Sostituzione sim fraudolenta o errore di un rivenditore?

[giovax]

Come è possibile che qualcuno si sia impossessato del mio numero con una sostituzione della sim senza che il rivenditotore verificasse la corrispondenza tra la persona fisicamente presente nel negozio e la mia foto?

Inviato dal mio LG-H815 utilizzando Tapatalk

 

[giovax]

E' possibile che sia stato un semplice errore del rivenditore che ha inserito come numero da sostituire il mio SENZA però verificare la corrispondenza tra la mia anagrafica e quella del documento di identità del cliente?
Sono alquanto perplesso e preoccupato della situazione

 

[giovax]

Purtroppo è una cosa fraudolenta. Hanno preso il numero di cellulare per poter accedere al account gmail

Inviato dal mio LG-H815 utilizzando Tapatalk

 

[ilblago81]

Purtroppo è una cosa fraudolenta. Hanno preso il numero di cellulare per poter accedere al account gmail

Inviato dal mio LG-H815 utilizzando Tapatalk

Ma dai....
Sento puzza di ex ragazza

Inviato dal mio LG-H815 utilizzando Tapatalk

 

[giovax]

Ma dai....
Sento puzza di ex ragazza

Inviato dal mio LG-H815 utilizzando Tapatalk

apprezzo il tuo tentativo di sdrammatizzare, ma la cosa appare assai seria e ben congegnata. Rimango allibito di come un rivenditore wind possa essere così superficiale da non verificare l'identità della persona. Se mai scroprirò chi sia, a seguito della denuncia per furto di identità, spero che venga incriminato di favoreggiamento

 

[ibm17]

Può succedere. Di solito non è voluto e si tratta più di una disattenzione che di un atto fraudolento. Ma se è stato usato per accedere anche alla mail mi pare qualcosa di ben più serio e da denuncia immediata.

 

[giovax]

Trattasi di un complesso sistema di furto di identità digitale. Rubano il numero di telefono per tentare di fare operazioni con l'homebanking.....essendo associato il conto corrente al numero di cellulare per gli sms con le one time password / token per i bonifici.
E' una cosa allucinante, ma il settore IT della mia banca che oggi mi ha chiamato segnalando ripetuti tentativi di accesso al mio conto mi ha confermato essere un fenomeno non così sporadico, cosiddetto "sim swapping"

 

[strafe]

Trattasi di un complesso sistema di furto di identità digitale. Rubano il numero di telefono per tentare di fare operazioni con l'homebanking.....essendo associato il conto corrente al numero di cellulare per gli sms con le one time password / token per i bonifici.
E' una cosa allucinante, ma il settore IT della mia banca che oggi mi ha chiamato segnalando ripetuti tentativi di accesso al mio conto mi ha confermato essere un fenomeno non così sporadico, cosiddetto "sim swapping"

Che banca utilizzi?
Per confermare le operazioni hai la "battaglia navale" o un token su smartphone/fisico?

 

[Lello^82]

Ma in ogni caso non avrebbero comunque bisogno del codice utente e pin?? (penso al conto Hello Bank)

 

[strafe]

Con molte banche basta il codice cliente (che è possibile recuperare da una mail della banca contenente l'estratto conto, ecco perché l'accesso alla sua casella Gmail) e il numero di telefono cellulare per poter chiedere il reset del PIN.

In molti casi per confermare le operazioni viene quindi inviata una OTP via SMS sul numero ed ecco che il danno è fatto.

Da questo punto di vista i conti con OTP "fisico" o la classica battaglia navale consentono un livello di sicurezza aggiuntiva.

 

[luigi88]

Cos'è la battaglia navale?

Inviato dal mio LG-D802 utilizzando Tapatalk

 

[giovax]

Con molte banche basta il codice cliente (che è possibile recuperare da una mail della banca contenente l'estratto conto, ecco perché l'accesso alla sua casella Gmail) e il numero di telefono cellulare per poter chiedere il reset del PIN.

In molti casi per confermare le operazioni viene quindi inviata una OTP via SMS sul numero ed ecco che il danno è fatto.

Da questo punto di vista i conti con OTP "fisico" o la classica battaglia navale consentono un livello di sicurezza aggiuntiva.

dalle informazioni che mi hanno dato non sono comunque riusciti ad entrare nel home banking, hanno provato a forzare la password principale. Però è vero che se si impadroniscono del numero di cellulare e trovano la password principale poi con gli OTP via sms in teoria possono fare tutte le operazioni che vogliono, perché con l'accoppiata email e cellulare possono resettare tutti i livelli di sicurezza del conto.

 

[qam]

Ci sono due informazioni che mi preoccupano molto nel tuo post:

1) La frequenza con cui si legge in questo e in altri forum di mnp non lecite, fatte senza essere in possesso della sim, quindi con il sistema del "furto o smarrimento". Mi lascia veramente basito il fatto che nessuno cerchi di modificare queste procedure che rendono fin troppo facile rubare un numero di telefono e relativo credito, sì, RUBARE perché di questo si tratta.

2) Il fatto che una banca consenta di avere il controllo totale su di un CC avendo solamente il numero di cellulare e l'email del correntista. Possiamo sapere di che banca si tratta?

dalle informazioni che mi hanno dato non sono comunque riusciti ad entrare nel home banking, hanno provato a forzare la password principale. Però è vero che se si impadroniscono del numero di cellulare e trovano la password principale poi con gli OTP via sms in teoria possono fare tutte le operazioni che vogliono, perché con l'accoppiata email e cellulare possono resettare tutti i livelli di sicurezza del conto.

 

[giovax]

Ci sono due informazioni che mi preoccupano molto nel tuo post:

1) La frequenza con cui si legge in questo e in altri forum di mnp non lecite, fatte senza essere in possesso della sim, quindi con il sistema del "furto o smarrimento". Mi lascia veramente basito il fatto che nessuno cerchi di modificare queste procedure che rendono fin troppo facile rubare un numero di telefono e relativo credito, sì, RUBARE perché di questo si tratta.

2) Il fatto che una banca consenta di avere il controllo totale su di un CC avendo solamente il numero di cellulare e l'email del correntista. Possiamo sapere di che banca si tratta?

1) non è stata una portabilità, ma una SOSTITUZIONE della sim; il tutto è successo alle 18 di pomeriggio.
2) molte banche per quanto riguarda l'home banking usano una procedura 2-step per quanto riguarda gli ordini di pagamento. Oltre alla password principale per accedere al conto, esiste una seconda password per immettere l'ordine di pagamento, una volta inserita la quale viene richiesto un token temporaneo (che si genera o con un apposito generatore di token fisicamente in possesso del cliente oppure con un pin inviato via sms al numero di cellulare associato al conto corrente). Il problema sta nel fatto che se si conosce la password principale E inoltre si riesce ad accedere alla email associata al conto E si è rubato il numero di cellulare è possibile richiedere la modifica della password dispositiva. Di fatto è come rubare la firma della persona, per gli ordini di pagamento/prelevamento fatti fisicamente ad uno sportello bancario.

Nel mio caso specifico il problema è nato dal fatto che una volta che mi hanno rubato il numero di cellulare, sono poi riusciti ad entrare nell'account google (con la procedura di recupero password via sms presumo), che era l'account email collegato al conto corrente. Ovviamente non avevano la password del home banking, infatti hanno provato a forzarla brutalmente ed è scattato il blocco automatico di sicurezza

 

[qam]

1) Ah ecco, ma quindi essendo una sostituzione non c'è stato cambio di gestore, quindi il rivenditore avrebbe dovuto verificare l'identità della persona che aveva di fronte, conoscendo da terminale i dati dell'intestatario.
Non l'ha fatto oppure gli sono stati mostrati documenti falsi?
2) Ok, quindi in sostanza la persona doveva conoscere:
- il codice utente (la mia banca non me l'ha mai inviato per email)
- la password principale (mai inviata via email)
- la password dispositiva (idem come sopra, mai inviata via email)
- il codice inviato via sms

Per modificare la password dispositiva comunque bisognava avere le prime due info.
Mi chiedo come potessero esserne in possesso, comunque la cosa mi tranquillizza un po', in ogni caso è meglio che i rivenditori inizino a stare un po' più attenti alle procedure di sicurezza, anzi sarebbe il caso che venisse loro IMPOSTO per legge, oramai perdere il numero di telefono può essere piuttosto grave.

1) non è stata una portabilità, ma una SOSTITUZIONE della sim; il tutto è successo alle 18 di pomeriggio.
2) molte banche per quanto riguarda l'home banking usano una procedura 2-step per quanto riguarda gli ordini di pagamento. Oltre alla password principale per accedere al conto, esiste una seconda password per immettere l'ordine di pagamento, una volta inserita la quale viene richiesto un token temporaneo (che si genera o con un apposito generatore di token fisicamente in possesso del cliente oppure con un pin inviato via sms al numero di cellulare associato al conto corrente). Il problema sta nel fatto che se si conosce la password principale E inoltre si riesce ad accedere alla email associata al conto E si è rubato il numero di cellulare è possibile richiedere la modifica della password dispositiva. Di fatto è come rubare la firma della persona, per gli ordini di pagamento/prelevamento fatti fisicamente ad uno sportello bancario.

Nel mio caso specifico il problema è nato dal fatto che una volta che mi hanno rubato il numero di cellulare, sono poi riusciti ad entrare nell'account google (con la procedura di recupero password via sms presumo), che era l'account email collegato al conto corrente. Ovviamente non avevano la password del home banking, infatti hanno provato a forzarla brutalmente ed è scattato il blocco automatico di sicurezza

 

[giovax]

1) Ah ecco, ma quindi essendo una sostituzione non c'è stato cambio di gestore, quindi il rivenditore avrebbe dovuto verificare l'identità della persona che aveva di fronte, conoscendo da terminale i dati dell'intestatario.
Non l'ha fatto oppure gli sono stati mostrati documenti falsi?
2) Ok, quindi in sostanza la persona doveva conoscere:
- il codice utente (la mia banca non me l'ha mai inviato per email)
- la password principale (mai inviata via email)
- la password dispositiva (idem come sopra, mai inviata via email)
- il codice inviato via sms

1) spero che Wind e/o la Polizia Postale verifichino questo piccolissimo dettaglio. Io presumo che NON abbia verficiato l'identità effettiva, o, peggio, fosse colluso con questo/i delinquenti. A dir la verità, quando il venerdì mattina sono andato a fare la sostituzione sim per rientrare in possesso del numero, il rivenditore il mio documento l'ha guardato di striscio, ha solo verificato corrispondenza tra nome e cognome. Ora, specialmente con le carte di identità di carta, ci vuole un attimo a falsificarle, e di sicuro un rivenditore di telefonia mobile non si pone il problema né ha la capacità per identificare un documento falso.
2) riguardo al punto, onestamente, pur essendo sempre scrupoloso per le login che riguardano siti sensibili (banche, paypal, aree clienti dei gestori), potrebbe anche essere che SOLO lo username fosse rimasto memorizzato nell'account google. Non ricordo se la banca in questione, nei documenti inviati per email all'apertura del conto, avesse scritto da qualche parte lo username dell'utenza. Per quanto riguarda la password dispositiva è accessibile se si è in possesso di email e cellulare, come è successo nel mio caso.

 

[giovax]

comunque il problema, sulla mancata o scarsa identificazione di chi attiva utenze di telefonia mobile, è ben più ampio, specialmente in questo periodo di terrorismo globale, per non parlare di quando si sente parlare di sim intestate a persone defunte da mesi se non anni.
Anche se oneroso, bisognerebbe introdurre un sistema di verifica immediata sui documenti di identità presentati dalle persone.

 

[Albemix]

Come non ricordarsi degli scandali di Tim qui nel vicentino con centinaie di sim intestate a ignare persone (anche defunte). Alla faccia delle norme dell'antiterrorismo (si perde tempo invece a fare un registro sulle connessioni wireless pubbliche, ridicoli). Con tutte le leggi che ci sono in Italia figurariamoci se vengono applicate, più ne combini tra truffe, riciclaggio e nessuno ti fa nulla.

Saeuti

Albemix

 

[qam]

comunque il problema, sulla mancata o scarsa identificazione di chi attiva utenze di telefonia mobile, è ben più ampio, specialmente in questo periodo di terrorismo globale, per non parlare di quando si sente parlare di sim intestate a persone defunte da mesi se non anni.
Anche se oneroso, bisognerebbe introdurre un sistema di verifica immediata sui documenti di identità presentati dalle persone.

Ma certo, ci sono decine di situazioni in cui la perdita del numero di telefono è estremamente pericolosa.
Oltre a chi usa il telefono per sistemi di autenticazione a doppio fattore, come sopra, ci sono tante persone che usano il tel per essere reperibili, soprattutto ora che il telefono fisso è meno frequente nelle case, ci sono anziani e altre persone con necessità particolari.
E comunque si tratta di un furto d'identità, va evitato assolutamente, mentre ora per effettuare una MNP da alcuni dealer non serve neppure la sim da portare, non occorre neanche sapere il nome dell'intestatario precedente, nè il seriale, una cosa VERGOGNOSA!!
5 minuti e il tuo numero di telefono passa a qualcun altro, e per riaverlo c'è da fare parecchia fatica, e spesso non si potrà riottenere piano ed eventuali promozioni.

Mi chiedo cosa si aspetti ad intervenire.

 

[giovax]

Secondo voi è utile fare anche la segnalazione al AGCOM?