest zainfekowany. Przelewy są robione na konto w Banku Ochrony Środowiska, a następnie kupowane są bitcoiny. Sprawa została przejęta przez Policję Gospodarczą. Dzień później dostałem komputer do przeskanowania „bo są w nim wirusy”. Po przeskanowaniu znalazło 9 wirusów: 4 pliki z KMS od cracowania office, reszta opisana jako „być może niepożądana aplikacja”. Skanowanie programem NOD32.
Ale Grzegorz i pozostałe kilka osób z Żywca to nie pierwsze ofiary kradzieży z wykorzystaniem duplikatu karty SIM. Jeszcze w styczniu zgłosiła się do redakcji Czytelniczka (dalej zwana Wandą), której wyczyszczono konto w BZWBK, bo T-Mobile wydał złodziejom duplikat jej karty SIM. Co ciekawe, tu oszust wyłudził duplikat w salonie „fizycznym” nie na podstawie podrobionego dowodu, a na podstawie upoważnienia notarialnego (oczywiście podrobionego). Żeby było śmieszniej, wskazany na upoważnieniu notariusz nawet nie istniał, a poza tym numer dowodu Czytelniczki nie zgadzał się z tym podanym na upoważnieniu. Złodziej, korzystając z duplikatu karty SIM, uzyskał „kody startowe” i login do konta w BZ WBK. Złodziej najprawdopodobniej udawał na infolinii banku, że zapomniał danych logowania i poprosił o ich ponowne przesłanie/przypomnienie. Po kradzieży środków z konta w BZ WBK przestępca próbował też dobrać się do konta Wandy w PKO BP, ale bezskutecznie.
Dzięki swoim znajomościom, nasza Czytelniczka ustaliła, w którym salonie pobrano kartę SIM. Podobno nie był to jedyny przypadek w tym konkretnym salonie (miejscowość Błonie k. Warszawy). Ale to nie koniec szokujących informacji w sprawie tego incydentu. W czasie, gdy doszło do opisywanej przez nas powyżej kradzieży, Wanda była za granicą. Swój telefon zostawiła córce. Nieświadoma kradzieży córka, pewnego dnia zauważyła, że karta SIM w telefonie przestała działać. Zadzwoniła więc do biura obsługi klienta T-Mobile, podała się za matkę i wyprosiła przesłanie nowej karty SIM drogą kurierską na adres swojej firmy (niezwiązanej z matką). Kurier, który przybył z duplikatem karty, nie sprawdził dokumentów córki i wydał jej przesyłkę z kartą SIM. To jest niesamowite! Córka ofiary wyłudzenia karty SIM sama wyłudziła kartę SIM, aby pomóc matce. Ale to jeszcze nie koniec! Gdy Wanda wróciła do kraju, nie mogła się dostać na swoje konto (oszust zmienił hasła). Czytelniczka uzyskała więc kody startowe, dzwoniąc na infolinię BZ WBK. Wtedy odkryła, jak została okradziona. Skąd złodziej miał te informacje? Otóż PESEL i adres ofiary znajdowały się w pewnym rejestrze publicznym, więc oszust po prostu je odczytał. Tak jak mógłby to zrobić każdy z Was. Jeśli chodzi o sposób autoryzacji przelewów, to jest dość oczywiste, że większość ludzi używa autoryzacji SMS.
Mimo tych niedociągnięć, Bank BZ WBK nie chciał uznać reklamacji. Zaproponował ugodę dopiero, gdy Czytelniczka wystąpiła do sądu (w chwili pisania tego tekstu ugoda nie została jeszcze zawarta). Oczywiście pytaliśmy o tę sprawę zarówno T-Mobile, jak i BZ WBK. Chcieliśmy zwłaszcza potwierdzić, czy np. odnotowano kilka przypadków wyłudzeń kart SIM w tym jednym salonie, albo czy uzyskanie kodów startowych przez infolinię BZ WBK jest faktycznie tak proste. Obu firmom daliśmy sporo czasu na odpowiedź, ale przez pół roku odpowiedzi nie dostaliśmy.
Wyrabianie duplikatu karty SIM i stosowanie go do kradzieży pieniędzy jest popularne także za granicą. Już w roku 2013 takie ataki wskazywano jako coraz bardziej popularne, a zaledwie tydzień temu o problemie „SIM swap fraud” pisał Motherboard. Co ciekawe, za granicą przestępcy przejmują nie tylko rachunki bankowe, ale również konta użytkowników Instagrama (które sprzedają za Bitcoiny). Bo - choć do tej pory o tym nie wspomnieliśmy - to powinniście wiedzieć, że przejęcie cudzego numeru przez klon karty SIM może oznaczać nie tylko wyczyszczenie konta w banku, ale również przejęcie kont w serwisach społecznościowych (generalnie wszędzie tam, gdzie SMS pełni rolę elementu autoryzacji lub uwierzytelnienia).
To, że nie masz pieniędzy na rachunku w banku, wcale nie oznacza, że możesz spać spokojnie. A to znaczy, że jeśli ktoś wyrobi klona Twojej karty SIM, to może dostać się do Twoich kont i danych. Co tam znajdzie i czy będzie to dla Ciebie kompromitujące? Zdecydowanie najgroźniejsze będzie użycie duplikatu karty SIM do przejęcia konta Google - przestępca po prostu przejdzie procedurę „przypomnienia hasła” z wariantem resetu przez kod SMS. Z tego powodu Instagram i inne serwisy decydują się na wprowadzenie nowej formy autoryzacji, która bazuje na aplikacji w telefonie, a nie na karcie SIM. Musicie tylko pamiętać, że jeśli wybierzecie uwierzytelnienie przez Google Authenticator albo inną aplikację do jednorazowych kodów i 2FA, to powinniście, jeśli to możliwe, USUNĄĆ numer telefonu ze swojego konta. Właśnie po to, aby nikt nie wykorzystał go awaryjnie do resetu „zapomnianego” hasła.
Wszystko jest w rękach Twojego operatora, więc załóż, że ktoś po prostu - jeśli się postara - zawsze będzie w stanie taki duplikat zdobyć. MONITOROWAĆ. Jeśli karta SIM w Twoim telefonie nagle przestała działać, to znaczy, że masz ogromny problem. ZMIENIĆ NUMER TELEFONU w kluczowych usługach. Np. bankowi i PayPalowi podać taki, którego nikt nie zna. Co prawda, jeśli zarejestrujesz go na swoje imię i nazwisko, a przestępcy mają kreta u operatora, to i tak mogą dowiedzieć się, jakie numery posiadasz i sprawdzić, który z nich jest skojarzony z Twoim kontem w banku. Ale zawsze to jakaś dodatkowa ochrona. Na wyłudzenia kart SIM są szczególnie narażone osoby, których dane znajdują się w rejestrach publicznych, np. USTAWIĆ POWIADOMIENIA O TRANSAKCJACH I LOGOWANIU W BANKU, np. po zainstalowaniu aplikacji mobilnej banku. Tak, telefon nie będzie mieć internetu, jeśli ktoś wyrobi duplikat karty i powiadomienia mogą nie przyjść w porę. NIE DAĆ SIĘ ZHACKOWAĆ. W przypadku banku, sama kontrola nad numerem telefonu na wiele się nie zda, najwyżej złodziej spnie z Twoim kontem aplikację mobilną i okradnie Cię do jej limitu (w mBanku jest to maksymalnie 5 000 PLN). Tragedii nie będzie. Do prawdziwej kradzieży potrzebne jest jeszcze login i hasło do konta. Jak nie przekazać go złodziejowi? O tym, jak tego dokonać, napisaliśmy już wiele na naszych łamach, ale jeśli chciałbyś dostać te informacje „w pigułce” w przystępnej formie, tak żeby nawet osoba nietechniczna zrozumiała, czego nie powinna robić w internecie, to zapraszamy na nasz wykład pt. „Jak nie dać się zhackować”. W trakcie wykładu pokazujemy, jak poprawnie zabezpieczyć Twój komputer i telefon przed hackerami, scamerami i cyberprzestępcami. Mówimy też, jak bezpiecznie kupować w internecie i jak ograniczać ryzyko kradzieży pieniędzy z kont bankowych. Zagadnienia przeplatamy pokazami prawdziwych ataków na żywo. Wszystko trwa ok. 3h. Zapraszamy!
Gdy szef kupi nowe auto firmowe 😁 #budowa #budowlaniec #smieszne
P.S. We wszystkich polskich i zagranicznych przypadkach kradzieży pieniędzy bądź kont z wykorzystaniem duplikatu karty SIM pojawia się pewien wspólny element - czynnik ludzki. Telekomy to ogromne instytucje, zatrudniające masę różnych ludzi, zlecające czynności różnym podwykonawcom, dysponujące wieloma różnymi rozwiązaniami do jednej czynności, zorientowane na obsługę szybką i wygodną. Jednocześnie telekomy są kimś w rodzaju dostawcy usług tożsamości, a ich produkt (karta SIM), znów ze względu na wygodę dostawców usług internetowych czy bankowości online, strzeże dostęp do wielu naszych tajemnic i pieniędzy. W takiej sytuacji tylko szczelne procedury mogą uchronić przed problemami. A w firmie, która ma kilkaset oddziałów w Polsce i kilka tysięcy pracowników, zawsze uda się znaleźć taką osobę, która wbrew procedurom, wykaże się nadmierną empatią, chęcią pomocy, albo po prostu będzie posiadała braki w znajomości procedur i czegoś nie sprawdzi tak dokładnie, jak powinna. Coś o tym wiemy, bo po styczniowych doniesieniach od Wandy rozpoczęliśmy w redakcji mały test. Na przestrzeni ostatnich miesięcy odwiedziliśmy kilka oddziałów różnych operatorów i na wiele różnych sposobów staraliśmy się w sposób zupełnie nieautoryzowany wyrobić duplikaty kart SIM kilku wybranych ofiar (bez obaw, ofiary się zgodziły). No i parę razy nam się udało. Ale to temat na osobny artykuł. Niniejszym zapowiadamy jego publikację w jeszcze w tym tygodniu.
tags: #czlowiek #w #przystepnej #cenie #mob