Сильнейший удар по безопасности э-услуг: под угрозой сотни тысяч жителей Эстонии (6)

До сих пор говорилось о теоретических технических уязвимостях ИД-карты и Mobiil-ID, использующихся как средство идентификации личности. Только одному ученому в нашей стране удалось в лабораторных условиях клонировать сертификаты ИД-карты, использующиеся для идентификации личности.

Однако в феврале этого года это произошло по-настоящему: неизвестные злоумышленники подделали личные данные от 10 до 20 жителей Эстонии. Это произошло через приложение Smart-ID.

С помощью этого приложения, например, можно войти в интернет-банк, а оттуда уже получить доступ ко всем предлагаемым в Эстонии электронным услугам. 

Как работала схема

Жители Эстонии привыкли, входя куда-либо через Mobiil-ID, не проверять, кто запрашивает ПИН-код 1 или ПИН-код 2. Кроме того, люди привыкли не слишком критически относиться ко всему, что приходит им по СМС или по электронной почте. И злоумышленники этим воспользовались.

Жертвы схемы получили СМС - якобы от одного из действующих в Эстонии банков - с невинным призывом обновить данные аккаунта. Однако сообщение пришло вовсе не от банка, а от мошенников, которые дали ссылку, ведущую на сайт, внешне похожий на домашнюю страницу банка. 

На этом сайте жертвам было необходимо авторизоваться с помощью Mobiil-ID и ввести для этого ПИН1 и ПИН2, которые вместе с личным кодом сразу попадали в руки злоумышленников. Именно эти коды были нужны мошенникам для того, чтобы без ведома жертв создать на основе их данных аккаунт Smart-ID. И это им удалось. Многим людям был нанесен не только моральный, но и материальный ущерб.

Никто из них не заметил, что на самом деле они были не на сайте банка. Всего жертв было от 10 до 20, к счастью, суммарный ущерб ограничился 1000 евро. В то же время Smart-ID использует свыше 2,2 миллиона человек, 433 563 из них - в Эстонии.