Kiberjinoyatchilar estoniyaliklarning shaxsiy guvohnomalarini qalbakilashtirishga muvaffaq bo‘lishdi
Smart-ID va Mobile-ID tizimlarining estoniyalik foydalanuvchilari fisherlar qurboniga aylandi.
Estoniyada Smart-ID va Mobile-ID elektron identifikatsiya tizimlaridagi zaiflik fuqarolarning shaxsiy va moliyaviy maʼlumotlarining sizib chiqishiga olib keldi. Postimees nashrining yozishicha, voqea shu yilning fevral oyida sodir bo‘lgan. Smart-IDdan Estoniya fuqarolari o‘zlarining bank hisob raqamlariga va ular orqali davlat elektron xizmatlariga kirish uchun foydalanadilar. “E-Soliq kengashi” elektron soliq toʻlovi tizimi hatto tezkor kirish funksiyasiga ham ega. Smart-ID maxsus SIM-kartani talab qilmaydi va xizmatning o’zi SMS protokollaridan foydalanmaydi, bu esa uni rouming uchun mos qiladi.
Ilova Estoniya va xorijda SK ID Solutions tomonidan ishlab chiqilib sotiladi; shu kompaniya Politsiya va Chegarani Muhofaza Qilish Boshqarmasi uchun raqobatchi Mobile-ID ilovasini ham ishlab chiqadi va ID kartalar uchun raqamli sertifikatlar yaratishga mas’uldir.
Fevral oyidagi hujumlar estoniyaliklarning PIN1 yoki PIN2 kodini kim so’rayotganini, shuningdek elektron xizmatdagi tasdiqlash kodlari ularning qurilma ekranidagilariga mos kelishini tekshirmasdan Mobile-ID orqali xizmatlardan foydalanish odatiga asoslangan edi. Bu holatda hujumchilar jabrlanuvchilarga Estoniyadagi banklardan biridan kelgani ko’rsatilgan SMS xabarlarini yuborib, ulardan ma’lumotlarini yangilashni so’rashdi. Xabarda bankning rasmiy veb-saytidan to’liq nusxa olingan phish-saytga havola bor edi.
Phishing sayti Mobile-ID orqali avtorizatsiya so’radi, natijada hujumchilar PIN1 va PIN2 hamda jabrlanuvchilarning shaxsiy identifikatsiya kodlarini qo’lga kiritishdi. Ushbu kodlardan foydalangan holda jinoyatchilar jabrlanuvchilar nomiga soxta Smart-ID hisoblarini yaratishdi.
