Feltöltőkártyás sim kártya átruházás - Biztonsági probléma?

Sziasztok!

Érdekes dologba futottam bele. Van egy dominó kártyám a Telekomnál, amit a lányom használ. Ezt a lányom szeretné előfizetésre átváltani, így besétált az egyik üfsz-re és érdeklődött a feltételek iránt. Itt számomra meglepő dolog történt: az ügyintéző minden probléma nélkül bele is kezdett a folyamatba, a dolog akkor akadt el, mikor kiderült, nincs még 18 éves. De ha ez nem lett volna akadály, minden kérdés és egyeztetés nélkül átírták volna a nevére a számot.

Ezután direkt rá is kérdeztem egy másik ügyintézőnél, ahol kiderült, hogy ha a feltöltőkártyás  SIM kártya a birtokában van valakinek, minden kérdés nélkül hajlandóak átírni az illető nevére, mert hogy erre őket törvény kötelezi... Na, ez nálam erősen kiverte a biztosítékot, szerintem ez egy hatalmas biztonsági lyuk.

Csak egy példa: célzott támadás: a támadó fél meg akarja szerezni a célszemély banki adatait, akinek a 2fa azonosítása sms-ben érkezik a feltöltőkártyás számára. A belépési adatait már megszerezte, így ha az illető telefonját ellopja, minden probléma nélkül a nevére veszi a számot, kap egy új SIM-et és máris megvan a 2fa eltérítése....

Mi a véleményetek erről? Csak én hájpolom túl?

Gábor

Ui: A lányom akciójáról tudtam, én mondtam neki, hogy járjon utána a feltételeknek.

Hozzászólások

így ha az illető telefonját ellopja

Az illeto bejelenti a mobil szolgaltatonal, hogy elloptak a telefonjat. Gondolom ha ellopjak a penzet egy ilyen trukkel akkor a bank (vagy valaki, bank biztositoja) megteriti a kart. Foleg ha kiderul, hogy valaki besetalt a szoltaltatohoz es atiratta a nevere a szamot.

A belépési adatait már megszerezte

Amugy ha ennyire celzott a tamadas akkor a mobil feloldo kodjat is megszerezte, szoval nem kell extra koroket futni a szolgaltatonal es atiratni a szamot.

"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."

Ezert jo az esim, azt nem veszik ki a telefonbol.

De te sem... Szerintem az eSIM ceges flottaknak tokeletes, ahol a "felhasznalonak" nem is szabad hozzanyulnia. Ha mar kell SIM a telefonba akkor egy otthoni kornyezetben lehessen mar egyszeruen egyik mobilbol egy masikba attenni 1 perc alatt a szolgaltato bevonasa nelkul.

"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."

OK, nem használok eSIM-et, de amikor a telefonnal leolvasom a szolgáltató QR kódját* és onnantól van szolgáltatás az nem az eSIM "cseréje"? Feltételezem ezután egy másik mobillal ugyanazt a QR kódot leolvasva "áttettem" az egyik mobilból a másikba. Nem? Vagy ez a QR kód valami más?

* Sosem csináltam még, csak a telefon ajánlgatta, hogy beolvasom a szolgáltatód QR kódját, kisgazdám, ha kéred.

disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.

A QR kód egyszerhasználatos, de tökmindegy, a gyakorlatban ez úgy néz ki  (pl. Telekom), hogy felmész a telekomhu-ra, és megnyomod az új QR kód gombot. Van valami limit, hogy évente tíz eSIM-cserét csinálhatsz ingyen, vagy ilyesmi, de aki egy év alatt tíz telefont vesz, annak legyen kétszáz forintja SIM-cserére is, az használjon fizikai SIM-et. :)

de aki egy év alatt tíz telefont vesz

Szerintem a SIM kartya egyik mobilbol masikba atrakasa nem fugg ossze a telefon vasarlassal. Nem tudtam, hogy onalloan is elintezheto az eSIM csere (persze meg mindig bonyolultabb mint a SIM csere, internet+login kell hozza). Nem ertem, hogy mire jo a 10-es limit, fizikai kartyanal ez nincs, szerintem szivas, meg akkor is ha nem feltetlenul hasznalnam ki. Az auton sincs limitalva a kerekcsere :)

az használjon fizikai SIM-et

Amig ez a lehetoseg is megmarad a mobilokban...

"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."

Szerintem a SIM kartya egyik mobilbol masikba atrakasa nem fugg ossze a telefon vasarlassal

Nyilván, de így is edge case, hogy valaki évente ötször pakolja oda-vissza egy másik telefonba a SIM-et.

Nem ertem, hogy mire jo a 10-es limit

YMMV, én egyetlen egy alkalommal láttam ezt a folyamatot, amikor megjelent a Telekomnál az eSIM, és váltottam rá. Simán lehet, hogy rosszul emlékszem, vagy hogy azóta változott a dolog.

Nyilván, de így is edge case, hogy valaki évente ötször pakolja oda-vissza egy másik telefonba a SIM-et.

Pl. olyan telefonnal mesz kirandulni egy hetre ami nem egy nap alatt merul le es atrakod bele a szamod az okosmobilbol vagy csak eleged van egy idore a folyamatos elerhetosegbol (uzenetek, social media), de hivast fogadni/inditani szeretnel ettol fuggetlenul.

"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."

Nesze neked éves adategyeztetés.

Amit évente többször is meg lehet tenni.
Például ha odaadod a feltöltős SIM-et valakinak, akkor ő csinál egy adategyeztetést a saját nevére és már a nevén is van a SIM!
Ugyanis azzal bizonyítod, hogy a tiéd, hogy vissza tudod írni az SMS-ben kapott kódot. Azaz, azzal, hogy hozzáférsz a SIM-hez tartozó telefonszámhoz.

Tertilla; Tisztelem a botladozó embert és nem rokonszenvezem a tökéletessel! Hagyd már abba!; DropBox

Ez így van, pont a héten kellett letérdelnem az ügyintézőnek, mert a feltöltős számom a riasztóban van benne (nem tud SMS-t fogadni), amit egyrészt magamtól nem szedhetek szét (25k kiszállás a cégnek) másrészt nehezen hozzáférhető helyen van.

Mondtam neki csinálja meg, mert ezzel tud harcolni a munkáltatója automatizálási törekvései ellen. Szerencsére empatikus volt és megcsinálta.

Gondolom az adategyeztetésnél ott a Név meg pár adat. Most besétált és adategyeztetés után(!) akarták előfizusra átrakni.
Nem gondolom, hogy csak a számot kérték el és nem egyeztettek előtte..

Márpedig így volt. Kérdezz rá, nem foglalkoznak azzal, hogy addig kinek a nevén volt. Ha nálad a SIM, akkor átírják.

Természetesen egyeztettek előtte (elkérte az iratait), de nem azzal nem foglalkoznak, hogy előtte kinek a nevén volt. Ha nála a SIM kártya, simán nevére írják. (És igen, az online adategyeztetést is meg lehet csinálni, úgy is át lehet írni más nevére).

igen, ez a feltöltőkártyás adategyeztetés kb átiratás az eredeti előfizető nélkül. 

A leírásodban a 2fa kapcsán, ha nála a sim, akkor nem kell a nevére vennie, hogy olvassa az sms-eket. Vagy arra gondolsz, hogy ezzel kikerülheti a pinkódos védelmet is?

pinkódos védelem?

Nem is emlékszem, mikor volt utoljára pinkódos sim kártyám. 2010-ben már tuti pin nélkül kaptam az új sim kártyát (a szolgáltatónál is, meg a repülőn osztogatott kártyát is).

disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.

Nem is emlékszem, mikor volt utoljára pinkódos sim kártyám. 2010-ben már tuti pin nélkül kaptam az új sim kártyát (a szolgáltatónál is, meg a repülőn osztogatott kártyát is).

Szerintem minden SIM "pinkodos", de lehet ujabban alapbol nincs bekapcsolva a PIN keres es 4db nulla a kod. Szerintem barmikor aktivalhatod es megvaltoztathatod a kodot.

"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."

Persze, biztos be lehet állítani.

Csak emlékszem, régen jött a szolgáltatótól a sim, betettem a telefonba, kérte a pin-t, megkerestem, beírtam. Volt, hogy meghagytam az eredetit, volt, hogy átállítottam.

Amióta a szolgáltatók leszoktak erről, azóta én se szoktam magamnak pin-t beállítani, és akiknek a telefonjára rálátásom van, azok se. Ettől még persze elérhető ez, és biztos vannak (kevesen), akik direkt beállítanak egy pint minden egyes új sim kártyájukon.

disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.

Én már nem emlékszem, mikor láttam utoljára pin-t kérő sim kártyát.

Mondjuk Telekomnál nem voltam sose, lehet, hogy ez a különbség.

disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.

A hipotetikus példádban kicsit sok a "ha".

Az például nem a legélesebb kés a fiókban, aki saját nevére iratja a számot, majd pénzt lop azzal a bankból...

Miért is?

Egy átlag embernek eszébe sem jut, hogy a feltöltőkártyás számát ilyen módon meg tudják szerezni! Bennem is az a hit élt eddig, hogy ha az én nevemen van a kártya, annak kapcsán csak én tudok intézkedni... Valahogy eddig sehol sem láttam leírva, hogy ez egy erős biztonsági kockázat!

Ha valaki hozzajut a kulcsaidhoz es lemasolja akkor siman szedhet eloleget hiszeny emberektol amikor a lakasodat vagy az autodat bemutatja nekik mint elado portekat, kiadhatja a lakast amikor nyaralsz vagy vezetheti az audod es csinalhat millios buntetest a nevedre, stb. Ez sem jut eszebe barkinek, nem latom melyik mennyivel nagyobb kockazat. Ha lopas tortenik akkor ott vannak kovetkezmenyek, ez varhato.

"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."

akkor nem írja át a másik nevére, csak ha az eredeti szerződő erre engedélyt ad.

Szerzodo? Ez egy feltoltos SIM kartya. Amig nem volt ez a nagy terror veszely addig nevhez sem volt kotve, szerintem most sincs, ha minden evben mas szemely regisztralja online akkor annyi. Mas orszagokban most sincs kotve senkihez, bemesz a szupermarketbe es leveszed a polcrol, nem kell alairni semmit.

"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."

Persze, hogy szerződés. Itthon az aktiváláshoz személyes adatokkal igazolnod kellett magadat, csak sok fogyatékos a telefonja eladásánál a sim kártyát is továbbadja vele. Azt meg már 20 éve is csinálták, hogy pl egyetemek mellett a gólyákat próbálták megfűzni, hogy hozzanak ki telefont / simet prepaiddel valami jutalomért, hogy aztán valami bűncselekményben felhasználják és a megtanulja a rendszert a kis hülyegyerek egyetemista, hogy következménye van annak, ha valamihez a nevét adja.

Azért az a 400E db sim sztori... Mondjuk úgy, hogy picit "erősre" sikeredett... (Gondolj bele, mekkora térfogata és tömege van ennyi kártyának, és egy-egy prepaid-et árusító helynek nagyjából mekkora az árukészlete/időszakos forgalma, és ez utóbbiak hogyan viszonyulnak a 400E darabhoz...)

Jaj bocs, csak 200 ezer kamu személyhez kötött sim volt az. Akkor csak az volt a nagy szám, hogy nagyban csinálták. Meg ugye nem egyszerre, hanem valamenniy idő alatt, valamekkora megnnyiségekben.. ezt nem részletezték, hogy hány év alatt.
Kicsiben meg mindig is csinálták.

Mondjuk olyan hírek is voltak, hogy ez az eset csak egy a sok közül. Minden szolgáltatónál megvolt a hasonló halmozás pár ember nevével. 
Itt egy akkori részletes cikk konkrétan megvett kalóz simekkel
https://444.hu/2016/10/13/negy-napig-sem-tartott-olyan-magyar-anonim-si…

Sőt, lehet azóta is megy a biznisz
https://www.jofogas.hu/magyarorszag?q=sim%20k%C3%A1rtya%20aktiv%C3%A1lt

Vajon meg lehet valahol nézni, hogy van-e a nevemen olyan sim, amiről nem tudok? :D Mondjuk a voda új webes rendszere automatikusan összevonta egy fiók alá az ottani simjeimet.

Haverom hajléktalan szállón dolgozik. Ő mondta, hogy egy stabil pont az, hogy folyamatosan jönnek a mobil számlák a lakók nevére és a szálló címére.

Persze ez nem feltétlenül a lenyomozhatatlan sim miatt van így (főleg, mert azt a szolgáltató valószínűleg az első számla be nem fizetése után előbb-utóbb letiltja), hanem inkább a telefon ellopása miatt. De azért abban az első (pár?) hónapban a simmel is bármit lehet csinálni.

disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.

Atfutottam a 444.hu-s cikket, nem ertem, hogy miert eri meg valakinek ez a procedura a kartya aktivalassal hajlektalanok nevere amikor mas EU tagallamokban kilora vehetne SIM kartyat kerdes nelkul, az aktivalas annyi, hogy feltolt ra penzt (nevtelenul is lehet boltban vasarolt fix osszegre ervenyes koddal). Ez a cikk keletkezesenek idejen is mukodott. Ha a cikkben emlitett kartyak olyanok amikkel ingyen lehet telefonalni ahhoz valami belso ember kellett, de akkor nem hiszem, hogy 2-400k nagysagrendben ez nem tunt volna fel senkinek. Ugy tunik amit az ujsagiro vett azok (penz)feltoltes nelkul mukodtek, rogton lehetett veluk telefonalni.

"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."

Ha a cikkben emlitett kartyak olyanok amikkel ingyen lehet telefonalni ahhoz valami belso ember kellett, de akkor nem hiszem, hogy 2-400k nagysagrendben ez nem tunt volna fel senkinek. Ugy tunik amit az ujsagiro vett azok (penz)feltoltes nelkul mukodtek, rogton lehetett veluk telefonalni.

Mostanában nem tudom, hogy megy ez, de olyan 25 éve elterjedt visszaélés volt, hogy bement mondjuk a kínai mondjuk a Westelhez, kötött egy szerződést, kapott egy SIM kártyát, aztán minden nap telefonált Kínába, beszélt a családdal, barátokkal és üzletfelekkel. Amikor jött a számla, akkor azt nem fizette be. Idővel a nem fizetett számla miatt korlátozták a szolgáltatást persze, de addigra a szolgáltató bukott egy csomó pénzt. Részletekre már nem emlékszem, de a tartozás behajtása nehéz / lehetetlen volt. Ugyanezt persze hajléktalannal és emelt díjas számokkal is el lehetett játszani.

Abban az időben pl. olyan szoftvert készítettünk, ami hó közben figyelte a felhasználást és pl. egy új szerződés esetén néhány nap után már jelzett, hogy itt rizikó van, amire válaszul a szolgáltató felfüggeszthette a szolgáltatást és felszólíthatta az előfizetőt, hogy mondjuk helyezzen letétbe egy összeget vagy valami.

Nem tudom, manapság hogy megy ez Magyarországon. Itt, Angliában, pl. credit check van, és ha vacak a credit score, akkor csak prepaid szolgáltatást kapok.

Na csak annyit akartam írni, hogy ugyan nem prepaid, de azért olyan kártyát, amivel rögtön lehet telefonálni, akár 200-400k nagyságrendben és "ingyen" (valójában hitelbe), azért láttunk már.

disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.

Persze, hogy szerződés. Itthon az aktiváláshoz személyes adatokkal igazolnod kellett magadat

Igazad van, csak mar nagyon regen volt amikor vettem, elfelejtettem. Mas orszagokban nem ennyire szigoru a rendszer. Magyarorszagon az azonositasi mizeria elott siman tovabbadhattad a szamot, utana mar kvazi nem volt szemelyhez kotve.

"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."

2004-ben is személyre szóló szerződésem volt a prepaid simekhez. 99%, hogy az ászf-ben benne volt akkor is, hogy nem adhatod tovább a simet. Már csak azért is, mert az a szolgáltató tulajdona szokott lenni. De tudom, hogy senki sem szokta elolvasni a szerződéseket elolvasás előtt, ezért nem is léteznek a szerződések. Aztán meg megy a hápogás, ha valakin számon kérik a szerződésszegést vagy az ő személyéhez kapcsolódó előfizetéssel történt visszaéléseket. 

Azért legyen valaki előfizető, mert bizonyos helyzetekben a SIM némileg magasabb kockázatú?

Korábban több helyről hallottam, amikor valaki bement a szolgáltatóhoz SIM csere miatt (micro/nano, vagy egyéb ok miatt), akkor úgy kapott új kártyát, hogy nem kellett igazolnia magát, talán csak a régi kártyát kellett ott hagynia. Remélem ez a gyakorlat már megszűnt!

Azért legyen valaki előfizető, mert bizonyos helyzetekben a SIM némileg magasabb kockázatú?

nem. csak használjon biztonságos csatornát 2fa-nak.

csak azért legyen jobb záram és jobban záródó ajtóm, mert a régi kopott zár magasabb kockázatú bizonyos esetekben? ha fontos a biztonságod, akkor igen

4 és fél éve csak vim-et használok. elsősorban azért, mert még nem jöttem rá, hogy kell kilépni belőle.

Csak én hájpolom túl?

Szerintem igen.

Azért nem érzem ezt hatalmas biztonsági kockázatnak, mert a bűnözőnek el kell lopnia hozzá a telefonodat / SIM kártyádat. Ha már nála van a SIM kártya, akkor már vissza tud élni vele, el tudja kapni a 2FA üzeneteket, stb. Az, hogy ezek után a saját nevét és más személyes adatait a szolgáltató beírja a telefonszámhoz, az a visszaélést nem teszi semmive könnyebbé, csak a nyomozást :-D

Értem, hogy van olyan szituáció, amit ki lehet használni, pl. ma ellopja a telefonodat, bemegy a szolgáltatóhoz, átírja a saját nevére, a telefont visszacsempészi hozzád, aztán majd fizetésnapon bemegy és egy új SIM kártyát kér a nevén lévő telefonszámhoz. De ez azért eléggé nyakatekert megoldás. Plusz meg kell adnia egy nevet, fényképet, stb. a szolgáltatónál. _Szerintem_ egy átlagos tolvaj az egyszer ellopott telefont használja, de nem fogja visszacsempészni a táskádba.

Ha esetleg kém vagy és félsz a másik oldal kémjeitől, akkor nem szóltam, ilyen nyakatekert megoldásokat kémfilmekben sokat használnak ;-)

disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.

Nem kell bemennie a szolgáltatóhoz. Kikapom a kezéből a telefont, leülök egy gép elé, adategyeztetek (a kapott sms-t meg tudom nézni, amíg nem zárolt le a telefon), ezek után már a nevemen van a szám és fel tudom hívni a szolgáltatót, hogy elvesztettem a pin kódot, adja meg a puk-ot. Ettől kezdve attól sem kell félnem, hogy lezár a lopott telefon. Ez az egész kb 5 perc, melyből 4 az ügyintéző kapcsolása....

Azért az elég jelentős race condition, hogy a megtámadott személy kezében legyen a telefon, "nyitott" állapotban, amikor elveszi tőle a támadó, _és_ menekülés közben is ügyeljen arra, hogy véletlenül se zárolódjon a készülék, _és_ sikerüljön is kereket oldania...
Apropo, ha ezek mind sikerülnek, akkor irreleváns, hogy előfizetéses vagy prepaid, mert a 2FA-s SMS-hez hozzáfér így is...

De egy kérdés azért felmerül bennem... Miért kell sms-t használni 2. faktornak?!

Ez csak egy általam kreált példa volt, aminek most elveszünk a részleteiben. Nem vagyok bűnöző, nem tudok egy bűnöző fejével gondolkodni, de akkor is problémának érzem ezt. Valahol ahhoz tudnám hasonlítani, mintha egy háznak a bejárati kulcsa nálam van, akkor már a nevemre is írathatnám az ingatlant, hiszen rendelkezem vele...

"De egy kérdés azért felmerül bennem... Miért kell sms-t használni 2. faktornak?!" Milyen egyéb ötleted van arra, ha pl. a banki szolgáltató ezt adja? Ezt szerintem az esetek többségében nem az ügyfél dönti el, hanem a szolgáltató.

"ne vesszünk el a részletekben" - de igen. A prepaid sim de facto nem személyhez kötött, csak a magyar jogalkotó az, aki de jure személyhez köti.

Ahol _csak_ az SMS létezik, mint banki 2. faktor, onnan célszerű távozni, és keresni olyan bankot, ahol van ennél megbízhatóbb 2FA-s megoldás - például push+app, vagy netán hardvertoken.

ezek után már a nevemen van a szám és fel tudom hívni a szolgáltatót, hogy elvesztettem a pin kódot, adja meg a puk-ot. Ettől kezdve attól sem kell félnem, hogy lezár a lopott telefon.

Ha lezár a telefonom a kezedben, akkor a PUK kóddal semmire nem mész. A telefon a saját jelszavát kéri a feloldáshoz vagy ujjlenyomatot vagy az arcomat.

De ha elloptad a telefonomat, akkor egyszerűbb a telefonálás helyett bemenni a menübe és kikapcsolni azt, hogy adott idő elteltével lezárjon. Vagy még jobb ötletem van! Még a lezárás előtt olvasd el a 2FA SMS-t.

Ez azért is jó, mert a telefonom nem prepaid, szóval a szolgáltatót hiába is hívnád, elhajtana, viszont az SMS-emet elolvashatod a lopott telefonon a szolgáltató felhívása és a PUK kód nélkül is.

disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.