Zgodnie z informacjami przekazanymi przez redaktorów niebezpiecznik.pl od dłuższego czasu na terenie Polski działa grupa ludzi, która wykrada pieniądze klientom polskich banków. Robią to w nietypowy sposób, zdobywając duplikat karty SIM ofiary, dzięki czemu mają dostęp do kodów SMS przesyłanych przez bank do autoryzacji przelewów. Zacznijmy od początku.

Pan Grzegorz i mBank

Do redakcji niebezpiecznika 13 lipca zgłosił się klient mBanku, nazwany na potrzeby artykułu Grzegorzem. Jego firmowe konto zostało opróżnione z pieniędzy tzw. “przelewem ekspresowym SORBNET”. 40 minut od zauważenia awarii telefonu powiązanego z kontem bankowym skontaktował się z Grzegorzem bank pytając o podejrzane transakcje na koncie. Mimo tak błyskawicznej reakcji pracowników mBanku pieniądze niestety zniknęły, a bank obiecał Grzegorzowi odpowiedź na reklamację w ciągu 30 dni (albo nawet 60 dni, jeśli sprawa okaże się skomplikowana).

Jak informuje Grzegorz:

W dniu wczorajszym zostałem okradziony na bardzo duże sumy pieniędzy. Kilka nieautoryzowanych przelewów. Sprawa oczywiście w ciągu kilku chwil wykryta przez mBank (otrzymałem telefon z mBanku – chyba, bo pewności już nie mam, mam podejrzenia) i pytaniem o awarię telefonu i czy dokonywałem dużych przelewów. Na informację, że owszem awaria karty SIM małżonki miała miejsca jakieś 40 minut temu, i że ja przelewów ani żona nie dokonywaliśmy, Otrzymałem informację o fakcie prawdopodobnie włamania na nasze konto i zalecenie bym zgłosił to również pilnie na Policję. Po sprawdzeniu konta stwierdziłem, że z konta dwoma przelewami expressowymi wypłynęły całe nasz pieniądze. Naprawdę duże. Kilkaset tysięcy. W przeciągu pół godziny później byłem już na Policji i będąc nawet jeszcze na Policji w trakcie składania zawiadomienia zgłosiłem równolegle oficjalnym kanałem na infolinii mBanku reklamację. Wczoraj popołudniu małżonka pobrała w salonie duplikat karty SIM, gdyż telefon nadal nie działał. Skojarzyłem fakt pytania pracownika mBanku o awarię telefonu i sprawdziłem kiedy wcześniej był wykonywany duplikat. Okazało się, że był wykonywany w dniu wczorajszym pół godziny przed przelaniem pieniędzy. Niestety pracownik Orange nie chciał (chyba nie mógł) udzielić mi informacji gdzie, w jakim salonie (czy w ogóle w salonie) i na jakiej podstawie wystawiono duplikat. Poinformował mnie że musi się z tym zwrócić prokuratura.

Duplikat karty SIM sieci Orange

Zadziwiające dla redaktorów niebezpiecznika jest to, iż złodzieje bezproblemowo wyłudzają duplikat karty SIM podszywając się pod klienta Orange, a sam klient nie jest w stanie uzyskać informacji od operatora o czynnościach dokonanych w jego imieniu. Niebezpiecznik automatycznie zapytał o to Orange i uzyskał od nich następująca odpowiedź:

Nie mamy żadnych wewnętrznych wytycznych odnośnie udzielania lub nie klientowi informacji na temat wydania karty SIM. Jeśli klient zostanie zweryfikowany zgodnie z naszym standardem, to powinien dostać taką informację. Nie znając szczegółów tego konkretnego przypadku nie potrafię odpowiedzieć czy błąd popełnił nasz doradca czy np. klient nie udzielił wystarczających informacji do poprawnej weryfikacji.

Analiza ataku

Z ustaleń redakcji niebezpiecznika wynika, iż:

  1. Złodziej jakoś pozyskał login i hasło ofiary do banku. Nie wiadomo jak: czy było to złośliwe oprogramowanie na komputerze ofiary, czy phishing.
  2. Wyłudzenie duplikatu karty SIM nastąpiło w Płocku, w fizycznym salonie (co Grzegorz ustalił własnymi znajomościami), a złodziej posłużył się podrobionym dowodem osobistym (tzw. dowody kolekcjonerskie można zamówić przez internet za ok. 300 PLN). Czytelnik poznał nawet nazwisko konsultanta, ale rozumie, że wydał on kartę temu, kto pokazał dowód. Być może nagrania z kamer monitoringu ujawnią przestępce, albo osobę, którą posłużył się do wyrobienia duplikatu.
  3. Pieniądze z konta Grzegorza zostały najpierw przesłane na konto w BOŚ, a stamtąd miały trafić na giełdę kryptowalut BitBay. Przelew został jednak w porę zatrzymany

Podsumowanie

Szybka reakcja pracowników mBanku finalnie uchroniła Grzegorza przed utratą środków. Pieniądze, co prawda opuściły jego konto bankowe, lecz finalnie środki udało się zablokować w BOŚ-u. Jak wynika z rozmowy przeprowadzonej przez niebezpiecznika z Grzegorzem zostały mu już zwrócone. W mniej niż 10 dni. To oznacza, że współpraca na linii mBank–BOŚ–BitBay była bardzo sprawna. Nie wiadomo co było powodem, iż pracownik mBanku postanowił zadzwonić do Grzegorza. Czy czynnikiem decydującym o oflagowaniu transakcji był transfer dużej kwoty szybkim przelewem. Transfer na nieznane konto, czy może wykonanie tych operacji z nowego adresu IP. Brawo zarówno dla mBanku za sprawne rozwiązanie sprawy i dla redakcji Niebezpiecznik za nagłaśnianie takich spraw i udzielanie rad, jak zachowywać się w przeróżnych przypadkach.

Wszystkich głębiej zainteresowanych tematem zapraszam bezpośrednio do wpisów chłopaków, którzy jak zawsze odwalili kawał dobrej roboty przy analizie całej sprawy. Dodam, że nie jest to odosobniony przypadek i pojawiło się ich więcej, ale szczegóły dostępne na stronie niebezpecznik.pl 😉

Grafika tytułowa: pexels.com/ Źródło: niebezpiecznik.pl/post/duplikat-karty-sim-kradziez-bank-mbank-bzwbk