Oszustwo, które na zachodzie znane jest od co najmniej 2013 roku dotarło do Polski. Złodzieje są wyrafinowani, a ofiary starannie wybierane. Od kilku dni piszą o tym niemal wszystkie portale informacyjne bo w grę wchodzą kradzieże setek tysięcy złotych.

Od kilku dni niemal wszystkie portale informacyjne opisują bardzo ciekawe oszustwo w efekcie którego z konta ofiary znikają pokaźne sumy pieniędzy. Sam atak jest sam w sobie niezwykle ciekawy i przebiega w kilku etapach, a same ofiary są starannie dobierane.

Przedstawiony w kolejnych zdaniach przebieg ataku jest opisany na podstawie tego, co opisały już inne portale branżowe (przede wszystkim niebezpiecznik). Atak zaczyna się od starannego wyboru ofiary, która musi mieć i aktywnie korzystać z bankowości internetowej. Staranny dobór polega na tym, że atakujący wiedzą (prawdopodobnie), że na koncie ofiary znajdują się pokaźne kwoty (mowa nawet o 200 tysiącach złotych). Kolejny etap ataku polega prawdopodobnie na zamówieniu w Internecie duplikatu dowodu osobistego na zdobyte w jakiś sposób dane ofiary (jakie to dane, oprócz imienia i nazwiska do końca nie wiadomo, ale jestem w stanie zaryzykować stwierdzenie, że to wystarczy). W tym miejscu zapytacie zapewne jak można zamówić czyjś dowód osobisty i to w Internecie? Otóż, można. Nie są to oczywiście legalne dokumenty, a tzw. dokumenty kolekcjonerskie. Nic niczego nie sprawdza, nikt o nic nie pyta. Zamawiamy, płacimy, otrzymujemy. Dokumenty te różnią się od oryginalnych, ale na tyle nieznacznie, żeby np. oszukać w ten sposób pracowników salonu operatora telefonii komórkowej.

Oszuści mają ofiarę i mają jakiś dokument na jej nazwisko. Z tym dokumentem atakujący udaje się do salonu operatora telefonii komórkowej z którego korzysta ofiara i zamawia duplikat karty SIM. Według doniesień w innych serwisach (sam tego oczywiście nie próbowałem) otrzymanie duplikatu na czyjeś nazwisko nie graniczy z niemożliwym. Z duplikatem karty SIM atakujący jest już w połowie drogi do pełnego sukcesu. Ta karta posłuży mu bowiem do autoryzacji SMS-owej przelewów wychodzących (zdecydowana większość osób korzysta właśnie z tego sposobu autoryzacji w bankowości elektronicznej).

W tym momencie dochodzimy do punktu, który nie do końca jest jeszcze w pełni wyjaśniony. Atakujący potrzebuje bowiem loginu i hasła do bankowości internetowej ofiary. Na ten moment nie wiadomo jak atakujący zdobywa te informacje – czy jest to atak metodą phishingową, socjotechniczną, czy też inną (możliwości jest naprawdę wiele). Atakujący zna jednak te dane i loguje się do konta ofiary, następnie zleca kilka natychmiastowych przelewów na duże kwoty w wyniku czego konto ofiary zostaje wyczyszczone. Przelewy (jeśli nie zostaną oflagowane i zablokowane przez działy bezpieczeństwa banku) trafiają na konto oszustów, które prawdopodobnie założone jest na jakieś osoby – słupy, bezdomnych, kogokolwiek. Stąd błyskawicznie trafiają na giełdę kryptowalut i na portfele kryptowalutowe i tutaj są już praktycznie nie do wyśledzenia.

Cały przebieg oszustwa został szczegółowo opisany przez serwis niebezpiecznik.pl. Redaktorzy tego serwisu wskazują, że tego typu oszustwa poza granicami Polski znane są już od 2013 roku i pisał o nich, m.in. serwis Motherboard. Aby nie dać się w ten (lub inny) sposób oszukać musimy być przede wszystkim świadomi tego, co robimy w sieci i tego w jakie linki klikamy, a także komu udostępniamy swoje dane – te zupełnie podstawowe, jak i te dotyczące banku, numerów, pinów, haseł. Nie ma oczywiście mowy o całkowitej rezygnacji z usług bankowości elektronicznej, ale warto zastanowić się czy trzymanie wszystkich swoich środków (np. kilkuset tysięcy złotych) na koncie z dostępem do usługi online jest bezpieczne i rozważyć przeniesienie chociażby części tych środków na konto z zablokowaną możliwością usług przez Internet.