Portal internetowy niebezpiecznik.pl poinformował, że na terenie Polski grasuje grupa przestępców, którzy okradają konta internetowe klientów banków. Najpierw zbierają informacje na temat właścicieli rachunków, a następnie podszywają się pod ofiarę w salonie operatora telekomunikacyjnego i uzyskują duplikat używanej przez nią karty SIM. W ten sposób otrzymują dostęp do kodów jednorazowych służących np. do potwierdzenia przelewów.

Niebezpiecznik obszernie opisuje przypadek klienta mBanku i sieci Orange, któremu wyprowadzono w ten sposób z konta kilkaset tysięcy złotych. Na szczęście nie stracił pieniędzy, bo środki udało się zablokować w Banku Ochrony Środowiska, gdzie czekały na transfer na giełdę kryptowalut.

Przeczytajcie także: • Orange i mBank kończą współpracę

W wyżej opisanym sposobie okradania klientów korzystających z bankowości internetowej istotne jest to, że przestępcy otrzymują od operatora sieci komórkowej duplikat karty SIM znajdującej się w telefonie ofiary. Jak to możliwe? Jak pisze Niebezpiecznik, najczęściej po prostu okazują pracownikowi telekomu w salonie podrobiony dowód osobisty.

Zapytałem rzeczników prasowych T-Mobile, Play, Orange i Plus o to, czy reprezentowane przez nich firmy nie uważają, że duplikat karty można uzyskać zbyt łatwo i czy nie rozważają zmiany obowiązujących w tym zakresie procedur. Do momentu, w którym piszę ten artykuł, otrzymałem odpowiedzi od Play, Orange i T-Mobile.

Przedstawiciel Orange stwierdził, że reprezentowana przez niego firma na bieżąco analizuje funkcjonowanie procedur związanych z wydaniem duplikatów kart SIM. Podkreślił jednak, że kopia karty trafia jedynie do właściciela numeru telefonu i tylko po okazaniu dowodu osobistego. Klienci tej sieci mogą też samodzielnie zdalnie wymieniać karty SIM w telefonach, ale wtedy potrzebują kodu PUK starej karty.

Przeczytajcie także: • Uważajcie na Update Google Market

Rzecznik Play, Marcin Gruszka z kolei napisał, że abonenci już teraz skarżą się na zbyt surowe procedury uzyskiwania duplikatów kart, więc operator nie ma zamiaru dodatkowo komplikować tego procesu. W podobnym tonie wypowiedział się Konrad Mróz z T-Mobile. – Procedury wydawania duplikatu kart SIM są wypadkową konieczności potwierdzenia tożsamości osoby występującej o duplikat i podejścia proklienckiego. Gdybyśmy te procedury mocno zaostrzyli, np. żądając oryginału umowy czy innych dokumentów, spotkalibyśmy się z falą krytyki szczególnie ze strony osób, które zostały np. okradzione lub zgubiły telefon oraz dokumenty i w czasie urlopu nie byłyby w stanie odzyskać dostępu do usług – napisał Mróz.

Wygląda więc na to, że banki i ich klienci nie mają co liczyć na to, że operatorzy komórkowi pomogą im w ograniczeniu zjawiska kradzieży "na duplikat SIM". Klienci powinni więc zachować szczególną ostrożność przy korzystaniu z bankowości przez internet. Kradzież taka jaką opisał Niebezpiecznik, nie doszłaby do skutku, gdyby jej ofiara nie przekazała przestępcom danych logowania na rachunek.

Sytuacja ta potwierdza także to, o czym pisałem już wielokrotnie na łamach Cashless np. przy okazji stworzonej przez Ministerstwo Cyfryzacji koncepcji mDokumentów: SMS-y nie są bezpiecznym sposobem uwierzytelnienia. Niezależnie od stosowanych w telekomach procedur, należy pamiętać, że to jednak banki odpowiadają za bezpieczeństwo swoich systemów i że to one decydują, w jaki sposób trzeba autoryzować przelew. Mają dzisiaj do wyboru szereg nowszych i bezpieczniejszych technologii niż SMS, od Mobile Connect począwszy na mobilnej autoryzacji w aplikacjach skończywszy.