Wszystko zaczyna się od tego, że oszust przejmuje nasze wrażliwe dane osobowe - m.in. imię i nazwisko, PESEL, nazwisko panieńskie matki, a także login i hasło do systemu bankowości internetowej. Może te dane od nas wyłudzić np. telefonicznie, podając się za pracownika banku, albo wykorzystując phishing, tj. przesyłając maila z linkiem do fałszywej strony internetowej banku, na której niby to bank prosi o wszystkie te dane w celu "weryfikacji".
Kiedy już przestępca ma potrzebne dane, bez problemu powinien wyrobić u operatora duplikat naszej karty SIM, np. pod pretekstem utraty telefonu. W tym momencie nasza oryginalna karta SIM przestaje działać - zostaje odcięta od sieci, a to oszust zaczyna przechwytywać np. nasze SMS-y, a więc także te z kodami do autoryzacji transakcji. Może także zainstalować aplikację mobilną banku, potrzebną do autoryzacji mobilnej transakcji.
Mając dane do logowania do naszego konta może już wyprowadzić pieniądze z konta autoryzując wszystkie operacje. W razie potrzeby może także podnieść dzienne limity transakcyjne.
Właśnie przed oszustwem na duplikat karty SIM ostrzega teraz swoich klientów ING Bank Śląski. Alarmuje, że jeśli karta SIM nagle przestaje działać, należy zachować szczególną czujność. W razie jakichkolwiek podejrzeń należy jak najszybciej skontaktować się z bankiem (co jest o tyle utrudnione, że pozostajemy bez możliwości wykonywania połączeń z telefonu).
To już działanie "po szkodzie", ale aby zminimalizować ryzyko oszustwa należy pamiętać m.in. nieotwieraniu podejrzanych załączników i linków z e-maili, weryfikowaniu nadawcy e-maila (ING wysyła wiadomości wyłącznie z domen @ing.pl oraz @ingbank.pl) oraz sprawdzaniu, czy adres strony internetowej jest poprawny. Koniecznie należy też zwrócić uwagę, czy sposób logowania jest taki jak zwykle. Wiele banków (w tym ING) stosuje tzw. hasła maskowane, czyli prosi wyłącznie o wybrane znaki z hasła. Jeśli nagle widzimy, że jesteśmy proszeni o wpisanie całego hasła, powinna zapalić się w naszych głowach czerwona lampka.
Już w 2018 r. przed oszustwem na duplikat karty SIM ostrzegał m.in. mBank czy Alior Bank, a także Urząd Komunikacji Elektronicznej. UKE rekomendował telekomom zmianę procedury wydawania duplikatów kart SIM.
W zeszłym roku portal "Niebezpiecznik" ustalił, że co najmniej kilka osób w Polsce padło ofiarą przestępców wykorzystującym metodę na duplikat karty SIM. Jeden z poszkodowanych miał stracić kilkaset tysięcy złotych.