Iki šiol buvo žinomos tik teorinės galimybės apeiti elektroninio prisijungimo sistemą, naudojantis ID kortele ar estų „Mobiil-ID“. Tik vienam mokslininkui pavyko laboratorinėmis sąlygomis klonuoti ID kortelės sertifikatus, kurie yra naudojami identifikuojant vartotoją bankuose ar valstybinėse įstaigose, rašoma „Poostimes“.
Tačiau šių metų vasarį įvyko tai, ko buvo labiausiai bijoma: nežinomi nusikaltėliai pasikėsino į 10-20 Estijos piliečių asmeninius duomenis. Tai jiems pavyko pasinaudojus „Smart ID“ vardu ir žmogiškumo faktoriumi.
Ši programėlė, kuri yra itin populiari ir Lietuvoje, ir kurią mūsų šalyje naudoja kelių didžiųjų bankų klientai, leidžia internetu prisijungti ne tik prie banko, tačiau ir prie valdžios e-vartų.
Kaip veikė schema
Piktavaliai pasinaudojo tuo, kad programėlės naudotojai dažnai neatkreipia dėmesio į tai, kas prašo jų PIN kodo ar iš ko gauna SMS žinutes.
Nusikalstamos schemos aukos gavo SMS žinutes – tariamai iš Estijoje veikiančių bankų – su „nekaltu prašymu atnaujinti paskyros duomenis“. Tačiau pranešimas buvo gautas ne iš banko, o iš sukčių, kurių atsiųsta nuoroda vedė į tinklapį, išoriškai panašų į titulinį banko internetinį puslapį.
Patekusios čia aukos turėjo „autorizuotis“, įvedant savo „Mobiil-ID“ paskyros PIN1 ir PIN2 kodus. Tuomet vagims belikdavo prisijungti savo aukų vardu prie „Smart-ID“ paskyros. Daugelis vartotojų patyrė ne tik moralinį, bet ir finansinį nuostolius, rašoma „Poostimes“.
Teigiama, kad niekas iš jų nesuprato, kad iš tiesų jie apsilankė apsišaukėlių banko tinklapyje. Aukų galėjo būti 10-20, bendrai patirti nuostoliai gali sudaryti apie 1 tūkst. eurų.
„Smart-ID“ paskyra naudojasi daugiau nei 2,2 mln. žmonių, iš jų 433 tūkst – Estijoje.
Lietuvos bankų asociacijos prezidento Manto Zalatoriaus komentaras
Mūsų žiniomis, nei Jūsų minimu, nei kitais atvejais asmens tapatybės internete nustatymo sistema „Smart-ID“ nebuvo pažeista. Tačiau sistemų patikimumas ir saugumas nėra kliūtis sukčiams, kurie pasitelkia socialinę inžineriją, t. y. manipuliuoja žmonėmis, siekdami savo tikslų.
Visada akcentuoju, kad efektyviausia kibernetinių nusikaltimų prevencija – piliečių sąmoningumas ir gebėjimas atpažinti galimą sukčiavimą, su kuriuo kiekvienas interneto naudotojas gali susidurti bet kada. Nusikaltimus elektroninėje erdvėje vykdančių asmenų taktika tampa vis pažangesnė.
Išgauti asmens duomenis – vienas iš dažniausiai pasitaikančių sukčiavimo tipų. Šiuo atveju kalbame apie vadinamąjį socialinės inžinerijos sukčiavimo (angl. phishing) pavyzdį. Tokiais atvejais, neįtardami klastos, klientai patys atskleidžia sukčiams savo duomenis, suvedę juos sukurtose melaginguose interneto puslapiuose.
Tad pagrindinis patarimas klientams – kritiškai vertinti visus gaunamus pranešimus, kuriuose prašoma suvesti prisijungimo prie interneto banko duomenis ar atidaryti laiško priedus, ir neskubėti vykdyti tokių prašymų. Gavus įtarimą keliantį elektroninį laišką klientus raginame pirmiausia atkreipti dėmesį į siuntėjo elektroninio pašto adresą, pasitikrinti, ar puslapis, į kurį nukreipia nuoroda, yra oficialus.
Be to, bankai ir kitos finansų įstaigos nei telefonu, nei el. paštu niekada neprašo atskleisti jokių prisijungimo prie asmeninės kliento sąskaitos duomenų. Būkime budrūs ir saugokime savo asmeninę informaciją bei elektroninę tapatybę kaip savo namų raktus bei pasą.
Kilus bet kokių klausimų, patariame nedelsiant kreiptis į savo banką ir pasitarti: kompetentingas žvilgsnis iš šalies praverčia visada.
Siekdami skleisti žinias apie saugumą ir skatinti finansų įstaigų klientus sąmoningumą, reguliariai rengiame viešinimo kampanijas. Jau šią savaitę pradėsime nacionalinę kampaniją, kurios tikslas – supažindinti su „Smart-ID“ tapatybės patvirtinimo įrankiu tuos, kurie juo dar nesinaudoja, paaiškinti jo ypatumus ir patarti, kaip saugiai ir patogiai juo naudotis.
„SK ID Solutions“ vadovo Viktoro Kamarevcevo komentaras
Pirmiausiai reikia atkreipti dėmesį, kad nei asmens tapatybės internete nustatymo sistema „Smart-ID“, nei Estijos „Mobiil-ID“ nebuvo pažeistos nei šį kartą, nei kada nors anksčiau. Kaip žinia, sukčiai sukūrė apsimestinius tinklapius, kurie buvo panašūs į kai kurių Estijos bankų tikruosius tinklapius. Toliau sukčiai tariamai nuo bankų gyventojams išsiuntinėjo SMS, kad šie apsilankytų tariamo banko tinklapyje ir atnaujintų savo duomenis – to bankai niekada neprašo. Kad sukčiams pasisektų, klientai turėjo savo telefonuose suvesti PIN1 ir PIN2. Deja, tokia apgaulinga veikla internete (angl. phishing) sukčių retkarčiais naudojama, todėl svarbu žinoti, kad bankai nesiuntinėja SMS ar kitu būdu klientų neprašo prisijungti prie savo paskyrų internete, o PIN niekada niekam nereikia pateikti.
„Smart-ID“ ir „Mobiil-ID“ technologijos yra saugios. Tačiau, siekiant sumažinti sukčiavimo riziką, mes jau pakeitėme registravimo procesą – jo metu vartotojai bus geriau informuojami apie jų veiksmus.
Taigi, ši situacija rodo, kad nors technologijos ir yra saugios, bet žmonės turi atidžiai tikrinti informaciją ir nepasitikėti bet kiek įtartinais prašymais. Labai svarbu, kad žmonės suprastų, jog jų elektroninė tapatybė yra tokia pat svarbi, kaip ir jų tapatybė realiame gyvenime.
