Metoda prin care hackerii români mi-au furat numărul de telefon și banii în izolare

18:00 Început de martie. Nu știu dacă are legătură sau nu, dar povestea mea începe când îmi moare telefonul.

19:00 Ajung la încărcător, deschid aparatul și văd doar mesajul „no service”. Îi cer unui prieten să mă sune. Am telefonul în mână, dar nu sună, chiar dacă cealaltă persoană aude cum apelul decurge normal, doar că nu răspunde nimeni. Nu-mi fac neapărat griji, îmi zic că trebuie să ajung la Vodafone, să văd ce se întâmplă cu cartela.

20:00 Am SIM nou, cu numărul meu. Reactivez telefonul și încep să primesc mesaje pe WhatsApp de la diverși prieteni. Îmi spun că e posibil să-mi fi spart cineva contul de Facebook, pentru că cere de pe profilul meu bani pe Revolut.

20:15. Iau laptopul să schimb parola, dar nu mai am acces la contul meu principal de e-mail, pe Yahoo. Pot să-l resetez însă, printr-un SMS pe telefon. Primesc codul, dar nu pot să schimb parola.

20:20 Cinci minute mai târziu, primesc SMS de la ING cu codul pentru autorizarea unei tranzacții. „OK, e grav”, îmi spun.

Mai târziu, aflu că schema prin care am rămas fără numărul de telefon se numește SIM swapping sau „deturnare de SIM”. Pe scurt, hackerii obțin control asupra numărului de telefon. Odată cu asta obțin mesajele pe care le primești pentru confirmarea tranzacțiilor, pentru resetarea conturilor de e-mail și pentru orice altceva. Cel mai des fac asta printr-un apel direct la operator. Sună și își asumă identitatea ta. Metoda asta e cunoscută drept „inginerie socială”. Și așa obțin o cartelă nouă, că e destul de ușor să mimezi că ești altcineva la telefon.

În timp ce vorbesc cu tipul de la ING, primesc mesaj cu codul de resetare a parolei. Îl întreb dacă a făcut el ceva și zice nu. „Aoleu!”, continui pe un ton grav. Și este alarmant, pentru că poți reseta parola contului doar dacă ai datele din buletin ale clientului, adică ale mele, în cazul ăsta. Și e clar că cine îmi face asta le are.

În momentul ăsta nu știu dacă am ceva pe telefon, un virus care colectează date sau dacă e altă schemă, prin care cineva îmi folosește identitatea. Nu știu nici dacă cine face asta mă aude când vorbesc la telefon. Așa că mă duc la poliție.

21:00. La secție sunt trimis la un comisar care se ocupă de astfel de cazuri. Îmi zice să cer un SIM nou de la Vodafone și să revin. Pe drum, aflu de la ING că tranzacția pe care am blocat-o este, de fapt, a doua. Prima a trecut și a fost folosită pentru un card cadou de șapte sute de lei de la eMAG, care a și fost cheltuit în jumătate de oră. Asta pentru că eMAG oferă plata cu un singur click. Dacă ai datele cardului băgate în cont, nu mai e nevoie de nicio confirmare. Îți ia banii direct, ceea ce poate fi bine când tu controlezi contul. Nu a fost așa în cazul meu.

21: 20 Vodafone dezactivează al doilea SIM.

21:30. Iau a treia cartelă cu numărul meu, dar nu o mai bag în aparat, mă întorc cu ea la comisar, care o pune într-un telefon vechi. Primesc un mesaj de la Google, contul meu secundar de e-mail, pentru resetarea parolei. Deci, cine mi-a obținut numărul a încercat mai multe dintre conturile pe care le am. O problemă în plus e că, pe e-mail am și copia mea de buletin, dar și pe cele ale unor prieteni pentru care am făcut check-in într-o vacanță.

Iar primesc mesajul „no service” pe telefonul meu vechi. Comisarul de la secție nu mă poate ajuta, zice că n-are resurse să rezolve astfel de situații. O săptămână mai târziu aflu că situația mea ar putea avea legătură cu cele cinci sute de milioane de conturi de Yahoo sparte și vândute online, acum patru ani. Știu că măcar nu-s singurul, chiar dacă nu mă ajută cu nimic treaba asta.

Nu știu dacă telefonul meu are ceva, așa că îl abandonez și folosesc altul. Îmi petrec următoarele două zile pe telefoane, ca să aflu ce s-a întâmplat și dacă pot să o pățesc din nou.

eMAG nu-mi spune cine a făcut tranzacția de șapte sute de lei. Îmi spun că-s date cu caracter personal și pot comunica așa ceva doar pe baza unei confirmări de la poliție. Așa că încerc să recuperez contul principal de e-mail.

Yahoo mă ajută, prin biroul de suport, să îl luăm pe hacker prin învăluire. Cum are numărul meu de telefon, are acces deplin la contul de e-mail. Iar ca să-i schimbi parola, când primești SMS cu codul de resetare, e o chestiune de timp. Încercăm de vreo șapte ori, să schimbăm în același timp, el numărul meu de telefon, iar eu contul alternativ de e-mail. El băga numărul meu, dar în câteva secunde apărea altul. Până la urmă, am reușit. Am pus un e-mail de recuperare secundar, am primit codul de reset, am schimbat parola și mi-am recuperat contul.

ING mă anunță și de a treia tranzacție, o încercare ratată de reîncărcat o cartelă prepay. Pentru tranzacția reușită, nu-mi poate întoarce banii imediat. Chiar dacă se folosește 3D Secure pentru confirmarea plății, nu ajută la nimic, că nu am acces la numărul meu de telefon. Banca întoarce banii când poliția confirmă că a fost o problemă și nu am inventat eu povești. Dar tot ING spune că nu e nevoie să demonstrezi că ești victimă a acestei fapte. Trebuie însă să sesizezi imediat banca și operatorul de telefonie mobilă.

Vodafone notează cazul și zice că revine. Durează două săptămâni până mă sună cineva înapoi, spune că are informații, dar nu mi le poate da. Reclamația mea e gata, dar așteaptă să vină poliția s-o ceară. Ceea ce nu s-a întâmplat până acum. Nu am cum să aflu ce s-a petrecut cu adevărat, dacă a pornit de la un angajat al lor sau dacă cineva și-a însușit identitatea mea, a sunat și-a putut atât de simplu să obțină numărul de telefon.

Vreo șase zile mai târziu, mi se întâmplă din nou: „no service” pe telefon.

A doua oară când mesajul „no service” îmi dă ziua peste cap sunt mai aproape de un magazin Vodafone. În mai puțin de 15 minute, am un SIM nou, dar și o nouă tranzacție pe cont, realizată în doar patru minute. Mie nu-mi iese atât de repede, deși știu toate datele. Dar și hackerul le are, de la copia de buletin pe care o aveam pe e-mail. Așa a reușit să reseteze contul de internet banking.

Martie devine o lună teribilă. Am pierdut vreo două mii de euro și, deși banca i-a recuperat din asigurare și implicit și eu, conturile mele sunt blocate, iar ING nu mai are casierie, de unde pot scoate cash. Traiesc pe datorie și mă gândesc cum aș putea să mă protejez. Aș putea să schimb buletinul și numărul de telefon, dar decid că cel mai bine e să creez o nouă persoană digitală.

Adică îmi fac un cont de e-mail, în care nu am copia de la buletin, și îmi iau un număr de telefon doar pentru bancă și alte servicii cu instituții locale, iar pe aparat nu instalez aplicații. Iar pentru shopping, social media și restul activităților mele pe Internet folosesc alt e-mail și alt număr. Shoppingul rămâne o problemă, dar acum, dacă văd vreo tranzacție dubioasă, am control asupra contului și o blochez imediat, pentru că SMS-ul de confirmare vine doar pe numărul de telefon pentru bancă.

Chiar dacă în România astfel de cazuri sunt mai rare, în SUA se întâmplă destul de des. De multe ori se apelează la o sursă din interior, un angajat capabil să porteze numerele de telefon pe-un SIM nou, fără probleme. E simplu și pentru că angajatul are acces la datele personale ale clientului. Poate câștiga câteva mii de euro pentru asta.

Am căutat să văd dacă au mai pățit alții asta înaintea și cum s-au ocupat autoritățile. N-am găsit decât un comunicat de presă din 30 octombrie 2019 despre doi suspecți. Schema o știi deja: unul dintre suspecți a sunat la operator, s-a dat persoana în cauză, a solicitat portarea numărului pe-un alt SIM. A sunat apoi la bancă, și-a însușit identitatea, a obținut acces la bani. Parola pentru internet banking i-a venit prin SMS. Per total, în septembrie 2019, cei doi suspecți ar fi reușit să fure circa 231 de mii de lei.

De la ING am aflat că astfel de cazuri sunt relativ izolate, ca urmare a măsurilor de prevenție implementate de-a lungul timpului. În plus, nu există impact financiar pentru clienți, întrucât banca returnează sumele conform legislației în vigoare. Vodafone și eMAG n-au comentat în vreun fel, până la ora publicării articolului, mecanismele prin care previn fraudele.

Cu ce-am rămas eu după cazul ăsta e că trebuie să fiu atent la tot ce se întâmplă pe conturile mele. Poate te ajută și pe tine ghidul ăsta. Nu face prostia să lași numărul peste tot. Sau folosește, ca mine, un număr secundar pentru conturile importante, ca să-ți ferești banii de așa ceva. În cazul meu a fost vorba de Vodafone și de ING, dar nu mă îndoiesc că aceleași probleme pot fi la fel sau mai grave și la alți operatori și la alte bănci.