54

Kolejny atak na duplikat karty SIM i kolekcjonerski dowód – tym razem z konta zniknęło aż 1,1 mln zł

Gazeta Wyborcza opisała dziś świeżą historię, z początku grudnia 2018 roku, przedstawiającą kradzież z konta warszawskiego przedsiębiorcy Józefa Kruka znacznej sumy pieniędzy.

Atak został przeprowadzony przy użyciu duplikatu karty SIM, którą przestępcy uzyskali w salonie Play, na postawie kolekcjonerskiego dowodu osobistego, który można zamówić przez internet (do tego wrócimy później).

Wspomniany przedsiębiorca 3 grudnia otrzymał od swojego operatora SMS-a informującego o przyjętym zleceniu wymiany karty SIM, po czym aktualna karta SIM została zablokowana. Musiał więc udać się do salonu, by sprawę wyjaśnić, a tam uzyskał informację, że ktoś na podstawie jego dowodu zlecił wymianę karty SIM, ponownie więc ją wymienił, a po jej uaktywnieniu w swoim telefonie dostał SMS-a od swojego banku (mBank), że odnotowano próbę logowania się do jego konta bankowego.

Potrafię sobie wyobrazić, co wtedy poczuł ów przedsiębiorca. Po tej informacji udał się do placówki banku, a tam dowiedział się, że z jego konta przelano 1,1 mln zł na konto jednego z poznańskich kantorów, z którego szybko wypłacono skradzione pieniądze.

Jakby tego było mało, po jakimś czasie dowiedział się, że na jego dane (również przy użyciu wspomnianego dowodu kolekcjonerskiego) zaciągnięto łącznie 9 kredytów na 40 tysięcy złotych.

Jak do tego mogło dojść? Gazeta Wyborcza wyjaśnia to w ten sposób:

(…) na nową kartę SIM, którą wyrobił przestępca, przychodziły SMS-y, którymi zatwierdzano przelewy. Z kolei karta SIM została wydana oszustowi na tzw. dowód kolekcjonerski. Ten z kolei pozwolił obejść mu bankowe zabezpieczenia i brać kolejne kredyty na mężczyznę.

Pierwsza część tych wyjaśnień jest zrozumiała, podobny przypadek kradzieży na duplikat karty SIM opisywaliśmy pod koniec lipca 2018 roku, jednak do wyprowadzenia pieniędzy z konta ofiary, przestępcy potrzebowali jeszcze danych do logowania do bankowości elektronicznej, a te uzyskali przy użyciu phishingu.

Więc jak w tym przypadku uzyskali je przy użyciu dowodu osobistego? Tutaj odeślę Was do innego naszego wpisu, w którym za Niebezpiecznikiem opisywaliśmy sposób aktywacji aplikacji mobilnej mBanku. Wystarczył do tego numer PESEL ofiary, nazwisko panieńskie matki oraz kod z SMS, wysłany na numer telefonu, którym przestępcy przez krótki czas dysponowali.

Ofiara informowana jest o połączeniu nowej aplikacji mobilnej z kontem tylko przez SMS, a więc nie otrzymuje już tego powiadomienia po aktywacji duplikatu karty SIM przez przestępce. Co więcej, przestępca może w łatwy sposób, mając już tak szeroki dostęp, zwiększyć limity transakcji do przelewów przez aplikację, do wysokości miliona złotych, przepiąć autoryzację przelewów z SMS-ów na autoryzację mobilną i na odwrót – praktycznie pełna kontrola.

Z konta zniknęło ponad milion złotych, to już mi ciężko wytłumaczyć, niemniej powyższy sposób prawdopodobnie przestępcy wykorzystali. Musieli przy tym mieć dokładny duplikat dowodu osobistego ofiary, łącznie z numerem PESEL.

Skąd przestępcy uzyskali taki dowód? Nie wiem skąd wzięli jego dokładne dane (chyba, że uzyskali dane do logowania przedsiębiorcy do CEIDG, ale brakuje jeszcze nazwiska panieńskiego), ale sam dowód można zamówić przez internet. Tanio nie jest, ale za blisko 2 tysiące można zamówić duplikat dowodu, wraz z zabezpieczeniami, którego zwykły śmiertelnik nie odróżni od oryginału.

Na szczęście to już ostatnie miesiące takich praktyk, przynajmniej na terytorium Polski, w lipcu wchodzi bowiem w życie ustawa o dokumentach publicznych z 22 listopada 2018 r., która będzie zabraniała produkcji i sprzedaży replik takich dokumentów, pod groźbą kary dwóch lat więzienia.

Źródło: Business Insider via Gazeta Wyborcza.
Photo: bzyxx/Depositphotos.