To kolejny dowód na to, że banki powinny zrezygnować z jednorazowych haseł autoryzacyjnych przesyłanych za pomocą wiadomości SMS
Portal internetowy niebezpiecznik.pl poinformował, że na terenie Polski grasuje grupa przestępców, którzy okradają konta internetowe klientów banków. Najpierw zbierają informacje na temat właścicieli rachunków, a następnie podszywają się pod ofiarę w salonie operatora telekomunikacyjnego i uzyskują duplikat używanej przez nią karty SIM. W ten sposób otrzymują dostęp do kodów jednorazowych służących np. do potwierdzenia przelewów.
Niebezpiecznik obszernie opisuje przypadek klienta mBanku i sieci Orange, któremu wyprowadzono w ten sposób z konta kilkaset tysięcy złotych. Na szczęście nie stracił pieniędzy, bo środki udało się zablokować w Banku Ochrony Środowiska, gdzie czekały na transfer na giełdę kryptowalut.
W wyżej opisanym sposobie okradania klientów korzystających z bankowości internetowej istotne jest to, że przestępcy otrzymują od operatora sieci komórkowej duplikat karty SIM znajdującej się w telefonie ofiary. Jak to możliwe? Jak pisze Niebezpiecznik, najczęściej po prostu okazują pracownikowi telekomu w salonie podrobiony dowód osobisty.
Zapytałem rzeczników prasowych T-Mobile, Play, Orange i Plus o to, czy reprezentowane przez nich firmy nie uważają, że duplikat karty można uzyskać zbyt łatwo i czy nie rozważają zmiany obowiązujących w tym zakresie procedur. Do momentu, w którym piszę ten artykuł, otrzymałem odpowiedzi od Play, Orange i T-Mobile.
Przedstawiciel Orange stwierdził, że reprezentowana przez niego firma na bieżąco analizuje funkcjonowanie procedur związanych z wydaniem duplikatów kart SIM. Podkreślił jednak, że kopia karty trafia jedynie do właściciela numeru telefonu i tylko po okazaniu dowodu osobistego. Klienci tej sieci mogą też samodzielnie zdalnie wymieniać karty SIM w telefonach, ale wtedy potrzebują kodu PUK starej karty.
Rzecznik Play, Marcin Gruszka z kolei napisał, że abonenci już teraz skarżą się na zbyt surowe procedury uzyskiwania duplikatów kart, więc operator nie ma zamiaru dodatkowo komplikować tego procesu. W podobnym tonie wypowiedział się Konrad Mróz z T-Mobile. – Procedury wydawania duplikatu kart SIM są wypadkową konieczności potwierdzenia tożsamości osoby występującej o duplikat i podejścia proklienckiego. Gdybyśmy te procedury mocno zaostrzyli, np. żądając oryginału umowy czy innych dokumentów, spotkalibyśmy się z falą krytyki szczególnie ze strony osób, które zostały np. okradzione lub zgubiły telefon oraz dokumenty i w czasie urlopu nie byłyby w stanie odzyskać dostępu do usług – napisał Mróz.
Wygląda więc na to, że banki i ich klienci nie mają co liczyć na to, że operatorzy komórkowi pomogą im w ograniczeniu zjawiska kradzieży "na duplikat SIM". Klienci powinni więc zachować szczególną ostrożność przy korzystaniu z bankowości przez internet. Kradzież taka jaką opisał Niebezpiecznik, nie doszłaby do skutku, gdyby jej ofiara nie przekazała przestępcom danych logowania na rachunek.
Sytuacja ta potwierdza także to, o czym pisałem już wielokrotnie na łamach Cashless np. przy okazji stworzonej przez Ministerstwo Cyfryzacji koncepcji mDokumentów: SMS-y nie są bezpiecznym sposobem uwierzytelnienia. Niezależnie od stosowanych w telekomach procedur, należy pamiętać, że to jednak banki odpowiadają za bezpieczeństwo swoich systemów i że to one decydują, w jaki sposób trzeba autoryzować przelew. Mają dzisiaj do wyboru szereg nowszych i bezpieczniejszych technologii niż SMS, od Mobile Connect począwszy na mobilnej autoryzacji w aplikacjach skończywszy.