Jak działa kradzież karty SIM? Co to jest SIM swap?
Ғылым және технология
Grupa na Facebooku: / od0dopentestera
Subskrybuj kanał: kzread.info...
Spotify: open.spotify.com/show/4qGXKJy...
Google Podcast: www.google.com/podcasts?feed=...
Apple Podcasts: itunes.apple.com/us/podcast/k...
Anchor: anchor.fm/kacperszurek/
Jeszcze kilkanaście lat temu gdy bankowość internetowa pomału wkraczała do naszego życia karty kodów jednorazowych były czymś normalnym.
Oprócz loginu i hasła, które potrzebne jest do zalogowania się do serwisu transakcyjnego, każdy przelew musiał być dodatkowo potwierdzony.
Dzięki takiemu podejściu bank był pewien, że został on zlecony przez prawowitego właściciela danego konta.
Dlaczego te metody nie są wystarczające w dzisiejszym świecie?
Jak można uzyskać dane do logowania do czyjegoś konta?
Najprościej przy pomocy phishingu.
Phishing polega na podszywaniu się pod kogoś lub coś zazwyczaj w celu uzyskania korzyści materialnych.
Tworzy się więc kopie stron bankowych, które wyglądają praktycznie tak samo jako oryginały i czeka aż potencjalna ofiara zaloguje się na nie swoimi danymi.
Wtedy to tak pozyskane informacje trafiają do rąk złodzieja i mogą zostać przez niego wykorzystane do zalogowania się na prawidłowej stronie banku.
Stąd też pomysł dwuskładnikowego potwierdzania transakcji, który funkcjonuje niemal w każdym banku.
W przeszłości karta kodów zawierała kilkanaście ponumerowanych kodów.
W ostatniej fazie potwierdzania przelewu system losowo wybiera jeden z numerów jeszcze nie wykorzystanych przez klienta i prosi o przepisanie odpowiedniej kombinacji cyfr.
Klient zdrapuje wtedy odpowiednie pole, przepisuje odpowiednią kombinację i zleca wykonanie przelewu.
Przestępcy zauważyli, że aby włamywanie się na konta miało sens - oprócz haseł muszą także pozyskać liczby z kart zdrapek.
Zaczęli wiec na swoich stronach phishingowych prosić niczego nieświadome osoby o przepisanie konkretnych kodów z fizycznych kart.
Tutaj uwidacznia się bowiem wada systemu wykorzystywania jednorazowych kodów.
Każdy nieużyty ciąg znaków mógł bowiem potwierdzić dowolną transakcję na dowolną kwotę.
Obecnie większość z nas podczas zlecania przelewu otrzymuje od banku wiadomość tekstową wraz z unikalnym kodem który może potwierdzić tylko tą jedną transakcję.
Co więcej - w smsie zazwyczaj widoczna jest kwota przelewu a także numer konta odbiorcy.
Tym razem każdy kod jest unikalny i powiązany z jedną konkretną operacją.
Atakujący nie może zatem pozyskiwać takich kodów na przyszłość z myślą wykorzystania ich w dogodnej chwili.
Wszystko gra i działa. Prawda? Nie do końca.
Po przechwyceniu danych do logowania atakujący wykorzystuje je do zalogowania się na stronę banku.
W tym momencie na stronie phishingowej niczego nieświadoma ofiara widzi klepsydrę i czeka na logowanie.
Potem przestępca zleca przelew na kontrolowane przez siebie konto.
W tym momencie bank wysyła do swojego klienta kod SMS, mający potwierdzić daną transakcję.
Teraz klientowi wyświetla się informacja iż w celu ukończenia logowania musi je potwierdzić wpisując otrzymany kod SMS.
W idealnym scenariuszu klient powinien przeczytać treść wiadomości i zauważyć, że coś się tutaj nie zgadza.
W rzeczywistości jednak niewiele osób czyta te wiadomości a tylko przepisuje kod w nich zawarty.
Coraz częściej możemy usłyszeć o ataku SIM SWAP, w którym to używany jest duplikat naszej karty SIM.
Na czym polega ten przekręt i dlaczego jest tak niebezpieczny?
Każdy telefon komórkowy do swojego działania potrzebujemy karty SIM.
W niej to zapisane są wszystkie informację potrzebne operatorowi telekomunikacyjnemu do zweryfikowania naszych uprawnień do posługiwania się konkretnym numerem telefonu.
Zdarza się że karty SIM gubią się lub też zostają zniszczone i przestają działać.
W takiej sytuacji każdy użytkownik może zwrócić się do swojego operatora z prośba o wydanie duplikatu karty.
Wszystkie wiadomości i połączenia są od teraz przekierowywane na nową kartę SIM.
Również SMSy potwierdzające nasze przelewu przychodzą na nasz numer telefonu.
Wszystkie wiadomości - w tym te pochodzące od banku trafią nie do naszego telefonu ale do jego telefonu.
Najnowszym podejściem do tematu jest wykorzystanie specjalnych aplikacji na naszym telefonie komórkowym.
Wtedy do podczas potwierdzania transakcji - potwierdzamy ją z poziomu ekranu aplikacji.
Czym takie rozwiązanie różni się od poprzedniego?
Po pierwsze cały ruch pomiędzy naszą aplikacją a serwerem jest szyfrowany - to znaczy nie może zostać w łatwy sposób podsłuchany.
Po drugie nawet jeżeli ktoś wyrobi duplikat karty - aplikacja powiązana jest z naszym telefonem a nie z naszym numerem.
To znaczy - że potwierdzenia transakcji dalej będą przychodzić na nasz telefon nawet gdy ktoś wyrobi duplikat naszej karty.
#podcast #bankowość #simswap
Пікірлер: 70
Wyśmienite materiały. Jestem pod wrażeniem wiedzy i sposobu przekazywania treści. Przede wszystkim otwierasz oczy i pozwalasz w relatywnie prosty sposób zabezpieczyć się przed atakami. Pozdrawiam i trzymam kciuki.
Bardzo fajny i rzeczowy materiał. Lubię takie logiczne wnioskowania w dowolnej tematyce.
Przyjemnie się słucha. Sądzę, że aby to dotarło do ludzi, którzy są podatni na oszustwa potrzeba ilustracji, filmów i obrazów.
@KacperSzurek
2 жыл бұрын
To moje stare filmy. Nowsze wyglądają tak jak opisujesz :)
Bardzo cenny materiał.
Dziękuję I pozdrawiam
Dziekuje:)
Dobry temat
Pierwszy Pana material, z któtym sie zapoznałem. Łapka w gorę za brak rzępolenia w tle. Druga (no, nie mogę dać) za przedstawiony temat.
@KacperSzurek
Жыл бұрын
Zapraszam do nowszych filmów. Ten już ma kilka lat ;)
Był jeszcze motyw na instalowanie apki w imieniu uzytkownika. Wystarczyl sim swap i nazwisko rodowe matki. Przynajmniej w niektorych bankach.
Mega materiał. Kiedyś okradli na 2 stówki w millenium podmienili nr konta. Sprawa poszła na policję. Poszkodowanych było mnóstwo. Moje 200 zł to pikuś. Nie wiem czy ktoś poszedł siedzieć, ja kasy nie odzyskałem 😬
Może być nazwa usługi logowanie czy płatność bankowa potwierdzenie odciskiem palca lub sprawdzenie hasło logowania lub hasło płatności aby rozróżnić może być wymóg potwierdzenia transakcji zwrotny jeśli duża suma transakcji od dużej kwoty.Może być wybór wtedy ktoś nie wie co to jest.Może być przelew próbny 1 lub 10 złoty ,Euro aby sprawdzić konto transakcji i wtedy przelewasz sumę prawidłową w ciągu kilku minut do 5 minut.
@valdelemis
2 жыл бұрын
Dostałem kiedys informacje,ze autoryzacja nie doszła do skutku z powodu upływu czasu.Karte mam zawsze przy sobie,a te operacje wykonał ktos z Facebooka.A ja tam w ogóle nie wchodzę.Przedtem była wymiana małych kwot między roznymi bankami.Karte zablokowałem a Bank sledzi poczynania na tej karcie.Ktos probuje powiazac moją karte z innym bankiem.
"SIM-swap-fraud, czyli podmiana kart SIM. Ostatnie miesiące przyniosły jego nasilenie. Jeśli przestępcy znają numer telefonu użytkownika, jego dane osobiste i bankowe, zgłaszają się do operatora z informacją o potrzebie wydania nowej karty SIM." UWAŻAM, ŻE W KAŻDEJ TAKIEJ SYTUACJI OPERATOR POWINIEN OBOWIĄZKOWO WYSŁAĆ ODPOWIEDNIĄ INFORMACJĘ "NA ZGUBIONY SIM" PRZED WYDANIEM DUPLIKATU. TO POWINNO ZNACZNIE OGRANICZYĆ PROCEDER.
@UC4B0MmPudx13b400xwk
2 жыл бұрын
Ale to jest bez sensu. W momencie, kiedy wyrobisz sobie duplikat karty, ta pierwotna przestaje działać, bo w sieci realnie tylko 1 karta działa. Druga osoba się szybko orientuje. Nie włamiesz się bez wzbudzenia podejrzenia.
@Marian-gy8ir
2 жыл бұрын
@@UC4B0MmPudx13b400xwk Czytaj uważniej...
@UC4B0MmPudx13b400xwk
2 жыл бұрын
@@Marian-gy8ir to opisz mi, być może mam problemy ze zrozumieniem. Nigdy dwie karty sim nie będą działac jednocześnie.
@Marian-gy8ir
2 жыл бұрын
@@UC4B0MmPudx13b400xwk No dobrze. Wyobraź sobie, że "Fałszywy" gość z fałszywym dowodem mówi, że zgubił kartę ale to tylko kłamstwo bo czynna karta jest w telefonie prawowitego właściciela i przyjmie SMS od operatora przed jej skasowaniem/wymianą przez operatora. Bardziej już się nie da.
@UC4B0MmPudx13b400xwk
2 жыл бұрын
@@Marian-gy8ir ale jak ma przyjąć sms, skoro on nie przyjdzie na dwie karty sim, tylko na tą aktywna? Jeśli ja uaktywni jako kopia, to prawowity właściciel ma kartę już nieaktywna.
Krótko na temat nie ma 100% zabezpieczen złodziej zawsze znajdzie obejscie systemu.
W holandi swap karty robisz w domu operator sam daje instrukcje jak to zrobić
A jak ma się do tej sytuacji to, że niektóre banki wyświetlają kod do przelewu, który weryfikują dzwoniąc do Ciebie? Nie wysyłają kodu a podczas rozmowy z maszyną Ty musisz podać kod, wyświetlony w aplikacji. Czy to jest bezpieczniejsze?
To tak się dzieje bo nie ma właściwych kar. Bo jakie są kary za zlodziejstwo? Spiszą i wypuszczą, albo zawiasy. Jakby zrobić tak. Dopaśc, udowodnić, miń 50 tyś i komornik a za recedywe 100 tyś i komornik. Aby się posrali. To by odnioslo skutek. A w więzieniach praca za utrzymanie. Pracujesz jesz.
Moim zdaniem powinno być powiązanie z numerem seryjnymi karty SIM oraz z numerem imei telefonu. Podczas zgubienia czy kradzieży telefonu całkowita blokada transakcji po zgłoszeniu do banku . Po nabyciu nowego smarta i nowej karty SIM, autoryzacja tylko w salonie banku. Ponad to operatorzy powinni mieć dostęp do RDO.
@SuperMateusz1992
2 жыл бұрын
Wystarczy że byłby formularz co podajesz numer seryjny dowodu oraz pesel i jeszcze jakąś wartość. A serwer państwowy by weryfikował. Czy numer pesel jest zgodny z numerem dowodu osobistego + informacją dodatkową z dowodu. Informacja była by zwraca w postaci prawda i fałsz. Aby nie było problemów bo rodo i takie tam. Taki walidacja dowodów osobistych
@greggregowki2840
2 жыл бұрын
@@SuperMateusz1992 To byłby jakiś pomysł, ale nie uchroni, gdy ktoś ma skan dowodu, albo po prostu przepisał szybko wszystkie informacje z niego. Do tego używany powinien być kod PUK do karty a nie dane z dowodu , nie trzeba będzie tego weryfikować na stronie urzędu , a do tego byłoby bardziej bezpieczne bo kodu PUK raczej nikt nie pozna. Jak ktoś zgubił taki kod , to tylko osobista wizyta w salonie.
@SuperMateusz1992
2 жыл бұрын
@@greggregowki2840 Rację masz Ja bardziej skupiłem się na dokumentach kolekcjonerskich. Ogólnie te dokumenty kolekcjonerskie hahaha
Mam pytanie czy twoje podcasty są dostępne na spotify ?
@szymboy4464
5 жыл бұрын
Zobacz opis :)
Czy nowa karta SIM z innym nr seryjnym można nazwać duplikatem? Czy duplikatem jest karta która można stworzyć za pomocą odpowiedniego sprzętu i karty oryginalnej lub informacji w niej zawartych. Dlaczego inna karta jest tu nazywana duplikatem. Czy ktoś tu upadł na głowę, czy ja się nie znam?
Ok.
W Inteligo system prosił o kolejne kody z karty zdrapki, nie losował ich.
👍👍👍👍👍👍👍👍👍👍👍👍👍👍👍
Ktoś wie czemu banki nadal nie chcą wprowadzić logowania kluczem U2F NFC?
a jakie są sposoby by namierzyć s....a ?
A może przenieść numer do innego operatora, tak aby przestępca po numerze nie mógł odgadnąć do jakiego operatora się skierować o wyłudzenie? Idąc dalej, przerejestrować numer, na babcię lub sąsiada, kto zgadnie jaki pesel podać do wyłudzenia?
@gkasprow
2 жыл бұрын
wystarczy ze z falszywym dowodem przejdzie sie do operatora i najwyzej powie ze sie pomylil. DO 4 razy sztuka.
Jak wykazać do celów dowodowych ingerencję w kartę SIM? Jak lub gdzie można udowodnić zhakowanie karty SIM i przejęcie smartfona i np. śledzić osobę i blokować połączenia telefoniczne, usuwać maile, blokować przesył treści na komunikatorach, zainstalować na smartfonie keylogera?
@KacperSzurek
2 жыл бұрын
Niestety nie wiem.
@michakapis4731
2 жыл бұрын
@@KacperSzurek a miałem nadzieję , że wskażesz mi sposób na uzyskanie dowodu.
ja tam uzywam silnych hasel i tyle
Tyle zachodu a wystarczy płacić gotówką jak cywilizowani ludzie a paczki zamawiać za pobraniem
imei mozna podmieniać, kody i numery kart sim też można podmieniać i modyfikować, nawet "wbudowane" MAC adresy hardwarowe można zmieniać. nie jest to ani łatwe ani jakoś piekielnie skomplikowane. każde prawo jak i każde hasło i zabezpieczenie.. można złamać metodami socjotech, bruteforce albo i wymyślnymi keylogerami itp. - to kwestia czasu, ilości pracy , i poziomu skomplikowania. Z czasem jest coraz trudniej bo są coraz to lepsze i wymyślne zabezpieczenia a i z drugiej strony im więcej tych wszystkich technologii tym więcej potencjalnych "błędów" i luk czynnika ludzkiego. Komputer się nie myli. człowiek niestety całkiem często. Stąd tak duża dzisiaj ilość ataków tzw. socjo-technicznych gdzie głównym słabym czynnikiem jest po prostu człowiek.
@rocheuro
2 жыл бұрын
ps dzięki za ciekawe wartościowe treści które edukują niestety wielce i obszernie nieświadomą część naszego społeczeństwa.
skoro karta sim nie zabiezpiecza to po co placic telefonem a skoro telefonie daje mozliwosci to niech prawnie odpowiada za logowanie i za straty
👍🇵🇱🇵🇱😀😏👍
jak ja nielubie robić przelewu właśnie dlatego że może to być podpucha ale na wszystko jest sposób
Tak, to możliwe jak obracasz się w śród idiotów, do takich jakiś złodziej łatwo się przykleja.Coraz ciężej jest coś kolwiek zrobić i musi to być znajoma osoba która ma dostęp do jakieś strefy naszej prywatności. U mnie to jest nie realne , nie wiem jak człowiek może sobie przywłaszczyć numer , ale ja go z automatu tracę. I tu zabawa się kończy bo z jakiego banku on dostanie info skoro ja nie wygeneruje nic moim telefonem, gdyż mój telefon traci internet. I łańcuch się przeciął ,przyczynowo skutkowy .
W takim razie należy używać telefonów z systemem na który nie ma złośliwych aplikacji. Statystyka jest nieubłagana - na Androidzie jest 12% udanych ataków, na IOS około 1,3%. Na Windows Phone - UWAGA - 0,02%. Szkoda, że najbezpieczniejszy system został tak zaniedbany...
@subzasubsubskrybujoddamsub3134
2 жыл бұрын
Skąd masz takie statystyki
@Stary_Yeti
2 жыл бұрын
@@subzasubsubskrybujoddamsub3134 Z absolutnie najpewniejszego źródła - DNet...
@samouwielbiony
2 жыл бұрын
Błędne myślenie. Tam nie ma niebezpiecznych aplikacji ponieważ system ten jest martwy - nikt z niego nie korzysta. System ten ze względu na brak popularności nie jest celem hakerów, bo istnieje większa szansa na to, że uda się włamać na telefon z Androidem niż z Windows Phone. Do tego dochodzi jeszcze oparcie Androida o Linuxa - pozwala to łatwiej szukać dziur systemach zabezpieczeń
@Stary_Yeti
2 жыл бұрын
@@samouwielbiony To ty się mylisz - z tego systemu korzysta nadal naprawdę wiele osób, którym zależy na bezpieczeństwie danych. Powielasz tylko dane z marketingu, nie mając nawet odrobiny rozeznana w sytuacji. Nawet bez aplikacji bankowej wejście na konto z WinPhone jest bezpieczniejsze od wejścia z aplikacji na Androidzie.
Trochę wolniej i trochę dokładniej poprosze
manager
chcom podobajom zostanom... Ą do cholery.
KRETYN...........
Co za brednie.