По оценке Департамента полиции и погранохраны и Департамента государственных инфосистем (RIA), в результате манипуляций мошенников около 1500 человек предоставили доступ к своим учетным записям на портале eesti.ee.
Речь не идет об утечке данных или уязвимости в системе безопасности, пишет BNS. Целью мошенников было использование полученных данных для завоевания доверия и выманивания денег.
По словам руководителя бюро криминальной полиции Лыунаской префектуры Райна Восмана, речь идет об очень распространенной в последнее время мошеннической схеме, в которой человеку звонят якобы из банка, Кассы здоровья, Elektrilevi или, например, из полиции. «Цель мошенников — получить доступ к счетам людей. Если раньше они входили в интернет-банк, чтобы опустошить счет, то в последнее время мы наблюдаем случаи, когда они входят в учетную запись на портале eesti.ee, чтобы собрать больше информации о жертве. Анализируя заявления, мы выявили закономерность и в ходе расследования пришли к выводу, что люди, сами того не зная, сообщая свой PIN1-код, предоставляли мошенникам доступ к своей учетной записи на eesti.ee», — пояснил Восман.
Мошенники используют полученные данные против жертвы в различных схемах обмана. Например, звонящий может назвать адрес человека, место учебы, имена членов семьи, благодаря чему жертва с большей вероятностью поверит, что ей действительно звонит сотрудник государственного учреждения или энергетической компании. В ходе следующего звонка мошенники пытаются убедить человека подтвердить или подписать транзакции с помощью PIN2-кода или создать новую учетную запись Smart-ID на устройстве, находящемся в их распоряжении. Если мошенникам удается получить PIN2-код жертвы или контроль над Smart-ID, они получают доступ к банковским счетам и могут брать кредиты от имени пострадавшего.
По имеющимся данным, мошенники получали доступ к учетным записям на государственном портале eesti.ee, потому что люди под их влиянием сами вводили свой PIN1-код, не осознавая, что тем самым предоставляют третьим лицам доступ к своим личным данным. Речь не идет об утечке данных или уязвимости в системе безопасности.
Аналитик Департамента государственных инфосистем (RIA) Николай Куницын напоминает, что PIN-коды можно вводить только в том случае, если человек сам инициировал аутентификацию и уверен, куда и с какой целью он их вводит. «Мошенники постоянно совершенствуют свои схемы, и чем лучше люди осведомлены о различных способах обмана, тем активнее преступники ищут новые возможности, чтобы их действия выглядели как можно более правдоподобно. Поэтому мы напоминаем, что нельзя вводить PIN-коды или подтверждать какие-либо действия через Smart-ID или Mobiil-ID по указанию незнакомца по телефону, поскольку ни одно государственное учреждение или частная компания не просит вводить PIN-коды во время инициированного ими звонка», — пояснил Куницын.
Совместный анализ полиции и RIA на данный момент показывает, что мошенники входили в учетные записи eesti.ee примерно 1500 человек. Около пятой части из них сообщили об этом в полицию. В основном в полицию обращались люди, ставшие жертвами мошеннических схем и потерявшие в результате деньги. Самые крупные известные суммы ущерба составляют более миллиона евро в случае одного предприятия, а в нескольких случаях ущерб превысил сто тысяч евро. Полиция также получала сообщения от людей, которые не потеряли деньги, но подозревают, что с ними связывался мошенник.
Сегодня Департамент государственных инфосистем (RIA) персонально уведомил через государственный почтовый ящик людей, к чьим учетным записям на госпортале получили доступ мошенники. RIA рекомендует жертвам мошенничества немедленно закрыть свои учетные записи Smart-ID, так как в Smart-ID невозможно изменить PIN-коды. При необходимости позже можно будет создать новую учетную запись Smart-ID. Если учетная запись Smart-ID уже закрыта, делать это повторно не нужно. Более подробную информацию можно получить на портале самообслуживания Smart-ID. Подробнее о замене Mobiil-ID и PIN-кодов можно прочитать на сайтах мобильных операторов.
Полиция просит сообщать о подозрительных звонках даже в том случае, если ущерб не был причинен и человек не вводил свои PIN-коды. Людям, которые уже сообщили о случившемся, не нужно делать это повторно. Эта информация поможет полиции отследить распространение мошеннических схем и их масштабы. Сообщения принимаются по адресу электронной почты kelmused@politsei.ee, также о случившемся можно сообщить в RIA по адресу cert@cert.ee.
