Мошенники могут пытаться получить ПИН-коды и подписи пользователей mobiil-ID
На экране смартфона исполнительного директора одной фирмы Тармо (редакции известно полное имя) каждые пару месяцев появляется сообщение услуги mobiil-ID из неизвестного источника, в котором Тармо просят подписать с помощью дигитальной подписи документ. Что это за документ, из сообщения не ясно, пишет газета Eesti Päevaleht. Если пользователь не являлся инициатором подписания документ, то вводить PIN-код в телефон нельзя.
Так как это происходит регулярно, Тармо подозревает, что это - не случайная ошибка отправителя при введении номера получателя, а речь идет о нацеленном мошенничестве, целью которого является получить пароли доверчивого пользователя услуги mobiil-ID и использовать их против него. Ведь документ, который предлагается подписать, может содержать в себе какие угодно полномочия или разрешения; получив мошенническим путем подпись, третье лицо может нанести "подписавшемуся" большой ущерб.
Тармо еще не обращался с проблемой в полицию или в Департамент государственных инфосистем, так как "игнорировать эти сообщения проще", но он хочет напомнить другим людям, что за тем, где и как вы себя идентифицируете, нужно тщательно следить.
Вполне возможно, что цель этой деятельности была тщательно подобрана, так как номер телефона и личный код руководителя фирмы являются открытой информацией, их легко найти, а потенциальный ущерб жертве и выгода для хакера могут оказаться крупнее, чем если искать простых людей. К тому же выбор отдельных целей привлекает меньше внимания, чем массовые рассылки.
Эксперт по информационной безопасности Департамента государственных инфосистем Трийн Нигуль рекомендует пользователям, которые получили сообщение для авторизации или подписи с помощью mobiil-ID, инициаторами которых они сами не были, в любом случае углубиться в суть сообщения, так как в случае полицейского расследования важно знать, для подписания какого документа или для авторизации в какой службе запрашивается PIN-код. И естественно, код вводить не следует.
Если в сообщении имеется название фирмы, предлагающей услугу, то о попытке получить подпись или авторизацию следует также оповестить владельца услуги.