Lakialan Legal.io-yrityksen toimitusjohtaja Pieter Gunst kertoo twitterissä kohtaamastaan harvinaisen ovelasta pankkihuijauksesta.
– Huh. Minuun kohdistettiin juuri tähän mennessä uskottavin näkemäni tietojenkalasteluyritys. Näin se eteni, Gunst toteaa.
Ensimmäisessä vaiheessa pankkivirkailijaksi tekeytynyt soittaja tiedusteli, oliko toimitusjohtaja käyttänyt luottokorttiaan Miamissa. Gunst vastasi, ettei ollut.
– Selvä, olemme estäneet rahansiirron. Jotta voin varmistua siitä, että puhun Pieterin kanssa, voisitteko kertoa jäsennumeronne [käyttäjätunnuksen], soittaja sanoi.
Pieter Gunst antoi numeron, sillä väärinkäytöksiä ei voi toteuttaa pelkästään sen avulla. Soittaja totesi seuraavaksi lähettäneensä vahvistuskoodin Gunstin puhelimeen. Hän luki ääneen pankin numerosta tulleen tekstiviestin.
– Selvä. Seuraavaksi luettelen muita tilisiirtoja. Kertokaa, ovatko nämä teidän tekemiänne, ”pankkivirkailija” sanoi.
Veloitukset olivat aitoja, joten Pieter Gunst vastasi tunnistavansa tilitapahtumat.
– Kiitos! Haluaisimme nyt estää käyttäjätilisi pin-koodin, jotta saat huijaushälytyksen, kun sitä käytetään jälleen. Mikä on pin-koodisi?
– Pilailetko? Ei onnistu, Gunst vastasi.
– Selvä, mutta sitten emme voi sulkea korttiasi.
Gunst kertoo havahtuneensa huijausyritykseen ja soittaneensa pankin asiakaspalveluun. Tämän jälkeen kalastelun tapahtumaketju alkoi hahmottua.
Vaikka jäsennumero tai käyttäjätunnus on itsessään hyödytön, pystyi huijari aloittamaan sen avulla salasanan nollausprosessin pankin verkkosivuilla. Sen kautta Gunst myös sai pankilta tulleen tekstiviestin.
Huijarit pääsivät käsiksi tilitapahtumiin ja lisäsivät samalla oman toimintansa uskottavuutta uhrin silmissä. Rahansiirto olisi edellyttänyt vielä pin-koodia, mikä ei tällä kertaa onnistunut.
– Kaikki vaikutti aivan uskottavalta ennen ”kerro pin-koodisi”-osuutta. Englanti oli täydellistä. Oikeasta numerosta tullut pankin varmistuskoodi hämäsi minua. Pin-koodin kysyminen puhelimen välityksellä… se ei vakuuttanut, Pieter Gunst muistelee.
Toimitusjohtaja toteaa luoneensa kaikki salasanansa uudelleen, jättäneensä tapauksesta rikosilmoituksen ja korottaneensa tiliensä turva-asetuksia.
Oooof. Was just subjected to the most credible phishing attempt I've experienced to date. Here were the steps:
1) "Hi, this is your bank. There was an attempt to use your card in Miami, Florida. Was this you?"
Me: no.
— Pieter Gunst (@DigitalLawyer) October 7, 2019
1) say you are the bank
2) trick victim into disclosing username.
3) use password reset workflow that triggers text with code
4) get victim to read pin
5) reset password, account access achieved.
6) sometimes need additional credentials to get $$$ (card pin)— Pieter Gunst (@DigitalLawyer) October 8, 2019