Neskatoties uz ažiotāžu un apgalvojumiem, ka “Smart-ID” esot ievainojams vai uzlauzts, Latvijas informācijas tehnoloģiju drošības incidentu novēršanas institūcijas “CERT.LV” eksperts Gints Mālkalnietis uzskata, ka notikušais ir cilvēku apmānīšana, tiesa gan, izmantojot ļaundabīgu tehnoloģiju, kas neskāra pašu “Smart ID”. Kā skaidroja G. Mālkalnietis, naudas izkrāpšanas mēģinājumos lietots paņēmiens “ļaunais vīriņš pa vidu” (man in the middle). Banku klientu apmeklējumam tika radīta tīmekļvietne (kuru krāpnieki e-pastā piedāvāja), kura izmanto “Smart-ID” saikni ar banku, pat nepiekļūstot šīs lietotnes kodiem. No bankas puses izskatās, ka klients pieslēdzas savam kontam, izmantojot savu PIN kodu (ar kuru atbild uz lietotnes radīto četru ciparu kodu) un tad autorizē kādu (kā izrādās, krāpniecisku) naudas pārskaitījumu ar savu otru PIN kodu, atbildot uz otru lietotnē redzamo kodu.
Paļaujas uz cilvēku lētticību un neuzmanību
Šādu viltus mājaslapas maketu ar datu tālāknodošanas funkciju krāpnieki parasti iegūst interneta t.s. tumšajos kaktos (Dark Net), kur var iekļūt tikai ar īpašiem pārlūkiem un nopirkt ne tikai krāpnieku aprīkojumu, bet arī zagtu kredītkaršu numurus, dažādu legālu pakalpojumu lietotāju paroles (piemēram, lai uz cita rēķina skatītos filmas), kā arī ieročus un narkotikas.
G. Mālkalnietis uzsvēra, ka ar “Smart-ID” saistītā shēma neizmanto hakeru trikus pret pašu lietotni, bet paļaujas uz cilvēku lētticību un neuzmanību. Lai gan krāpnieku izsūtītās it kā banku e-pasta vēstules izskatās ļoti ticamas, tajās norādītā it kā bankas interneta adrese var nedaudz atšķirties no īstās bankas adreses, un tikai vērīgs lietotājs to ievērotu.
Savukārt piemānītam klientam caur viltus bankas lapu ir piedāvāts piedalīties kādā testā vai simulācijā, kurā it kā jāveic pārskaitījumi, apgalvojot, ka nekas nenotikšot un klienta nauda ir drošībā. Patiesībā ar šo paņēmienu “Igaunijā ir sekmīgi izkrāpta nauda dažiem cilvēkiem, Latvijā nevienam. Daži cilvēki ir atvēruši lapu, bet tad aizdomājušies”, teica G. Mālkalnietis.
Klienti necieta
Runa ir par “Swedbank” un “SEB banku”, kuras abas mudinājušas klientus neizmantot kodu kartes un to vietā izvēlēties “Smart-ID”, paļaujoties uz to, ka vairumam ekonomiski aktīvo klientu ir savs viedtālrunis vai mobilo sakaru tīklam pieslēgta planšete.
“Swedbank” mediju attiecību vadītājs Jānis Krops informēja, ka bankas “klienti šajā krāpnieku mēģinājumā iegūt datus necieta. Iespējams, iemesls tam ir nekavējoši izplatītais brīdinājums par krāpnieku mēģinājumiem kaimiņzemē”. Viņš paskaidroja, ka “iemesls bija ziņa no Lietuvas, ka kāds “Swedbank” vārdā aicina pārskaitīt naudu uz svešiem kontiem”.
J. Krops nenoliedza, ka jauni internetbankas piekļuves veidi rada jaunas iespējas krāpniekiem, taču uzsvēra, ka, veicot pāreju no kodu kartēm uz “Smart-ID”, banka esot plaši informējusi klientus, ka arī turpmāk jāsargā savi piekļuves dati, jāuzmanās un jāziņo par aizdomīgām darbībām internetā.
“Ņemot vērā, ka vienmēr ir bijušas aktivitātes, kad kāds vēlas izzināt klientu datus krāpnieciskiem mērķiem, “Swedbank” regulāri izplata brīdinājumus klientiem būt atbildīgiem un rūpēties par savu datu drošību. Šobrīd, kad aktuāla ir klientu pārvirzīšana no kodu karšu lietošanas uz “Smart-ID”, datu sargāšana ir tikpat svarīga kā iepriekš,” viņš teica.
J. Krops apgalvoja, ka “Smart-ID” salīdzinājumā ar kodu karti ir krietni drošāks risinājums, kam būtu vēl vairāk jāsamazina krāpšanas gadījumu skaits. Kodu karšu gadījumā saglabājas risks, ka, nemainoties internetbankas pieejas kodiem, tos kāds var iegūt savā rīcībā. Turklāt mobilie telefoni ir mazāk pakļauti uzbrukumiem nekā ar kodu karti izmantojamie datori.
“Smart-ID” lietotne nav hakeru skarta
Krāpnieku interešu lokā esot bijusi arī “SEB banka”, kuras mājaslapas augšējā daļā jau vairākas dienas marta vidū bija redzams brīdinājums par viltus e-pasta vēstulēm it kā no bankas. Kā skaidroja “SEB bankas” korporatīvās komunikācijas speciālists Mārtiņš Panke, “pagājušajā nedēļā (25. februāris–1. marts) pieredzējām masīvu pikšķerēšanas kampaņu, kuras mērķis bija iegūt “SEB bankas” klientu datus, lai piekļūtu to internetbankai un izkrāptu naudas līdzekļus. Pateicoties tam, ka izdevās savlaicīgi identificēt šīs kampaņas sākumu, kā arī operatīvajai sadarbībai ar “CERT.LV”, kas bloķēja krāpnieku izmantotās adreses, mūsu klienti nav cietuši. Vairāku gadu laikā šis ir pirmais šāda veida krāpšanas mēģinājums”.
Par pikšķerēšanu sauc komunikāciju e-pastā vai ar čata rīkiem ar mērķi no kāda izvilināt datus krāpšanas vai izspiegošanas nolūkos.
G. Mālkalnietis teica, ka nav pazīmju, ka pati “Smart-ID” lietotne būtu hakeru skarta un krāpnieciskas darbības veiktas, apmānot cilvēkus, lai tie pārraida savus datus caur viltus mājaslapu, bankai “noticot”, ka darbības ir autorizētas, bet krāpniekiem neredzot pašu datu apmaiņas saturu starp “Smart-ID” un banku. Ikdienā to var aptuveni salīdzināt ar viltus zvanu it kā no nama saimnieka, lai neaizslēdz dzīvokļa durvis, jo nākšot “santehniķis”. Zaglis tad var brīvi rīkoties, nelietojot dzīvokļa atslēgas.
