Oszustwo na duplikat karty SIM nie jest niczym nowym w świecie kanciarzy. Przestępcy z pomocą wyłudzonych danych wyrabiają reprodukcję karty SIM należącej do ofiary i przejmują władzę nad aplikacją z kontem bankowym. Najwidoczniej oszustwo wciąż ma się dobrze, bo właśnie ING Bank Śląski ostrzegł swoich klientów przed takimi atakami.
Tak działają przestępcy
Oszust najpierw musi zdobyć nasze wrażliwe dane osobowe, m.in. imię i nazwisko, PESEL, panieńskie nazwisko matki oraz login i hasło do systemu bankowości telefonicznej. Może te dane wyłudzić chociażby telefonicznie, udając pracownika banku lub wykorzystać phishing i „złowić je” mailem, pozorując aplikację bankową i prosząc o wrażliwe dane.
Z pozyskanymi informacjami udaje się do operatora i pod pretekstem utraty telefonu wyrabia duplikat karty SIM. W tym momencie oryginalna karta SIM ofiary przestaje działać - nie można wykonywać ani odbierać połączeń, wysyłać wiadomości tekstowych, telefon jest odcięty od sieci komórkowej – a wszystko, co miało się dostać na numer telefonu oszukanego, trafia na telefon oszusta.
Dzięki temu ma on dostęp do SMSów autoryzacyjnych z bankowości mobilnej, a wraz z pozyskanymi wcześniej danymi loginu i hasła do aplikacji może dostać się do pieniędzy poszkodowanego.
Nie podawaj hasła, sprawdzaj adresy ING Bank Śląski przestrzega, by korzystając z bankowości mobilnej ze szczególną uważnością przestrzegać zasad bezpieczeństwa. Przypomina, że logując się do bankowości instytucja nigdy nie prosi o podanie pełnego hasła, tylko wpisanie 5 wskazanych znaków. Zaleca również uważne przyglądanie się adresowi strony internetowej logowania w bankowości (poprawna to: https://login.ingbank.pl/mojeing/app/#login) oraz adresom mejlowym i domenom z wiadomościami od pracowników banku.
Jeśli padniemy ofiarą oszustwa na duplikat karty SIM, zwany też SIM Swap, natychmiast zgłośmy ten fakt pracownikowi banku, w którym posiadamy konto oraz skontaktujmy się z operatorem komórkowym.
Przed oszustwami na duplikat karty SIM ostrzegali również mBank, AliorBank czy Urząd Komunikacji Elektronicznej. Ofiarą cyfrowego ataku padł m.in. Józef Kruk, warszawski przedsiębiorca. Przestępcy wyczyścili mu konto na 1,1 mln złotych i wzięli pożyczki na jego nazwisko na 40 tys. złotych. Jego dane pozyskali z lewego dowodu kolekcjonerskiego kupionego w darknecie.