» [AKTUALIZACJA] Jak przejąć czyjś numer telefonu w T-Mobile? Zbyt prosto -- Niebezpiecznik.pl --

“Ukradliśmy” komuś numer telefonu. Chociaż nie powinno to być możliwe — udało się. Zadzwoniliśmy na infolinię T-Mobile, podaliśmy PESEL ofiary i numer seryjny kupionego za parę złotych, niezarejestrowanego startera. Tyle. To w T-Mobile wystarczy, aby wyrobić duplikat czyjejś karty SIM. Nie jest potrzebna wizyta w salonie. Nie trzeba podawać żadnych haseł abonenckich, czy też pokazywać albo dyktować danych z dowodu właściciela numeru, który “przechwytujemy”.

Macie numer na w T-Mobile i teraz panikujecie? To dobrze, bo powinniście. Ale to nie koniec horroru. T-Mobile, któremu powiedzieliśmy na czym polega luka w procedurze, nie potwierdził, że problem usunął. Wydaje się, że… większe znaczenie dla operatora ma wygoda i szybkość obsługi.

Dlatego ostrzegamy:

(UPDATE: Pytacie, czy problem dotyczy abonamentu. Jeden konsultant mówi tak, drugi konsultant mówi nie. Mamy informacje od klientów abonamentowych, których nie weryfikowano inaczej niż PESELem zdalnie i proponowano wysyłkę karty, mamy takich, którym mówiono, że duplikat tylko w salonie. Może zależy to od sposobu nawiązania kontaktu z TMobile i podanym powodem wyrobienia duplikatu. Nie wiemy. Poczekamy więc na oficjalne stanowisko T-Mobile, a do tego czasu sugerujemy dla Waszego bezpieczeństwa założyć, że w abonamencie jest tak samo.)

Zduplikowanie czyjejś karty SIM to poważny problem

Wyrobienie duplikatu karty SIM nie powinno być łatwe. Powinno być bardzo trudne. Bo ktoś, komu się to uda, może przejąć nie tylko twoje rozmowy i SMS-y, ale — co może dziś jest zdecydowanie straszniejsze — także twoje pieniądze, poprzez przejęcie dostępu do konta w banku lub twoje poufne dane poprzez przejęcie kont w serwisach internetowych, np. skrzynki e-mail, którą założyłeś z podaniem tego numeru telefonu.

Przykładowo, gdyby np. premier Morawiecki miał swój numer w T-Mobile, można by było przejąć jego skrzynkę e-mail właśnie w sposób opisany przez nas powyżej. PESEL premiera jest znany. Numer telefonu premiera można dość szybko ustalić prostą techniką OSINT-ową i — co gorsza — wszystko wskazuje na to, że premier nie odpiął go od konta Google. A więc po udanej procedurze wyrobienia duplikatu karty SIM, ktoś mógłby dokonać resetu hasła konta premiera na GMailu:

Luka odkryta przypadkiem

Nasz Czytelnik Tomasz, autor ciekawego blogai kilku ciekawych aplikacji, postanowił jakiś czas temu wyrobić sobie duplikat karty SIM w T-Mobile. Tomasz najpierw spytał na czacie T-Mobile o to jak wygląda wyrabianie duplikatu.

Tak, dobrze przeczytaliście! Konsultant stwierdził, że jedyna weryfikacja to pytanie o PESEL. Tomasz na infolinię zadzwonił i tak opisał całą sytuację:

Tu dla porządku uściślijmy dwie kwestie.

Powtórzmy: PESEL. Nie. Jest. Tajny. To tylko niektóre firmy — co jest absolutnie karygodne — wykorzystują go jako sekret, umożliwiający uwierzytelnienie klienta albo autoryzację jakiejś operacji. Takie praktyki trzeba bezwzględnie tępić, więc jeśli się gdzieś z nimi spotkacie, zgłaszajcie je nam. Zbieramy materiały do nowego filmu. Thrillera. Mamy już plakat!

Wracając do zgłoszenia, jakie otrzymaliśmy od Tomasza… Na początku wydało nam się, że Tomasz czegoś nam nie mówi. Że procedura którą opisał jest tak łatwa, że jest niemożliwe, aby tak duży operator jakim jest T-Mobile na coś takiego pozwalał. Racjonalizowaliśmy to sobie tym, że być może konsultant miał gorszy dzień i omyłkowo nie zweryfikował poprawnie Tomasza. Że to był jednorazowy incydent.

Dlatego postanowiliśmy zrobić eksperyment.

Wyłudziliśmy kartę SIM

Zakupiliśmy dwa startery i zarejestrowaliśmy jeden z nich. Pierwszy miał fajny numer +4860XXXXXXX, drugi miał numer +4869YYYYYYY.

Co ciekawe, w czasie rejestracji karty SIM w salonie nasz redaktor został poproszony o podanie hasła abonenckiego “do czynności związanych z kartą“. Hasło było 8-cyfrowe. To bardzo nas zasmuciło, bo pomyśleliśmy, że jednak T-Mobile ma sensowne zabezpieczenie i faktycznie, incydentalnie w przypadku naszego Czytelnika, konsultant go po prostu nie zastosował.

Jak widzicie, w czasie rejestracji podaliśmy też numer do kontaktu, ale celowo inny niż numer rejestrowany (był to numer +48ZZZZZZZZZ). Chcieliśmy dać fory T-Mobile. Operator miał odnotowane przy naszym koncie z jakiego innego numeru moglibyśmy się z nim kontaktować.

Odczekaliśmy godzinę i zadzwoniliśmy na infolinię. Co ważne, celowo zadzwoniliśmy z jeszcze jednego, zupełnie innego numeru, +48AAAAAAAAA.

Przedstawiliśmy się jako “ofiara” i opowiedzieliśmy następującą bajkę:

Konsultant powiedział nam, że można przenieść numer na inny, jeszcze niezarejestrowany starter. My odparliśmy, że szczęśliwie właśnie taki niezarejestrowany starter mamy pod ręką, więc poprosiliśmy o przeniesienie. Następnie konsultant nas zweryfikował. Poprosił o imię, nazwisko i PESEL, a potem numer nowego startera (długi ciąg cyfr widoczny pod kodem kreskowym).

Co ciekawe, konsultant kilka razy wpisywał ten numer do systemu i rzekomo uzyskiwał informację, że ten niezarejestrowany starter jest już zarejestrowany (i tak to jest w życiu, że problemy są nie tam gdzie się spodziewasz). Potem ustalił, że problem może wynikać z tego, że z naszego zarejestrowanego startera nie wykonaliśmy jeszcze żadnego połączenia, więc nie jest aktywny i nie można go przenieść. Ostatecznie, po 13 minutach rozmowy, obiecano nam że nowy numer zostanie przeniesiony na nową kartę.

Na aktywacje numeru czekaliśmy 3 dni i nic się nie stało. Zaczęliśmy się zastanawiać, czy oto nie zadziałało jakieś specjalne zabezpieczenie? T-Mobile sztuczną inteligencją przeanalizował brzmienie głosu i wyczuł podstęp. Zadzwoniliśmy więc na infolinię jeszcze raz (znów z numeru +48AAAAAAAAA).

Konsultant, z którym zostaliśmy połączeni przeprosił za swojego kolegę, poprosił o kod PUK nowego startera i obiecał, że niebawem numer powinien zostać przeniesiony. Aktywacja nastąpiła dosłownie 5 minut później (byliśmy pod wrażeniem sprawności obsługi, niezależnie od celu naszego testu).

Podsumujmy:

  1. Udało nam się wyrobić duplikat karty SIM przez infolinię, weryfikując się jedynie nazwiskiem i PESEL-em.
  2. Na infolinię dzwoniliśmy z numeru zupełnie nieznanego operatorowi, innego niż podany jako dodatkowy numer kontaktowy.
  3. T-Mobile, choć w czasie rejestracji karty SIM prosi o ustalenie hasła abonenckiego, to nie wymaga go podczas wyrabiania duplikatu karty SIM.

Co na to T-Mobile

Byliśmy trochę zszokowani bo przejęcie karty SIM okazało się trywialne. Zadaliśmy operatorowi trzy pytania.

Pytania przesłaliśmy w piątek 11 czerwca. Natychmiast otrzymaliśmy telefon z informacją, że uzyskamy odpowiedzi i sprawa zostanie sprawdzona, ale będzie to wymagało czasu. Rozumieliśmy to świetnie. Spodziewaliśmy się zmiany procedur, a na to duża firma potrzebuje przecież czasu. 15 czerwca otrzymaliśmy taki oto komentarz, który miał być odpowiedzią na nasze pytania.

Nie otrzymaliśmy w tej sprawie żadnego potwierdzenia, że procedura została zmieniona, więc zakładamy, że dalej wygląda tak, jak wyglądała tydzień temu. Spodziewaliśmy się przynajmniej w przypadku telefonów na abonament ta procedura wygląda inaczej. Niestety nikt o nie wspomniał, żeby miało być inaczej…

Aktualizacja: Jeden z czytelników dowiedział się na infolinii, że w przypadku abonamentu procedura ma wyglądać inaczej. Oto cytat odpowiedzi: “wymiana karty SIM w przypadku abonamentu, nie jest realizowana w kanale zdalnym. Można jedynie dokonać zamówienia, jednak sama karta SIM wydawana jest tylko właścicielowi numeru“.

Dlaczego tak nie można zrobić z numerami na kartę? Nie wiemy, dopytamy. Zwłaszcza, że inny czytelnik dał nam znać, że dziś dało się wyrobić duplikat karty SIM w abonamencie, bez obecności w salonie. Weryfikacja w rozmowie przez PESEL. Karta wysyłana na adres — i tu cytat Czytelnika — “nawet nie ten z umowy”. No ale adres to przynajmniej jakiś ślad.

Ktoś z Was ma T-Mobile w abonamencie i robił niedawno duplikat karty SIM? Dajcie znać, jak to u Was wyglądało. Jeszcze parę lat temu (patrz cytat z artykułu poniżej) duplikaty karty SIM T-Mobile wysyłał także pocztą.

Póki co, na początku artykułu dodaliśmy informację odnośnie niepewności co do tego, jak to wygląda w abonamencie. Ale dla Waszego bezpieczeństwa sugerujemy na razie założyć, że niestety tak samo.

Jakbyście wyrabiali sobie duplikat karty SIM w T-Mobile, dajcie znać, czy coś się zmieniło. Dziś, po publikacji tego artykułu i zapewno jutro, a może nawet pojutrze operator i infolinia może być wybitnie wyczulona na takie zmiany. To zrozumiałe. Poczekamy, zobaczymy…

To czego jesteśmy pewni, to że procedura wyrobienia duplikatu karty SIM w T-Mobile nie powinna wyglądać tak, jak wygląda teraz. Choćby wysłanie SMS-a na numer, który ma zostać przeniesiony byłoby wskazane. Mogłoby ostrzec osobę, której ktoś w sposób nieautoryzowany duplikuje kartę SIM. O ile w przeciągu 5 minut (w naszym przypadku) ktoś byłby w stanie w ogóle z takim SMS-em się zapoznać…

Więcej osób oszukało procedury T-Mobile

Jakiś czas temu opisywaliśmy przypadek Wandy, której kartę SIM wyłudzono właśnie w T-Mobile, polecamy lekturę artykułu pt. Jak złodzieje od pół roku okradają klientów polskich banków na kwoty powyżej stu tysięcy złotych.

Opisywaliśmy też jak okradziono inną osobę, także abonenta T-Mobile, któremu przez infolinię nie tyle wyrobiono duplikat karty SIM, co przekierowano rozmowy przychodzące a następnie dzięki przekierowaniu podpięto się pod jego konto w mBanku aplikacją mobilną.

Nie oznacza to oczywiście, że u innych operatorów problem wyłudzenia duplikatu karty SIM nie istnieje. Znamy przypadki, w których oszuści posługiwali się sfałszowanymi dowodami osobistymi lub sfałszowanym oświadczeniem notarialnym, aby oszukać operatora i przejąć czyjąś kartę SIM.

Mam numer w T-Mobile — co robić, jak żyć?

Niestety, musisz się mocno zastanowić, czy warto mieć “wrażliwe” numery telefonów w T-Mobile. Warto przypomnieć, że od dawna w Polsce można bez utraty numeru przejść do innego operatora. Przynajmniej do momentu, do którego T-Mobile nie poinformuje, że uszczelniło procedurę (i ktoś to zweryfikuje).

A jeśli dojdziesz do wniosku, że zostajesz przy T-Mobile ze swoim “wrażliwym” numerem, to chociaż odepnij go od każdego konta i instytucji, w których poprzez kod wysyłany SMS-em na ten numer można uzyskać dostęp do twoich danych, usług lub pieniędzy (zmień go na inny numer). Konto w banku i skrzynka mailowa są priorytetem. Giełdy kryptowalut też.

To oczywiście nie jest wina operatorów telekomunikacyjnych, że serwisy niezależne od operatorów swoje bezpieczeństwo budują na (błędnym) założeniu, że numery telefonów są nieprzechwytywalne. Ale tak to wygląda. I może pora, aby operatorzy jednak mocniej wzięli to pod uwagę?

Aktualizacja 18.06.2021, 18:21Otrzymaliśmy dodatkowy komentarz od T-Mobile, w którym operator wreszcie przyznaje się do dziury w swoich procedurach wydawania duplikatu karty SIM. Zanim jednak go zaprezentujemy, poświęćmy chwilę na przyjrzenie się komunikacji T-Mobile zarówno w czatach z Wami jak i w social mediach. Najpierw historia rozmowy z czatu z jednym z czytelników. Faza “zaprzeczenia”:

Była też faza “Tajemnicy”, jesteśmy bezpieczni, ale nie powiemy dlaczego:

…oraz PESEL JEST TAJNY!!!

Na szczęście inni konsultanci byli bardziej zorientowani w temacie:

Konsultant (albo bot?) T-Mobile był też aktywny w mediach społecznościowych i odpowiadał tak:

Nie pytajcie nas, nie wiemy co to znaczy, że “proces weryfikacji jest dwuetapowy”. Niektórzy z Czytelników w odpowiedzi na twity T-Mobile żartowali, że pierwszy etap to “Halo, czy Pan mnie słyszy?” a drugi to “Proszę teraz podać PESEL aby potwierdzić“, inni byli zdania, że pierwszy etap to podanie PESEL-u a drugi, to daty urodzenia ;)

Potem profil (bot?) T-Mobile zmienił taktykę i zaczęło w odpowiedziach wklejać to samo, co nam e-mailem przysłał Konrad Mróz z T-Mobile Polska S.A.:

A więc dziurawa procedura miała być stosowana tylko dla “części” klientów. Jakiej? Na to pytanie, T-Mobile nam nie odpowiedziało. Mimo wszystko, cieszymy się, że operator podjął słuszną decyzję. Szkoda, że dopiero przyciśnięty echem naszej publikacji. Ale od tego jesteśmy. Do usług.

Na koniec wklejamy zbiór relacji Czytelników, którzy — podobnie jak my i Tomasz — też wyrobili sobie duplikaty kart, chociaż nie powinni. Byli też tacy, którzy podobny problem zgłaszali operatorowi ponad półtora roku temu i wtedy dowiedzieli się, że można na T-Mobile wymóc zmianę elementu uwierzytelnienia z PESEL-u na kod (abonenta lub PUK). Szkoda, że operator o tym nie informuje… A jeszcze bardziej szkoda, że nie jest to opcja domyślna.

Niestety wymuszenie obowiązku duplikowania się w salonie nie jest możliwe:

Wśród czytelników były też osoby z abonamentem, a więc odpowiednio modyfikujemy adnotację na wstępie niniejszego artykułu. Problem braku należytej weryfikacji klienta dotyczył klientów abonamentowych.

Oraz firmowych:

Czy od dziś w T-Mobile będzie już lepiej? Czy wszyscy konsultanci dostali informację o zmianie procedury weryfikacji? Poczekamy, zobaczymy…

PS. I nie myśl, że jeśli nie opublikowałeś nigdzie swojego numeru PESEL to nikt go nie zna. To nieprawda. Można go pozyskać z wielu źródeł przy pomocy prostych technik osintowych.

Przeczytaj także: