SIM SWAP to rodzaj oszustwa, który opiera się na uzyskaniu duplikatu karty SIM ofiary. Proces ten często rozpoczyna się od zdobycia publicznie dostępnego numeru telefonu, który jest powiązany z imieniem i nazwiskiem. W przypadku osób prowadzących działalność gospodarczą, takie dane mogą być łatwo dostępne, na przykład poprzez publiczne rejestry jak CEIDG, jeśli właściciel firmy nie skonfigurował odpowiednio opcji prywatności. Niestety, takie informacje mogą również pochodzić z wycieków danych, w których znajdują się numery PESEL.
Następnym krokiem dla cyberprzestępców jest zgromadzenie jak największej ilości informacji nie tylko na temat samej ofiary, ale również jej rodziny, w tym dzieci czy współmałżonka. Kluczowe są wszelkie dane zawierające cyfry, takie jak daty urodzin czy rocznic. Niestety, wiele osób nieświadomie ułatwia to zadanie przestępcom, publikując takie informacje w mediach społecznościowych, na przykład na Facebooku czy Instagramie, często bez odpowiedniego zastanowienia.
– Dysponując takim zasobem wiedzy, oszust kontaktuje się z operatorem sieci komórkowej, aby poprosić o przeniesienie numeru na nowo zakupioną kartę SIM z powodu zagubienia lub kradzieży obecnie używanej. W zależności od operatora weryfikacja tożsamości może odbywać się przez podanie kodu i niestety, jak pokazuje praktyka, najczęściej, by był łatwy do zapamiętania, jest on ustawiany przez użytkowników jako kombinacja cyfr np. urodzin naszych, dzieci lub współmałżonka. Jeśli więc oszust zna te daty, szansa na trafienie kodu jest relatywnie wysoka. Co więcej, zdarza nam się też ustawiać hasło jako ciąg następujących po sobie cyfr 1-6. Nawet jeśli oszust nie trafi za pierwszym razem, konsultant operatora, wykazując się cierpliwością prawdopodobnie zezwoli na jeszcze jedną czy dwie próby. Po pozytywnej weryfikacji oszust najczęściej prosi o uruchomienie sygnału już na nowej karcie, podając jej numer w trakcie rozmowy. Warto dodać, że często używane są również podrobione dowody osobiste w celu weryfikacji tożsamości w punktach operatora – tłumaczy Beniamin Szczepankiewicz, analityk laboratorium antywirusowego ESET.
Ofiary oszustwa SIM SWAP często dowiadują się o incydencie dopiero po kilku godzinach. Jak to możliwe? Kiedy przebywają w pracy, na przykład w biurze, często korzystają z dostępnego Wi-Fi, przez co otrzymują powiadomienia z poczty elektronicznej czy mediów społecznościowych, nie zdając sobie sprawy, że karta SIM w ich telefonie została dezaktywowana. Dopiero próba wykonania połączenia daje im sygnał, że coś jest nie tak, gdyż telefon nagle traci sygnał.
Te kilka godzin, w trakcie których ofiara pozostaje nieświadoma, jest dla cyberprzestępców wystarczającym czasem na przeprowadzenie wielu działań, których konsekwencje mogą być przerażające. Od momentu aktywacji sygnału na nowej karcie SIM, oszuści mogą swobodnie dzwonić, wysyłać i odbierać wiadomości tekstowe z przejętego numeru. Szczególnie niebezpieczne jest to, że mogą wysyłać i odbierać SMS-y. Dlaczego jest to tak groźne?
– To właśnie SMS bardzo często stanowi element potwierdzenia przy uwierzytelnianiu wieloskładnikowym (MFA) dla logowania w mediach społecznościowych, na stronach internetowych firm, do systemów pracowniczych czy jako niezbędna część dokończenia transakcji czy nawet logowania do konta bankowego – dodaje analityk ESET. Szacuje się, że dla 75% Polaków SMS to preferowany sposób zabezpieczeń, a także popularna metoda odzyskiwania haseł.
Z finansowego punktu widzenia, najbardziej kosztowne są oczywiście przejęcia kont bankowych i zlecanie przelewów z kont osobistych czy firmowych. Jednak cyberprzestępcy, którzy przejmą dostęp do poczty elektronicznej (firmowej lub prywatnej) lub interfejsu stron internetowych, mogą wyrządzić wiele innych szkód. Może to prowadzić do wycieku danych ofiary oraz jej klientów, możliwości wprowadzania kompromitujących treści czy wysyłki wiadomości z przejętych kont. W wielu przypadkach straty wizerunkowe i utrata reputacji mogą być równie dotkliwe, jak straty finansowe.
Przestępcy, którzy przejmują numer telefonu, mogą również kontaktować się z rodziną lub współpracownikami ofiary w celu zebrania dodatkowych danych osobowych lub wyłudzenia pieniędzy poprzez szantaż.
SIM SWAP jest doskonale znany cyberprzestępcom w Polsce. Kilkanaście dni temu policja poinformowała o przekazaniu do sądu aktu oskarżenia przeciwko 12 osobom, członkom zorganizowanej grupy przestępczej, podejrzanym m.in. o bezprawne uzyskiwanie dostępu do rachunków bankowych firm i osób fizycznych.
Z danych policji wynika, że w okresie od stycznia 2018 roku do października 2021 roku, przestępcy dokonali szeregu oszustw internetowych, polegających na kradzieży tożsamości pokrzywdzonych przy wykorzystaniu podrobionych dokumentów tożsamości, przełamywaniu zabezpieczeń systemów bankowości elektronicznej oraz nielegalnym pozyskiwaniu loginów i haseł do rachunków bankowych przy użyciu metody SIM SWAP. Szkody wyrządzone przez tę grupę przestępczą przekroczyły 18 milionów złotych. Oskarżeni próbowali także przejąć kolejne środki pieniężne w wysokości 26 milionów złotych. Grozi im kara do 15 lat pozbawienia wolności.
SIM SWAP to niebezpieczna metoda, która w krótkim czasie pozwala cyberprzestępcom na skuteczne przejęcie kontroli nad danymi ofiary. Aby jednak zminimalizować ryzyko, warto przestrzegać kilku prostych zasad:
- PIN-y i hasła: Upewnij się, że Twoje kody, PIN-y i hasła nie są związane z ważnymi datami, takimi jak urodziny dzieci, współmałżonka czy rocznice. Unikaj prostych sekwencji cyfr, na przykład 123456, które są łatwe do odgadnięcia.
- Prywatność i bezpieczeństwo w mediach społecznościowych: Nie udostępniaj w sieci wrażliwych danych, takich jak numery telefonów, daty urodzin dzieci, współmałżonka czy rocznice. Rozważ także ograniczenie widoczności postów wyłącznie dla znajomych.
- Uwierzytelnianie wieloskładnikowe SMS-em: W miarę możliwości, zamiast uwierzytelniania przez SMS, używaj aplikacji weryfikującej lub tokena fizycznego.
- Zastrzeż numer PESEL: Jeśli zastrzeżesz swój numer PESEL, operator nie będzie mógł wydać duplikatu karty SIM bez Twojej zgody.
źródło: informacja prasowa