Zerują konta bankowe używając duplikatów kart SIM. Szajka oszustów grasuje w Polsce

Jeśli twój numer telefonu został nagle wyłączony, może to oznaczać, że jesteś w poważnych tarapatach. Oszuści znaleźli nowy sposób na wykradanie pieniędzy z kont bankowych.

Historie kilku poszkodowanych osób opisuje Niebezpiecznik. Modus operandi złodziei wygląda tak:

1. oszust udaje się do salonu operatora i - podając się za swoją ofiarę - prosi o wydanie duplikatu karty SIM;
2. operator po zweryfikowaniu tożsamości wydaje duplikat, a następnie dezaktywuje oryginalną kartę;
3. oszust wykorzystuje kartę z numerem telefonu ofiary do włamu na jej konto bankowe i wykonanie przelewu (autoryzacja SMS).

Oszuści nie mają żadnych skrupułów i zazwyczaj zerują konta swoich ofiar. Z konta jednego z poszkodowanych wyparowało kilkaset tysięcy złotych.

Na szczęście część tego typu historii kończy się happy endem. Pracownik mBanku w jednej z omawianych sytuacji skontaktował się z klientem, gdy zauważył zlecenie przelewu na dużą kwotę. Nie wiadomo jednak, w ilu sytuacjach poszkodowani nie odzyskali pieniędzy. Wiadomo natomiast, że w tym roku doszło do przynajmniej kilku tego typu kradzieży. W różnych częściach Polski.

Zdobycie danych do logowania jest łatwiejsze niż może się wydawać. Po zainstalowaniu oprogramowania szpiegowskiego na komputerach w jakimś miejscu publicznym (np. lobby hotelowe) można liczyć na to, że ktoś w końcu zaloguje się na swoje konto bankowe.

Wiadomo, że przynajmniej jeden z oszustów posłużył się mechanizmem odzyskiwania hasła, który wymagał jedynie podania trzech stosunkowo łatwych do odnalezienia danych.

Po wykradzeniu loginu i hasła wystarczy zalogować się na konto, aby uzyskać dostęp do nazwiska, adresu zamieszkania i innych danych, które mogą posłużyć do wyrobienia fałszywego dowodu osobistego lub podrobionego upoważnienia notarialnego. Nie jest to trudne, bo "kolekcjonerski dowód osobisty" można w Polsce kupić od ręki.

Kolejnym krokiem jest zdobycie numeru telefonu. Ten może być łatwy do wyciągnięcia po zalogowaniu się na konto bankowe (choć akurat w przypadku mojego banku jest ukryty). Jeśli nie, pewnie wystarczyłoby chociażby odnaleźć ofiarę na Facebooku, a następnie wyciągnąć numer od jednego ze znajomych, podając się za cichego wielbiciela. Sprawdzenie, w jakiej sieci jest zarejestrowany numer telefonu, jest już tylko formalnością.

I to w zasadzie wszystko, co jest potrzebne do uzyskania duplikatu karty SIM. No, prawie wszystko.

W opisywanych przez Niebezpiecznika sytuacjach zawiniła też nieskrupulatność pracowników salonów operatorów. W jednym przypadku numer dowodu osobistego na upoważnieniu notarialnym nie pokrywał się z prawdziwym numerem, a notariusz, który rzekomo wystawił dokument, w ogóle nie istnieje.

Niemniej jeden z poszkodowanych zdaje się nie żywić urazy do operatora. Rozumie, że ten - zgodnie z procedurami - wydał duplikat temu, kto okazał dokument tożsamości. Większym problemem zdaje się być to, jak łatwo jest fałszywy dokument zdobyć.

W każdej z wymienionych sytuacji wystarczyłoby, by w chwili wyrobienia duplikatu karty SIM pracownik zadzwonił pod wskazany numer.

Łatwo w ten sposób sprawdzić, czy klient ma telefon z tym numerem przy sobie. Jeśli natomiast powodem wyrobienia duplikatu jest np. kradzież, osoba po drugiej stronie raczej nie odebrałaby telefonu i nie upierała się, że to ona jest właścicielem numeru.

Może nie byłoby to 100-procentowe zabezpieczenie przed takimi oszustwami, ale z pewnością pomogłoby w znacznej liczbie przypadków.

Wydanie duplikatu wiąże się z dezaktywacją oryginalnej karty SIM. Jedna z pokrzywdzonych osób akurat przebywała za granicą, podczas gdy jej telefon był używany przez córkę. Gdy numer został wyłączony, ta skontaktowała się z operatorem i poprosiła o wydanie duplikatu. Zdobyła go bez żadnych trudności.

W tym konkretnym przypadku operator w krótkim odstępie czasu dwukrotnie (!) wydał duplikaty kart SIM osobom, do których numer nie należał.

Warto odnotować, że duplikat karty SIM może posłużyć nie tylko do włamu na konto bankowe. Dysponując kartą z numerem telefonu dałoby się np. odzyskać hasło do konta e-mail i tym samym do każdego konta internetowego, które jest na dany adres zarejestrowane.

Jak wspomniałem, po wydaniu duplikatu oryginalna karta zostaje wyłączona. Niemożność wykonania i odbierania połączeń może być więc pierwszym objawem tego, że ktoś właśnie aktywował duplikat karty.

W takiej sytuacji należy niezwłocznie skontaktować się z bankiem oraz operatorem. Najlepiej w tej kolejności.

Dobrym pomysłem jest też też ustawienie powiadomień o dokonywanych transakcjach w aplikacji bankowej. Trzeba się jednak liczyć z tym, że po dezaktywacji karty powiadomienie dotrze tylko w zasięgu sieci Wi-Fi.