Co to jest SIM swapping? (Nie)oczywista metoda oszustów może cię pozbawić wszystkiego
Pomyśl przez sekundę o wszystkich usługach powiązanych z twoim numerem telefonu: bankowość, Blik, sklepy internetowe, uwierzytelnienie dwuskładnikowe w social mediach. SIM swapping to prosta, lecz brutalna w skutkach metoda cyberprzestępców na pozbawienie cię karty SIM - a więc i wszystkiego, co powiązane z twoim numerem telefonu.
Rozwój technologii oraz postępująca zależność współczesnego społeczeństwa od zdalnych metod autoryzacji to miecz obosieczny. Z jednej strony mamy do czynienia z niespotykaną nigdy wcześniej wygodą i niezwykle szybkim przetwarzaniem zapytań, wniosków, zgłoszeń i zakupów. Jednak po drugiej stronie stoją zagrożenia wynikające ze zbyt dużej zależności od medium.
Najprostszym przykładem tego typu oszustw jest szeroko pojęty phishing oraz jego różne wariacje, jakie jak np. smishing, vishing, ale także spoofing. Jednak metoda, o której relatywnie mało wiadomo, a która może doprowadzić do jeszcze większych szkód po stronie ofiary, to SIM swapping.
Co to jest SIM swapping?
SIM swapping to metoda cyberprzestępców polegająca na wyrobieniu duplikatu karty SIM u operatora. Metoda jest równie prosta co niebezpieczna, bowiem wraz z wyrobieniem i wydaniem abonentowi duplikatu karty SIM, operator wyłącza oryginalną kartę SIM. W scenariuszu wydania duplikatu osobie nieuprawnionej prowadzi to do sytuacji, w której przejmuje ona całkowitą kontrolę nad numerem telefonu ofiary - a więc i pełny dostęp do wszystkich usług zabezpieczonych weryfikacją dwuskładnikową. Począwszy od banków, poprzez konta na portalach społecznościowych, sprzedażowych czy innych serwisach społecznościowych, a kończąc na możliwości zakładania w imieniu ofiary kont w różnych usługach czy po prostu możliwości odbierania za nią telefonów i SMSów.
Czytaj również:
By w ogóle być w stanie dokonać SIM swappingu, potrzebne są dane ofiary, które cyberprzestępca musi przedstawić operatorowi. Dlatego SIM swapping nie jest "samodzielną" metodą oszustwa - zawsze towarzyszy mu uprzednie wykradnięcie danych niezbędnych do podszycia się pod abonenta w inny sposób. Tu zgubić ofiarę może choćby podanie danych osobowych na stronie podszywającej się pod zaufaną instytucję lub firmę, opublikowaniem w mediach społecznościowych zdjęć dokumentów zawierających poufne dane czy utrata dowodu osobistego.
Metoda SIM swappingu zyskała rozgłos w 2019 roku, kiedy jej ofiarą padł Jack Dorsey - jeden z założycieli Twittera. Poprzez uzyskanie duplikatu karty SIM hakerom udało się na krótko przejąć konto Dorseya na Twitterze (obecnie X).
SIM swapping w praktyce: tak działają oszuści, tak operatorzy rozkładali ręce
Jak mówi Bartosz Grube, adwokat w kancelarii adwokackiej GRUBE, specjaliści od cyberbezpieczeństwa niejednokrotnie wskazywali, że jednym z głównych powodów tzw. wyłudzeń kart SIM są często niedostosowane do realiów naszych czasów procedury stosowane przez operatorów sieci komórkowych. W oficjalnych dokumentach operatorzy przekazywali, że proces wydania duplikatu powiązany jest ze skrupulatną weryfikacją tożsamości zamawiającego usługę, co jednak nie zawsze pokrywało się z rzeczywistością.
- W praktyce zdarzało się, że pracownicy punktów sprzedaży byli wprowadzani w błąd co do samej tożsamości lub nie przykładali należytej wagi do procesu weryfikacji. Część operatorów pozwalała na zamówienia duplikatu karty SIM, która dostarczana była kurierem. Wówczas operator nie miał bezpośredniego wpływu na proces weryfikacji danych odbierającego taką przesyłkę, co pozostawiało ogromne pole do nadużyć
- mówi adwokat.
Czy prawo pozostaje bezradne wobec zjawiska SIM swappingu? Jest całkiem na odwrót: prawo zmieniono z myślą o nim już jakiś czas temu.
Lipcowe zmiany prawa to nie tylko mObywatel
W lipcu bieżącego roku Prezydent RP podpisał ustawę o zmianie niektórych ustaw w celu ograniczania niektórych skutków kradzieży tożsamości. W mediach ustawa ta opisywana była przede wszystkim ze względu na wprowadzoną możliwość zastrzeżenia numeru PESEL m.in. w aplikacji mObywatel oraz na nałożony na instytucje bankowe i pożyczkowe obowiązek weryfikacji czy numer PESEL nie został uprzednio zastrzeżony. Znowelizowane prawo to także instrument walki ze zjawiskiem kradzieży kart SIM, bowiem nakłada on na operatorów telekomunikacyjnych obowiązek zweryfikowania danych osobowych oraz ustalenie przed wydaniem kopii lub wtórnika karty, lub innego urządzenia, służących do identyfikacji abonenta w publicznej sieci telekomunikacyjnej lub ich cyfrowego odwzorowania, czy numer PESEL abonenta nie został zastrzeżony.
Jak podkreśla Bartosz Grube, operator nie wyda duplikatu karty SIM jeżeli numer PESEL abonenta będzie widniał jako zastrzeżony w rejestrze zastrzeżeń numerów PESEL. Co więcej, odmowa ma następować również w sytuacji niedostępności systemu teleinformatycznego, w którym prowadzony jest rejestr zastrzeżeń numerów PESEL.
- Co prawda ustawodawca przewidział odstępstwo od takiej zasady w sytuacji, gdy powtórna próba weryfikacja zastrzeżenia nie jest skuteczna, jednak wydanie w takim wypadku duplikatu karty SIM ma nastąpić z zachowaniem należytej staranności przy weryfikacji tożsamości abonenta i z udokumentowaniem przeprowadzenia weryfikacji
- wskazuje prawnik.
Nowelizacja prawa nie oznacza jednak, że abonenci mogą spać spokojnie. Nadal należy zachować szczególną ostrożność co do udostępniania poufnych danych, w tym numeru PESEL. Należy nie stosować prostych do odgadnięcia haseł czy wykorzystujących nasze dane osobiste (np. dat urodzenia), a gdzie to możliwe warto zastosować uwierzytelnienie dwuskładnikowe za pomocą aplikacji, a nie telefonu komórkowego, by choć trochę zredukować skutki udanego ataku.