Wyłudzanie duplikatów kart SIM zostało wskazane w raporcie Europolu „Internet Organised Crime Threat Assessment (IOCTA) 2020” jako niepokojące zjawisko w zakresie cyber przestępczości. Również amerykańska Federalna Komisja Łączności (FCC) dostrzegła problem - w dokumencie z 30 września br. zaproponowała wiele rozwiązań zmierzających ku jego zniwelowaniu.
SIM-swapping to wyrafinowany sposób przestępstwa wycelowany w konkretne osoby i zakładający nie tylko łamanie systemów komputerowych, lecz także wykorzystywanie naiwności ludzi. Na czym polega? W skrócie: przestępcy pozyskują dane dotyczące konkretnej jednostki, np. z jej prywatnego konta w mediach społecznościowych, wykorzystując złośliwe oprogramowanie lub przy użyciu fałszywych stron logowania (phishing). Następnie kontaktują się z operatorem telefonii komórkowej ofiary i wykorzystując zdobyte informacje, żądają wydania duplikatu karty SIM albo przeniesienia numeru telefonu na własną kartę. Gdy ta operacja się udaje, mają już dane dostępowe do kont użytkownika i odbierają SMS-y potrzebne do przeprowadzenia np. transakcji z konta bankowego. Ofiara nawet nie wie, że są wykradane jej pieniądze, ponieważ jej karta zostaje zablokowana przez operatora.
Skala zjawiska SIM-swappingu nie została zbadana. Coraz częściej interesują się nią jednak międzynarodowe organy ścigania. Europol co kilka miesięcy informuje o zatrzymaniach członków grup parających się tym przestępczym procederem. Firmy telekomunikacyjne często bagatelizują problem, wskazując, że takie wyłudzenia stanowią zaledwie ułamek wśród wszystkich dokonywanych wymian kart SIM.
- Od liczby przypadków SIM-swappingu ważniejsza jest dotkliwość tego procederu. Znam osoby z Polski, które bez własnej winy traciły ponad 300 tys. zł - podkreśla Marcin Maj z portalu Niebezpiecznik.pl.
Najsłabsze ogniwo
Procedury bezpieczeństwa podczas uzyskiwania duplikatu karty SIM różnią się w zależności od operatora telekomunikacyjnego. W odróżnieniu od sytuacji rejestracji nowej karty kart przedpłaconych nie ma bowiem obowiązku np. sprawdzania dowodu osobistego przy wydawaniu duplikatów kart SIM. Procedury bywają więc mniej lub bardziej skuteczne. Najsłabszym ogniwem są w praktyce pracownicy telekomów.
Tomasz Zieliński, ekspert ds. cyberbezpieczeństwa i redaktor naczelny czasopisma „Informatyk Zakładowy”, opowiada nam, jak uzyskiwał duplikat karty SIM u jednego z operatorów. Konsultant poprosił o numer telefonu, imię i nazwisko, po czym wydał kartę. - Spytałem, czy wewnętrzne procedury nie wymagają choćby wylegitymowania klienta. Powiedział, że zdecydowana większość abonentów woli, żeby było szybko i wygodnie - opisuje Zieliński.
- Pracowników salonów firm telekomunikacyjnych ogólnie da się ogrywać. Wielu przymyka oko w sytuacji, gdy ktoś mówi, że nie ma przy sobie dowodu osobistego, bo zostawił go na imprezie u znajomego - dopowiada Marcin Maj.
Portal Niebezpiecznik.pl przeprowadzał wiele eksperymentów pokazujących luki w procedurach bezpieczeństwa operatorów. Redaktorzy wskazywali, że niektóre podmioty w celu weryfikacji abonentów żądają np. informacji o tym, kiedy ostatnio doładowywali oni środki z kart prepaid w swoim telefonie. Rzecz w tym, że każdy może doładować dowolny numer telefonu bez wiedzy jego właściciela - trudno więc uznać wiedzę o doładowaniu za tajną.
Mnogość rozwiązań
Jak dowiedział się DGP, po zakończeniu prac nad prawem komunikacji elektronicznej oraz nowelizacją ustawy o krajowym systemie cyberbezpieczeństwa rząd ma zaproponować przepisy zmierzające do ograniczenia zjawiska SIM-swappingu. Rozwiązania w randze ustawy będą konsultowane z rynkiem. Koncepcje? Przykładowo wprowadzenie zasady, iż uzyskanie duplikatu karty SIM odbywa się w salonie operatora telekomunikacyjnego (dziś jest to możliwe np. przez infolinię), chyba że klient świadomie zrezygnuje z takiej formy ochrony. Inny pomysł to ustawowy obowiązek weryfikowania dowodu osobistego klienta chcącego uzyskać nową kartę SIM. I przyznanie telekomom dostępu do Rejestru Dowodów Osobistych (RDO), aby ta weryfikacja była skuteczniejsza. Chodzi o to, jak tłumaczy nam osoba z rządu, by pracownicy porównywali dane i zdjęcie przedstawionego dokumentu z tymi zawartymi w systemie, po to by oszuści nie mogli posłużyć się sfałszowanym dokumentem.
Eksperci chwalą deklarację chęci rozwiązania problemu przez rząd. Są jednak sceptyczni wobec koncepcji przekazania operatorom dostępu do rejestru dowodów.
- Pełen dostęp jest niepotrzebny. Pracownicy tele komów powinni otrzymać jedynie możliwość odpytania systemu, czy numer dowodu oraz imię i nazwisko w dokumencie przedstawionym przez klienta zgadza się z danymi w RDO - uważa Marcin Maj. Jego zdaniem to byłoby wystarczające rozwiązanie, jednocześnie niepowodujące niepotrzebnego ryzyka, np. wycieku danych z RDO.
Podobnego zdania jest dr Paweł Litwiński, adwokat i partner w kancelarii Barta Litwiński. Mówi, że można przyjąć bezpieczniejsze rozwiązania. Według niego powinien zostać wprowadzony ustawowy obowiązek ustalenia tożsamości abonenta. Warto byłoby też sprawdzać cechy autentyczności dowodów osobistych przez pracowników telekomów.
A jeśli rząd myśli o przyjęciu bardziej wymyślnych rozwiązań, to warto byłoby pomyśleć o tych, które zaproponowało wspomniane wcześniej FCC. Amerykańska komisja sugeruje wprowadzenie konieczności odpowiedniej weryfikacji abonenta szukającego możliwości uzyskania duplikatu karty SIM. Chociażby przez konieczność podania uprzednio ustalonego hasła, uwierzytelnienia za pomocą SMS-a lub e-maila albo odsłuchania nagrania audio z jednorazowym kodem wysłanym na wskazany przez abonenta numer telefonu.
Ciekawe rozwiązanie przyjęto w 2019 r. w Mozambiku, gdzie problem SIM-swappingu był znaczący - dochodziło średnio do 17 wyłudzeń kart miesięcznie. Stworzono tam platformę internetową zawierającą informację o numerach, których abonenci dokonali w ostatnim czasie wymiany karty SIM. Przez dwa-trzy dni przelewy bankowe dla takiej osoby są zablokowane. Jeżeli abonent chce je przywrócić wcześniej, musi to zrobić osobiście w siedzibie banku.
Branża szuka własnych rozwiązań
O pomysły rządu na przeciwdziałanie SIM-swappingowi zapytaliśmy operatorów. Katarzyna Tajak-Pietrowska z biura prasowego Play nie komentuje konkretnych propozycji, jednak podkreśla, że firmie zależy na wdrożeniu rozwiązań zapewniających bezpieczeństwo klientów. Dodaje też, że operator pracuje nad własnymi rozwiązaniami ograniczającymi zjawisko wyłudzania duplikatów kart SIM. Nie podaje jednak szczegółów.
Przedstawiciele biura prasowego Orange przekonują, że już dziś telekomy podejmują działania zmierzające do zaadresowania i wyeliminowania incydentów związanych z wyłudzaniem kart SIM. A jakakolwiek interwencja o charakterze regulacyjnym wymagałaby szerszej dyskusji rynkowej.
Arkadiusz Majewski z działu komunikacji Korporacyjnej Polkomtela przypomina zaś, że problem SIM-swappingu był już zgłaszany przez izby gospodarcze zrzeszające m.in. telekomy, ale do tej pory nie znalazło to odzwierciedlenia w pracach legislacyjnych.
Firma T-mobile nie odpowiedziała na nasze pytania. ©℗
Polski rynek telekomunikacyjny / Dziennik Gazeta Prawna - wydanie cyfrowe