To niekończący się wyścig. Sieci komórkowe starają się zachowywać wszelkie środki bezpieczeństwa, by oszustwa, na których cierpią ich klienci były jak najrzadsze, z kolei „kreatywni” przestępcy wymyślają kolejne sposoby na wyłudzenia bazujące na lukach w procedurach operatorów. T-Mobile musi coś zrobić z zasadami wydawania duplikatów kart SIM, bo odkryto przykład takiej luki.
Przekręt z duplikatem karty SIM
T-Mobile ma najwyraźniej luki w procedurach bezpieczeństwa, związanych ze zdalnym zleceniem duplikatu karty SIM w ofercie na kartę. Redaktorom Niebezpiecznika udało się bezproblemowo przejąć czyjś numer telefonu, znając jedynie PESEL ofiary oraz wykorzystując zwykły, niezarejestrowany starter. Nie były potrzebne żadne hasła abonenckie ani dodatkowe dane z dowodu osobistego.
Całość operacji sprowadzała się do zakupienia dwóch starterów w salonie operatora. Jeden z nich został zarejestrowany, drugi nie. Podczas rejestracji poproszono klienta o podanie 8-cyfrowego hasła abonenckiego, stanowiącego dodatkowe zabezpieczenie, ale nie było ono wymagane do weryfikacji użytkownika na żadnym z późniejszych etapów tworzenia duplikatu karty SIM. Redaktor połączył się później telefonicznie z konsultantem T-Mobile – co ciekawe, z innego numeru niż numer kontaktowy, wskazany podczas rejestracji. Przekonał konsultanta go, że wynikły szczególne okoliczności (Niebezpiecznik nie zdradził, co takiego przekazano, żeby nie podsuwać oszustom gotowych rozwiązań pod nos), w których konieczne jest wyrobienie duplikatu karty SIM. Konsultant zasugerował przeniesienie numeru na niezarejestrowaną jeszcze kartę SIM, którą „szczęśliwie” wcześniej zakupiono. I tutaj dochodzimy do sedna problemu: procedura weryfikacyjna użytkownika obejmowała tylko podanie numeru PESEL, a potem numeru nowego startera. Żadnych próśb o dodatkowe hasło abonenckie, żadnych próśb o informacje mogące doprecyzować tożsamość klienta.
Dlaczego to takie niebezpieczne?
Jeśli komuś udałoby się w tak prosty sposób wyrobić duplikat karty SIM, mógłby otrzymywać na nią wszystkie nasze wiadomości SMS oraz przechwytywać rozmowy. Mało tego – gdyby atak był przeprowadzony bardziej kompleksowo, a my mielibyśmy z danym numerem telefonu połączone usługi, takie jak skrzynka e-mail czy konto bankowe, a do tego nie korzystalibyśmy z żadnych dodatkowych zabezpieczeń pokroju weryfikacji dwuetapowej, byłoby możliwe zresetowanie naszego hasła w poczcie Gmail. A stąd już z górki do wykorzystania dostępu do niej w innych miejscach.
Co ciekawe, T-Mobile nie widzi żadnego problemu w tym, że procedura wyrabiania duplikatu karty SIM jest tak uproszczona. Niebiezpiecznik otrzymał komentarz do zapytań dotyczących tej sprawy:
Prośba o wydanie duplikatu karty SIM jest bardzo często następstwem utraty telefonu, gdy bardzo często nagle tracimy kontakt z najbliższymi, nie mamy dostępu do przechowywanych w domu dokumentów i odzyskanie karty i numeru jest wtedy priorytetem. Nasze procedury starają się uwzględniać potrzebę szybkiego uzyskania karty z jednoczesnym zachowaniem najwyższych standardów bezpieczeństwa. Nasze dotychczasowe doświadczenia wskazują, że obecna procedura spełnia te założenia. Niezależnie od obowiązujących w danym momencie w naszej sieci procedur, obserwujemy praktyki rynkowe, wdrażamy nowe rozwiązania, ale również słuchamy głosu naszych Klientów, tak aby zapewnić im najwyższy komfort oraz bezpieczeństwo. Przyjrzymy się jeszcze raz temu procesowi z intencją wprowadzenia głębszej weryfikacji Klienta nie utrudniając mu jednak szybkiego odzyskania numeru.Biuro Prasowe T-Mobile
Szczęście w nieszczęściu, na powyższe zagrożenie wystawieni są prawdopodobnie wyłącznie użytkownicy T-Mobile na kartę. Klienci abonamentowi najpewniej muszą dopełnić jeszcze innych formalności przed wydaniem im duplikatu karty SIM (co jeszcze musi zostać zweryfikowane).
Co zrobić, jeśli mam numer w T-Mobile na kartę?
Ucieczka do innego operatora może być jakimś wyjściem, ale tylko w sytuacji, gdyby udało nam się ustalić, jak procedury wyrobienia duplikatu karty SIM wyglądają u konkurencji. Gdyby opierały się na identycznych założeniach, taka migracja nie miałaby żadnego sensu.
Dlatego najbardziej rozsądne w tym momencie byłoby odpięcie naszego numeru telefonu od każdego konta i instytucji, w których poprzez kod otrzymywany SMS-em potwierdzamy ważne operacje, związane na przykład z resetowaniem haseł, dostępem do płatnych usług czy kont bankowych.
Trzeba też podkreślić, że to tylko doraźne środki bezpieczeństwa – bo o odpowiednie procedury i zabezpieczenie przed wydaniem duplikatu karty SIM w ręce niepowołanej osoby powinien przede wszystkim zabiegać operator. Ciekawe, czy T-Mobile rzeczywiście przyjrzy się swoim procedurom, a jeśli tak, to czy zdecyduje się na korekty w weryfikacji użytkowników dokonujących ważnych zmian przez telefon.