Jak zastrzeżenie numeru PESEL wpłynie na SIM swapping?

18.05.2023 14:30 | 5 min

Tagi: SIM swap Bezpieczeństwo Profil Zaufany

Ministerstwo Cyfryzacji poinformowało 16 maja, że zapowiadana niegdyś możliwość zastrzeżenia numeru PESEL będzie funkcjonowała już od czerwca 2024 r. Jest to rozwiązanie, na które czekało wiele osób, a eksperci od dawna sugerowali wdrożenia takiego systemu.

Do głównych korzyści wspomnianego rozwiązania Ministerstwo zalicza m.in.

Zapobieganie zjawisku SIM swappingu dającego oszustowi np. nieograniczony dostęp do bankowości elektronicznej ofiary (weryfikacja zastrzeżenia PESEL przy wydaniu kopii lub wtórnika karty SIM).

Idea jest wzniosła. W końcu skutki wykorzystania duplikatu karty SIM mogą być bardzo poważne. Przyjrzyjmy się jednak potencjalnym scenariuszom ataku.

SIM swapping

Jest to, innymi słowy, nieautoryzowane wyłudzenie karty SIM ofiary u jej operatora. Sposobami, które wykorzystują przestępcy, są m.in. wykorzystywanie dziurawych procedur, ataki socjotechniczne na pracowników czy posługiwanie się fałszywymi dokumentami ofiary. Co do tych ostatnich, dziś może je pozyskać dosłownie każdy. Wystarczy wypełnić formularz w „branżowym” sklepie i opłacić zamówienie.

Formularz zamówienia fałszywego dowodu osobistego - pola na dane osobowe i możliwość wgrania zdjęcia

Otrzymamy całkiem wiarygodnie wyglądający dokument.

Sfałszowany dowód osobisty na nazwisko Leonardo Dicaprio

By móc użyć porównania w dalszej części artykułu, skupię się właśnie na fałszywym dokumencie. Jak wiadomo, operatorzy nie weryfikują w Rejestrze Dowodów Osobistych danych, które przedstawił klient (lub ktoś, kto się pod niego podszywa). Po wprowadzeniu projektu Ministerstwa będą musieli sprawdzać, czy numer PESEL nie jest zastrzeżony. Wydawałoby się zatem, że skorzystanie z tej możliwości przez właściciela karty, gdy nie ma on zamiaru jej duplikować, jest rozwiązaniem problemu. Pozory jednak mylą.

Poczta znów w akcji

W czerwcu 2021 r. Niebezpiecznik alarmował o luce, która umożliwiała przejęcie Profilu Zaufanego poprzez weryfikację konta Envelo na poczcie. Tam również dowody nie są sprawdzane w RDO, co delikatnie mówiąc, rodzi pole do nadużyć. Kancelaria Prezesa Rady Ministrów obiecała wprowadzenie zmian, by nie dało się zalogować na istniejące konto, potwierdzając tożsamość w inny sposób, niż zostało to ustawione (tj. nie można zmienić metody autoryzacji bez potwierdzenia tej czynności dotychczasową). Nie wiem, jaki jest obecny stan rzeczy, ale na potrzeby tego przykładu optymistycznie założę, że procedury logowania do Profilu Zaufanego zostały zabezpieczone.

Ministerstwo Cyfryzacji wskazuje jeden ze sposobów zastrzegania numeru PESEL i anulowania tej operacji:

Osobiście w urzędzie gminy, oddziałach banków i Spółdzielczych Kas Oszczędnościowo-Kredytowych oraz placówkach pocztowych.

Tak, niezależnie od posiadania Profilu Zaufanego, można zarządzać zastrzeżeniem PESELu na poczcie. Potencjalny atakujący może zatem, korzystając z fałszywego dokumentu, „uwolnić” PESEL ofiary, a następnie udać się do operatora po duplikat karty SIM. Gdy dane zostaną sprawdzone, okaże się, że ofiara nie figuruje w rejestrze zastrzeżeń, więc można wyrobić duplikat (dowód nie zostanie sprawdzony w Rejestrze Dowodów Osobistych ani u operatora, ani na poczcie).

Czy projekt Ministerstwa ma sens?

Uważam, że mimo wszystko ma. Na ten moment nie funkcjonuje żaden taki system, co potencjalnie ułatwia przeprowadzanie ataków SIM swap. O ile dałoby się niektóre kwestie projektu rozwiązać lepiej, o tyle samo wdrożenie rozwiązania do zastrzegania numeru PESEL jest lepsze, niż nic.

Możliwe, że do czerwca 2024 r. do projektu zostaną wprowadzone zmiany. Kto wie, czy Ministerstwo nie doda opcji zablokowania niektórych metod zastrzeżenia PESELu. Wcześniej wspomniałem o luce w logowaniu do Profilu Zaufanego, do czego teraz wrócę.

Jak zabezpieczyć PZ?

Niełatwo udzielić tu uniwersalnych porad, ponieważ ustawienia Profilu Zaufanego nie zawsze działają tak samo u każdego użytkownika. W moim przypadku skuteczne okazało się założenie PZ nie przez bank, tylko manualnie i potwierdzenie tożsamości w urzędzie. Później w ustawieniach (Zarządzanie kontem → Szczegóły konta → Dopuszczalne metody logowania) pozostawiłem włączone jedynie logowanie za pomocą hasła. Dzięki temu nie ma możliwości zalogowania na mój Profil Zaufany przez bank, choć wiem o osobach, które postąpiły podobnie, a zalogować się przez bank mogą.

Zrzut ekranu ustawień Profilu Zaufanego - widać pola typu checkbox z dopuszczonymi metodami logowania, aktywne jest tylko pole "Logowanie hasłem"
Źródło: Niebezpiecznik.pl

Niemniej, tak jak wspomniałem, nie u każdego logiczna konfiguracja PZ będzie wystarczającym zabezpieczeniem. Mogę jednak podsunąć kilka uniwersalnych rad, które pojawiały się już na Niebezpieczniku i innych branżowych stronach:

jeśli nie masz PZ, załóż go – trudniej przejąć istniejący profil niż założyć nowy, jeśli dodatkowa konfiguracja zadziała zgodnie z oczekiwaniami;
wyrób sobie paszport – pozwoli on potwierdzić Twoją tożsamość nawet po unieważnieniu dowodu osobistego;
kontroluj powiadomienia z PZ – możesz np. ustawić filtry na domenę gov.pl, żeby nie przegapić komunikatu o zmianie narzędzia autoryzacji, który (najpewniej) otrzymasz, jeśli ktoś będzie przejmował Twoje konto.

Podsumowanie

Część nadziei, które można było pokładać w projekcie po przeczytaniu zapowiedzi Ministerstwa, jest płonna. Mimo wszystko, tworzenie takich rozwiązań to bardzo dobry sygnał. Mam nadzieję, że nie jest to ostatni krok systemowej walki z oszustami. Sekcja komentarzy pozostaje niezmiennie otwarta na Twoją opinię.