Wydawać by się mogło, że osoba, która na co dzień zajmuje się cyberbezpieczeństwem powinna najlepiej zdawać sobie sprawę z tego, jakich mechanizmów używają oszuści. Okazuje się jednak, że będąc w stresie nawet specjaliści mogą stracić czujność i stać się ofiarą przestępców – pomijając już fakt, że Ci są coraz sprytniejsi.
Bohaterką tej historii jest Kseniya Turova, pracownica firmy Kaspersky, która całą sytuację opisała na blogu firmy. Kobieta będąc w jednym z barów podczas mundialu zorientowała się, że ktoś ukradł jej telefon, a dokładniej rzecz ujmując – iPhone’a X. W teorii był on dla złodzieja bezużyteczny ze względu na zabezpieczenie kodem PIN, jednak kobieta postanowiła skorzystać z funkcji „Znajdź mój telefon”, dzięki której na ekranie urządzenia wyświetliła wiadomość z numerem telefonu, pod jakim można było się z nią skontaktować. Liczyła na to, że urządzenie uda się odzyskać.
Tutaj zaczyna się historia właściwa – wydawało się bowiem, że zabieg dał efekt, po jakimś czasie na podany przez nią numer przyszła taka wiadomość:
Powiadomienie iCloud-FMI: Twój iPhone X 64GB Space Gray został zlokalizowany 1 lipca 2018 r. o godz. 17:54. Numer karty SIM został zidentyfikowany. Kliknij łącze, aby poznać geolokalizację iPhone’a.
Najnowsza lokalizacja iPhone’a oraz informacje o właścicielu zainstalowanej w nim karty SIM będą dostępne w ciągu 24 godzin. Copyright © 2018 Apple Inc.
Jak ofiara ataku sama zauważyła po czasie, w wiadomości było kilka podejrzanych elementów. Jak chociażby to, że dostarczono ją SMS-em, a nie za pośrednictwem aplikacji. To jednak wnioski wyciągnięte „na chłodno” – wtedy Kseniya Turova chciała zrobić wszystko, żeby odzyskać telefon i zgodnie z instrukcją kliknęła w zamieszczony link.
Oczom kobiety ukazał się ekran logowania do usługi iCloud. Targana emocjami, z jednej strony zdenerwowana utratą swojego telefonu, z drugiej ciesząca się na myśl o tym, że być może uda się go znaleźć, nie spodziewała się, że dopiero teraz pada ofiarą oszustwa, o którym mowa w tym wpisie. Zdziwiła się dopiero wtedy, kiedy po wpisaniu poprawnych danych, zobaczyła komunikat o niepoprawnym haśle. Postanowiła więc zalogować się „normalnie” na swoje konto. Wpisując te same dane nie napotkała żadnego problemu. Zobaczyła za to, że utracony telefon zniknął z listy jej urządzeń. Wtedy sytuacja stała się jasna – poprzez kliknięcie w łącze, pracownica Kaspersky Lab nieświadomie dała oszustom dostęp do swojego konta, dzięki czemu mogli oni przejąć kontrolę nad telefonem.
Cóż, można stwierdzić, że takie postępowanie jest niegodne osoby, która na co dzień zajmuje się tego typu sprawami i ostrzega innych, jak nie paść ofiarą oszustwa. Ja widzę tutaj jednak potwierdzenie tego, iż działając w stresie, logiczne myślenie odsuwamy na dalszy plan. Niezależnie od wykonywanego zawodu.
Niech ta historia będzie więc dla nas wszystkich przestrogą. I kolejnym dowodem na to, że weryfikacja dwuetapowa może być bardzo pomocna- gdyby kobieta z niej korzystała, cały proceder nie byłby dla oszusta taki łatwy.
źródło: Kaspersky Blog dzięki WP Tech
grafika główna: Pexels