Masz telefon w T-Mobile? Jeśli ktoś zna twój PESEL, może przejąć Twój numer i kartę SIM
Zobacz jak łatwo można przejąć w T-mobile czyiś numer telefonu. Chociaż nie powinno to być możliwe — udało się. Zadzwoniliśmy na infolinię T-Mobile, podaliśmy PESEL ofiary i numer seryjny kupionego za parę złotych, niezarejestrowanego startera. Tyle. To w T-Mobile wystarczy, aby wyrobić duplikat czyjejś karty SIM. Nie jest potrzebna wizyta w salonie. Nie trzeba podawać żadnych haseł abonenckich, czy też pokazywać albo dyktować danych z dowodu właściciela numeru, który “przechwytujemy”.
Macie numer na w T-Mobile i teraz panikujecie? To dobrze, bo powinniście. Ale to nie koniec horroru. T-Mobile, któremu powiedzieliśmy na czym polega luka w procedurze, nie potwierdził, że problem usunął. Wydaje się, że… większe znaczenie dla operatora ma wygoda i szybkość obsługi.
Dlatego ostrzegamy:
Masz telefon w T-Mobile i podpiąłeś go pod jakiekolwiek usługi (np. bankowość) lub konta internetowe? Na wszelki wypadek, zmień go na inny natychmiast.
(UPDATE: Pytacie, czy problem dotyczy abonamentu. Jeden konsultant mówi tak, drugi konsultant mówi nie. Mamy informacje od klientów abonamentowych, których nie weryfikowano inaczej niż PESELem zdalnie i proponowano wysyłkę karty, mamy takich, którym mówiono, że duplikat tylko w salonie. Może zależy to od sposobu nawiązania kontaktu z T-Mobile i podanym powodem wyrobienia duplikatu. Nie wiemy. Poczekamy więc na oficjalne stanowisko T-Mobile, a do tego czasu sugerujemy dla Waszego bezpieczeństwa założyć, że w abonamencie jest tak samo.)
Zduplikowanie czyjejś karty SIM to poważny problem
Wyrobienie duplikatu karty SIM nie powinno być łatwe. Powinno być bardzo trudne. Bo ktoś, komu się to uda, może przejąć nie tylko twoje rozmowy i SMS-y, ale — co może dziś jest zdecydowanie straszniejsze — także twoje pieniądze, poprzez przejęcie dostępu do konta w banku lub twoje poufne dane poprzez przejęcie kont w serwisach internetowych, np. skrzynki e-mail, którą założyłeś z podaniem tego numeru telefonu.
Przykładowo, gdyby np. premier Morawiecki miał swój numer w T-Mobile, można by było przejąć jego skrzynkę e-mail właśnie w sposób opisany przez nas powyżej. PESEL premiera jest znany. Numer telefonu premiera można dość szybko ustalić prostą techniką OSINT-ową i — co gorsza — wszystko wskazuje na to, że premier nie odpiął go od konta Google. A więc po udanej procedurze wyrobienia duplikatu karty SIM, ktoś mógłby dokonać resetu hasła konta premiera na GMailu:
Luka odkryta przypadkiem
Nasz Czytelnik Tomasz, autor ciekawego bloga i kilku ciekawych aplikacji, postanowił jakiś czas temu wyrobić sobie duplikat karty SIM w T-Mobile. Tomasz najpierw spytał na czacie T-Mobile o to jak wygląda wyrabianie duplikatu.
Tak, dobrze przeczytaliście! Konsultant stwierdził, że jedyna weryfikacja to pytanie o PESEL. Tomasz na infolinię zadzwonił i tak opisał całą sytuację:
Podczas rozmowy telefonicznej konsultant przekonywał mnie, że przecież PESEL jest informacją tajną 🙂 Specjalnie wykonałem telefon na infolinię z trzeciego numeru, bo myślałem, że może chociaż weryfikują, czy dzwoni się z tego numeru, który ma być przeniesiony (to by oznaczało, że jestem w posiadaniu starej karty SIM). Ale nie, można zadzwonić z dowolnego “obcego” numeru.
Tu dla porządku uściślijmy dwie kwestie.
Po pierwsze, nawet gdyby T-Mobile weryfikował numer dzwoniącego, to i tak niczego by to nie dało. Można sobie zespoofować, czyli ustawić dowolny numer telefonu, dowolnej osoby i z niego do kogoś zadzwonić. Pokazywaliśmy to w naszym filmiku ukazującym kulisy działań złodziejów, którzy dzwonią do Polaków podszywając się pod pracowników banków. Przestępcy stosują dokładnie tę sztuczkę, co niesamowicie ogłupia ofiary, bo faktycznie na telefonie widzą, że dzwoni ICH bank.
Po drugie, PESEL nie jest informacją tajną. Jak już wielokrotnie pisaliśmy (ostatnio przy okazji brania pożyczek na cudze dane), ustalenie PESEL-u wielu osób jest banalnie łatwe ponieważ PESEL znajduje się np. w rejestrach publicznych (nie tylko w KRS, choć tam też). Jest naprawdę jeszcze wiele miejsc, z których czyjś PESEL można pozyskać.
Powtórzmy: PESEL. Nie. Jest. Tajny. To tylko niektóre firmy — co jest absolutnie karygodne — wykorzystują go jako sekret, umożliwiający uwierzytelnienie klienta albo autoryzację jakiejś operacji. Takie praktyki trzeba bezwzględnie tępić, więc jeśli się gdzieś z nimi spotkacie, zgłaszajcie je nam. Zbieramy materiały do nowego filmu. Thrillera. Mamy już plakat!
Wracając do zgłoszenia, jakie otrzymaliśmy od Tomasza… Na początku wydało nam się, że Tomasz czegoś nam nie mówi. Że procedura którą opisał jest tak łatwa, że jest niemożliwe, aby tak duży operator jakim jest T-Mobile na coś takiego pozwalał. Racjonalizowaliśmy to sobie tym, że być może konsultant miał gorszy dzień i omyłkowo nie zweryfikował poprawnie Tomasza. Że to był jednorazowy incydent.
Dlatego postanowiliśmy zrobić eksperyment.
Wyłudziliśmy kartę SIM
Zakupiliśmy dwa startery i zarejestrowaliśmy jeden z nich. Pierwszy miał fajny numer +4860XXXXXXX, drugi miał numer +4869YYYYYYY.
Co ciekawe, w czasie rejestracji karty SIM w salonie nasz redaktor został poproszony o podanie hasła abonenckiego “do czynności związanych z kartą“. Hasło było 8-cyfrowe. To bardzo nas zasmuciło, bo pomyśleliśmy, że jednak T-Mobile ma sensowne zabezpieczenie i faktycznie, incydentalnie w przypadku naszego Czytelnika, konsultant go po prostu nie zastosował.
Odczekaliśmy godzinę i zadzwoniliśmy na infolinię. Co ważne, celowo zadzwoniliśmy z jeszcze jednego, zupełnie innego numeru, +48AAAAAAAAA.
Przedstawiliśmy się jako “ofiara” i opowiedzieliśmy następującą bajkę:
“Kupiłem starter, miał bardzo fajny numer, ale… [postanowiliśmy ocenzurować ten fragment. Nie zdradzimy powodu, który podaliśmy konsultantowi aby przekonać go, że potrzebujemy duplikatu karty SIM. Nie zamierzamy pomagać małokreatywnym przestępcom w dokonywaniu wyłudzeń. Uważamy, że wyrobienie duplikatu karty SIM w cudzym imieniu to poważny problem, a T-Mobile nie przekazał nam informacji o jego usunięciu. Dopóki to się nie zmieni, naszej skutecznej bajeczki nie zdradzimy.]”.
Konsultant powiedział nam, że można przenieść numer na inny, jeszcze niezarejestrowany starter. My odparliśmy, że szczęśliwie właśnie taki niezarejestrowany starter mamy pod ręką, więc poprosiliśmy o przeniesienie. Następnie konsultant nas zweryfikował. Poprosił o imię, nazwisko i PESEL, a potem numer nowego startera (długi ciąg cyfr widoczny pod kodem kreskowym).
Na aktywacje numeru czekaliśmy 3 dni i nic się nie stało. Zaczęliśmy się zastanawiać, czy oto nie zadziałało jakieś specjalne zabezpieczenie? T-Mobile sztuczną inteligencją przeanalizował brzmienie głosu i wyczuł podstęp. Zadzwoniliśmy więc na infolinię jeszcze raz (znów z numeru +48AAAAAAAAA).
Konsultant, z którym zostaliśmy połączeni przeprosił za swojego kolegę, poprosił o kod PUK nowego startera i obiecał, że niebawem numer powinien zostać przeniesiony. Aktywacja nastąpiła dosłownie 5 minut później (byliśmy pod wrażeniem sprawności obsługi, niezależnie od celu naszego testu).
Podsumujmy:
- Udało nam się wyrobić duplikat karty SIM przez infolinię, weryfikując się jedynie nazwiskiem i PESEL-em.
- Na infolinię dzwoniliśmy z numeru zupełnie nieznanego operatorowi, innego niż podany jako dodatkowy numer kontaktowy.
- T-Mobile, choć w czasie rejestracji karty SIM prosi o ustalenie hasła abonenckiego, to nie wymaga go podczas wyrabiania duplikatu karty SIM.
Co na to T-Mobile
Byliśmy trochę zszokowani bo przejęcie karty SIM okazało się trywialne. Zadaliśmy operatorowi trzy pytania.
1. Czy zdaniem T–Mobile procedura podmiany karty SIM bazująca jedynie na sprawdzeniu numeru PESEL nie jest ryzykowna?
2. Czy T–Mobile ma zamiar zweryfikować i poprawić swoje procedury w tym zakresie?
3. Czy T–Mobile posiada jakiekolwiek analizy lub statystyki dotyczące ewentualnych złośliwych wyłudzeń kart SIM? Jeśli tak, to jak często takie problemy są zgłaszane?
Pytania przesłaliśmy w piątek 11 czerwca. Natychmiast otrzymaliśmy telefon z informacją, że uzyskamy odpowiedzi i sprawa zostanie sprawdzona, ale będzie to wymagało czasu. Rozumieliśmy to świetnie. Spodziewaliśmy się zmiany procedur, a na to duża firma potrzebuje przecież czasu. 15 czerwca otrzymaliśmy taki oto komentarz, który miał być odpowiedzią na nasze pytania.
Szanowny Panie Redaktorze,
dziękujemy bardzo za wiadomość. Prośba o wydanie duplikatu karty SIM jest bardzo często następstwem utraty telefonu, gdy bardzo często nagle tracimy kontakt z najbliższymi, nie mamy dostępu do przechowywanych w domu dokumentów i odzyskanie karty i numeru jest wtedy priorytetem. Nasze procedury starają się uwzględniać potrzebę szybkiego uzyskania karty z jednoczesnym zachowaniem najwyższych standardów bezpieczeństwa. Nasze dotychczasowe doświadczenia wskazują, że obecna procedura spełnia te założenia. Niezależnie od obowiązujących w danym momencie w naszej sieci procedur, obserwujemy praktyki rynkowe, wdrażamy nowe rozwiązania, ale również słuchamy głosu naszych Klientów, tak aby zapewnić im najwyższy komfort oraz bezpieczeństwo. Przyjrzymy się jeszcze raz temu procesowi z intencją wprowadzenia głębszej weryfikacji Klienta nie utrudniając mu jednak szybkiego odzyskania numeru.
Pozdrawiamy
Biuro Prasowe T-Mobile
Nie otrzymaliśmy w tej sprawie żadnego potwierdzenia, że procedura została zmieniona, więc zakładamy, że dalej wygląda tak, jak wyglądała tydzień temu. Spodziewaliśmy się przynajmniej w przypadku telefonów na abonament ta procedura wygląda inaczej. Niestety nikt o nie wspomniał, żeby miało być inaczej…
Aktualizacja: Jeden z czytelników dowiedział się na infolinii, że w przypadku abonamentu procedura ma wyglądać inaczej. Oto cytat odpowiedzi: “wymiana karty SIM w przypadku abonamentu, nie jest realizowana w kanale zdalnym. Można jedynie dokonać zamówienia, jednak sama karta SIM wydawana jest tylko właścicielowi numeru“.Dlaczego tak nie można zrobić z numerami na kartę? Nie wiemy, dopytamy. Zwłaszcza, że inny czytelnik dał nam znać, że dziś dało się wyrobić duplikat karty SIM w abonamencie, bez obecności w salonie. Weryfikacja w rozmowie przez PESEL. Karta wysyłana na adres — i tu cytat Czytelnika — “nawet nie ten z umowy”. No ale adres to przynajmniej jakiś ślad.
Ktoś z Was ma T-Mobile w abonamencie i robił niedawno duplikat karty SIM? Dajcie znać, jak to u Was wyglądało. Jeszcze parę lat temu (patrz cytat z artykułu poniżej) duplikaty karty SIM T-Mobile wysyłał także pocztą.
Póki co, na początku artykułu dodaliśmy informację odnośnie niepewności co do tego, jak to wygląda w abonamencie. Ale dla Waszego bezpieczeństwa sugerujemy na razie założyć, że niestety tak samo.
Jakbyście wyrabiali sobie duplikat karty SIM w T-Mobile, dajcie znać, czy coś się zmieniło. Dziś, po publikacji tego artykułu i zapewno jutro, a może nawet pojutrze operator i infolinia może być wybitnie wyczulona na takie zmiany. To zrozumiałe. Poczekamy, zobaczymy…
To czego jesteśmy pewni, to że procedura wyrobienia duplikatu karty SIM w T-Mobile nie powinna wyglądać tak, jak wygląda teraz. Choćby wysłanie SMS-a na numer, który ma zostać przeniesiony byłoby wskazane. Mogłoby ostrzec osobę, której ktoś w sposób nieautoryzowany duplikuje kartę SIM. O ile w przeciągu 5 minut (w naszym przypadku) ktoś byłby w stanie w ogóle z takim SMS-em się zapoznać…
Więcej osób oszukało procedury T-Mobile
Jakiś czas temu opisywaliśmy przypadek Wandy, której kartę SIM wyłudzono właśnie w T-Mobile, polecamy lekturę artykułu pt. Jak złodzieje od pół roku okradają klientów polskich banków na kwoty powyżej stu tysięcy złotych.
Opisywaliśmy też jak okradziono inną osobę, także abonenta T-Mobile, któremu przez infolinię nie tyle wyrobiono duplikat karty SIM, co przekierowano rozmowy przychodzące a następnie dzięki przekierowaniu podpięto się pod jego konto w mBanku aplikacją mobilną.
Nie oznacza to oczywiście, że u innych operatorów problem wyłudzenia duplikatu karty SIM nie istnieje. Znamy przypadki, w których oszuści posługiwali się sfałszowanymi dowodami osobistymi lub sfałszowanym oświadczeniem notarialnym, aby oszukać operatora i przejąć czyjąś kartę SIM.
Mam numer w T-Mobile — co robić, jak żyć?
Niestety, musisz się mocno zastanowić, czy warto mieć “wrażliwe” numery telefonów w T-Mobile. Warto przypomnieć, że od dawna w Polsce można bez utraty numeru przejść do innego operatora. Przynajmniej do momentu, do którego T-Mobile nie poinformuje, że uszczelniło procedurę (i ktoś to zweryfikuje).
A jeśli dojdziesz do wniosku, że zostajesz przy T-Mobile ze swoim “wrażliwym” numerem, to chociaż odepnij go od każdego konta i instytucji, w których poprzez kod wysyłany SMS-em na ten numer można uzyskać dostęp do twoich danych, usług lub pieniędzy (zmień go na inny numer). Konto w banku i skrzynka mailowa są priorytetem. Giełdy kryptowalut też.
To oczywiście nie jest wina operatorów telekomunikacyjnych, że serwisy niezależne od operatorów swoje bezpieczeństwo budują na (błędnym) założeniu, że numery telefonów są nieprzechwytywalne. Ale tak to wygląda. I może pora, aby operatorzy jednak mocniej wzięli to pod uwagę?
Aktualizacja 18.06.2021, 18:21
Otrzymaliśmy dodatkowy komentarz od T-Mobile, w którym operator wreszcie przyznaje się do dziury w swoich procedurach wydawania duplikatu karty SIM. Zanim jednak go zaprezentujemy, poświęćmy chwilę na przyjrzenie się komunikacji T-Mobile zarówno w czatach z Wami jak i w social mediach. Najpierw historia rozmowy z czatu z jednym z czytelników. Faza “zaprzeczenia”:
Była też faza “Tajemnicy”, jesteśmy bezpieczni, ale nie powiemy dlaczego:
…oraz PESEL JEST TAJNY!!!
Na szczęście inni konsultanci byli bardziej zorientowani w temacie:
Konsultant (albo bot?) T-Mobile był też aktywny w mediach społecznościowych i odpowiadał tak:
Nie pytajcie nas, nie wiemy co to znaczy, że “proces weryfikacji jest dwuetapowy”. Niektórzy z Czytelników w odpowiedzi na twity T-Mobile żartowali, że pierwszy etap to “Halo, czy Pan mnie słyszy?” a drugi to “Proszę teraz podać PESEL aby potwierdzić“, inni byli zdania, że pierwszy etap to podanie PESEL-u a drugi, to daty urodzenia 😉
Potem profil (bot?) T-Mobile zmienił taktykę i zaczęło w odpowiedziach wklejać to samo, co nam e-mailem przysłał Konrad Mróz z T-Mobile Polska S.A.:
Opisana w artykule procedura wymiany karty SIM była stosowana tylko dla części klientów usług przedpłaconych. Obecnie również oni podlegają pełnej dwuetapowej procedurze identyfikacyjnej przy próbie uzyskania duplikatu karty, aby zminimalizować ryzyko powtórzenia się takiej sytuacji. Niezależenie od obowiązujących obecnie procedur stale pracujemy nad nowymi rozwiązaniami, aby zapewnić klientom najwyższe bezpieczeństwo i komfort korzystania z usług.
A więc dziurawa procedura miała być stosowana tylko dla “części” klientów. Jakiej? Na to pytanie, T-Mobile nam nie odpowiedziało. Mimo wszystko, cieszymy się, że operator podjął słuszną decyzję. Szkoda, że dopiero przyciśnięty echem naszej publikacji. Ale od tego jesteśmy. Do usług.
Na koniec wklejamy zbiór relacji Czytelników, którzy — podobnie jak my i Tomasz — też wyrobili sobie duplikaty kart, chociaż nie powinni. Byli też tacy, którzy podobny problem zgłaszali operatorowi ponad półtora roku temu i wtedy dowiedzieli się, że można na T-Mobile wymóc zmianę elementu uwierzytelnienia z PESEL-u na kod (abonenta lub PUK). Szkoda, że operator o tym nie informuje… A jeszcze bardziej szkoda, że nie jest to opcja domyślna.
Niestety wymuszenie obowiązku duplikowania się w salonie nie jest możliwe:
Wśród czytelników były też osoby z abonamentem, a więc odpowiednio modyfikujemy adnotację na wstępie niniejszego artykułu. Problem braku należytej weryfikacji klienta dotyczył klientów abonamentowych.
Czy od dziś w T-Mobile będzie już lepiej? Czy wszyscy konsultanci dostali informację o zmianie procedury weryfikacji? Poczekamy, zobaczymy…
0 komentarzy