Smart-ID turvaauk on mitmele inimesele toonud rahalist kahju

Petuskeem seisnes selles, et inimestele saadeti mobiiltelefoni tuntud panga nimelt sõnum, mis suunas näiliselt panga sisselogimisleheküljele. Seal suunati inimene õngitsuslehele mobiil-ID-ga sisse logima. Kui ohver oli sisestanud oma kasutajatunnuse, isikukoodi ja PIN 1, alustasid kurjategijad samal ajal uue Smart-ID konto loomist.

Inimeste tähelepanematust kasutades suunasid pahalased teda tegema järgmisi kahjulikke samme, näiteks sisestama PIN 2, et Smart-ID konto loomine taustal lõpetada. Niimoodi said kurjategijad luua uue Smart-ID konto ja logida ohvri andmetega ning tema teadmata sisse erinevatesse e-teenustesse, kus on kasutusel Smart-ID, sealhulgas internetipanka. RIA-le teadaolevalt tekitas see rahalist kahju mitmele inimesele.

"Kurjategijad kasutasid ära inimeste tähelepanematust. Nad sisestasid enda koodid harjumusest, veendumata selles, millele nad sisuliselt alla kirjutavad. PIN-koodide sisestamist ei tohi võtta kergekäeliselt, vaid tuleb alati tegutseda teadlikult. Tuleb hoolikalt vaadata teenusepakkuja kontrollkoodi ning kontrollida üle, kas tegemist on õige teenusega," ütles RIA intsidentide lahendamise osakonna (CERT-EE) juht Tõnu Tammer.

RIA alustas Smart-ID teenusepakkuja SK Solutionsi tegevuse suhtes järelevalvemenetlust, kuid ettevõtte juht juhtunut kriitiliseks ei pea.

SK Solutions juht Kalev Pihl ütles Geeniusele antud kommentaaris, et tegu on klassikalise õnnetusjuhtumiga, mille valguses ei plaanita Smart-ID registreerimisel mingeid ümberkorraldusi teha.

Küberturvalisuse eksperdi Tiit Hallase sõnul aga on juhtunu tunduvalt kriitilisem, vahendab Geenius. "See on üks tõsisemaid asju, mida ma viimasel ajal olen näinud," ütles LHV panga infoturbejuht Hallas. "Kui võrrelda ID-kaardi juhtumiga, siis praktilise ründe koha pealt on see oluliselt kriitilisem teema."