В Эстонии уязвимость в электронных системах удостоверения личности Smart-ID и Mobile-ID привела к утечке персональных и финансовых данных граждан. Как сообщает издание Postimees, инцидент имел место в феврале нынешнего года.
Smart-ID используется гражданами Эстонии для доступа к банковским счетам, а через них – к общественным электронным сервисам. У электронной системы уплаты налогов e-Tax Board есть даже функция быстрого доступа к приложению. Для Smart-ID не требуется особая SIM-карта, а сам сервис не использует SMS-протоколы, поэтому им можно пользоваться в роуминге.
Приложение разработано и продается в Эстонии и за рубежом компанией SK ID Solutions, которая также разрабатывает конкурирующее приложение Mobile-ID для Управления полиции и пограничной охраны и отвечает за создание цифровых сертификатов для ID-карт.
Февральские атаки базировались на привычке эстонцев использовать Mobile-ID для доступа к услугам, не проверяя, кто запрашивает их PIN1 или PIN2, а также совпадают ли проверочные коды в электронном сервисе и на экране их устройств. В данном случае злоумышленники разослали жертвам SMS-сообщения якобы от одного из эстонских банков с просьбой обновить свою информацию. В сообщении содержалась ссылка на фишинговый сайт, дизайн которого был полностью скопирован с официального сайта банка.
Фишинговый сайт запрашивал авторизацию с помощью Mobile-ID, в результате чего у злоумышленников в руках оказались PIN1 и PIN2, а также личные идентификационные коды жертв. С помощью кодов преступники смогли от имени жертв создать поддельные учетные записи Smart-ID.