Forum - TELEPOLIS.PL

paciorek pisze: ↑

05 wrz 2020, 17:26

Druga rzecz, to opy powinny mieć dostęp do bazy MZWiA odnośnie matchowania nr PESEL z NR DOWODU, tak aby zweryfikować, czy dowód nie jest dowodem kradzionym.

piotrzet pisze:Najprostsze zabezpieczenie wymiana karty sim tylko w sklepie u operatora.

Oszuści mają idealne repliki ważnego dowodu osobistego, różniące się tylko zdjęciem. Wtedy taka weryfikacja nic nie da. Trzeba proces wymiany zabezpieczyć tak, aby móc potwierdzić tożsamość czymś więcej niż tylko łatwym do podrobienia dokumentem.

paciorek pisze:Druga sprawa, to wymiana kart SIM. Powinna być autoryzacja dwuetapowa. Np. z wykorzystaniem SMSów wysłanych na starą kartę SIM, lub za pośrednictwem QR CODE, taki QR Code generował by się w aplikacji, oraz znienawidzony przez wszystkich obrazek bezpieczeństwa.

Łatwe do obejścia, podobnie jak kod. Telefon zgubił, więc SMS traci rację bytu, a aplikacja przepadła z telefonem. Albo klient (nawet prawdziwy, a nie oszust) mówi, że kodu nie pamięta i co wtedy? Musi trafić w procedurę nadania mu dostępu na nowo, a w tym momencie trudno o stuprocentową pewność weryfikacji. Plus wysyła PlusKod5 razem z fakturą, ale to tylko do klientów abonamentowych, a klienci prepaidowi wcale nie podają adresu przy rejestracji.

Trzeba też pamiętać, że wymiana karty od ręki jest standardową procedurą od dwudziestu paru lat na wypadek utraty karty SIM, jej zablokowania, zmiany telefonu, uszkodzenia karty itp. Aby brak dostępu do numeru był jak najkrótszy.

W każdej tego typu procedurze trzeba uwzględnić przypadek klienta, który niczego nie pamięta, telefon z kartą zgubił i ma do okazania tylko siebie oraz dowód tożsamości. Czy to bank, czy operator mają swoje procedury dla takich przypadków i... oszuści potrafią znaleźć i wykorzystać w nich luki. Błędne koło.

Operator powinen wysyłać notkę do banku, że karta sim została wymieniona. Wtedy telefon i potwierdzenie jak np przy zablokowaniu konta przez złe hasło kilka razy wpisane. Albo od razu blokada dostępu internetowego po wymianie karty, a dzwonisz sam i odblokowujesz.

piotrzet pisze: ↑

05 wrz 2020, 18:35

Operator powinen wysyłać notkę do banku, że karta sim została wymieniona. Wtedy telefon i potwierdzenie jak np przy zablokowaniu konta przez złe hasło kilka razy wpisane. Albo od razu blokada dostępu internetowego po wymianie karty, a dzwonisz sam i odblokowujesz.

Niestety, ale obawiam się, że to rozwiązanie się by nie sprawdziło. Operator nie wie, w jakich bankach użytkownik numeru 123456789 ma konto, więc nie wie też, do jakich banków taką notkę wysłać. Użytkownik nie ma obowiązku ani potrzeby informować operatora o tym, w jakich bankach ma konto, bo to informacje zbędne dla umożliwienia korzystania z telefonu, użyteczne ewentualnie jedynie w takich, jednostkowych przypadkach. A przekazywanie przez operatora informacji typu "Operator X informuje, że użytkownik numeru 123456789 wymienił kartę SIM" do każdego działającego w Polsce banku również wyglądałoby dość kiepsko z punktu widzenia ochrony danych osobowych (numeru telefonu). A bez wiedzy operatora o tym, w jakich bankach użytkownik numeru ma konto, to przekazywanie informacji mogłoby działać jedynie przez wysyłkę (albo wręcz "rozsyłkę") takich ogólnych "notek".

Myślę, że to głównie wina niedostatecznej weryfikacji tożsamości osoby ubiegającej się o wymianę karty SIM po stronie operatorów i to oni (przy ewentualnej współpracy z instytucjami rządowymi, jeśli pojawia się potrzeba wypracowania nowego, ogólnokrajowego rozwiązania) powinni opracować sposób zapobiegania takim nadużyciom.

piotrzet pisze: ↑

05 wrz 2020, 18:35

Operator powinen wysyłać notkę do banku,

Którego? Banków jest kilkaset w Polsce.

mp107 pisze:Myślę, że to głównie wina niedostatecznej weryfikacji tożsamości osoby ubiegającej się o wymianę karty SIM po stronie operatorów i to oni (przy ewentualnej współpracy z instytucjami rządowymi, jeśli pojawia się potrzeba wypracowania nowego, ogólnokrajowego rozwiązania) powinni opracować sposób zapobiegania takim nadużyciom.

Zgoda. Zwróć jednak uwagę, że operatorów trudno do tego zmusić. Sieć nie odpowiada za to do czego ktoś wykorzystuje telefon. Jeśli w wyniku swojego błędu wyda duplikat osobie nieuprawnionej to odpowiedzialność kończy się na zwrocie kasy za to co ten ktoś nabije na rachunek abonenta. Operator przecież nie wie jak klient wykorzystuje swój numer - czy dany nr zabezpiecza jego pieniądze w banku (żaden przepis prawny takiego wykorzystania nie sankcjonuje, to jest jedynie praktyka banków), czy prowadzi wysokodochodowy biznes mogący się zawalić bez telefonu, może przez nieodebranie jednej rozmowy straci miliony, albo utrzymująca go żona dowie się o kochance i go rzuci itd.

Gdyby wprowadzono Mobile Connect, można byłoby go blokować przez np. 24 godziny od wymiany karty SIM. Jednak problem nadal pozostanie dla operacji innych niż autoryzacja, tj. np. rozmów zwrotnych z banku w celu potwierdzenia podejrzanego przelewu.

Rozbito dobrze zorganizowany gang hakerów:
https://www.rp.pl/Spoleczenstwo/3092398 ... kerow.html

Tysiące okradzionych, wiele różnych metod oszustw, w tym SIM Swap.

Tym razem ostrzega Rzecznik Finansowy, a państwo dalej nic nie zrobiło w sprawie skuteczności posługiwania się podrobionymi dokumentami:
https://www.telepolis.pl/wiadomosci/bez ... a-kart-sim

„Niebezpiecznik” obnażył nonsens dziurawego procesu wymiany kart SIM w T-Mobile, rzekomej sieci bez nonsensów:

https://www.telepolis.pl/wiadomosci/bez ... rczy-pesel

Nie wiadomo co jest wyrazem większej indolencji - dziurawy proces czy ich uzasadnienie dla niego:

Ponoć rząd ma jakiś pomysł uszczelnienia:

https://www.telepolis.pl/wiadomosci/pra ... duplikatow

https://www.telko.in/dgp-rzad-chce-ukrocic-sim-swapping