Государственный департамент информационных систем (RIA) представил предоставляющему услугу Smart-ID SK ID Solutions (SK) предложения о том, как лучше предотвратить создание учетных записей Smart-ID злоумышленниками. Всего были созданы десятки учетных записей Smart-ID для людей без их ведома, и в некоторых случаях также были потеряны деньги.
Поскольку через Smart-ID можно войти от лица конкретного человека в банк, на предусмотренный для обмена информацией между гражданином и государством портал eesti.ee и в другие электронные системы, для RIA было важно сделать ходатайство о создании учетной записи Smart-ID более понятным и избежать ситуации, когда преступник создает учетную запись человеку без его ведома.
Основное предложение касалось того, как лучше предотвратить обман людей с целью получения данных. «Наше первоначальное предложение предусматривало создание отдельного канала или электронной системы, которую создатель учетной записи Smart-ID должен посетить для активации услуги. Поскольку SK разработал собственное решение, которое используется с 1 июля, в настоящее время мы не требуем создания отдельной электронной системы. Но если окажется, что способ SK недостаточно эффективен, придется провести новый анализ рисков и реализовать первоначальное решение RIA в виде альтернативной электронной системы», – сказал Уку Сяреканно, глава службы кибербезопасности RIA.
С 1 июля SK ID Solutions было внесено изменение, которое делает регистрацию учетной записи Smart-ID более понятной. Теперь на устройство, связанное с mobiil-ID человека, будет отправляться отдельное уведомление и код, который необходимо дополнительно ввести при создании учетной записи Smart-ID. RIA также предложил SK провести анализ безопасности создания учетных записей и составить план снижения рисков, а также предоставить людям дополнительную информацию о создании учетной записи Smart-ID через существующие контактные данные. Кроме того, новые меры безопасности должны быть оценены в следующем рапорте об оценке соответствия.
Основная проблема схемы Smart-ID заключается в том, что человек, чьи данные находятся в руках преступника, может не понимать, что он/она предоставляет свою цифровую подпись для создания учетной записи Smart-ID. «Процесс активации должен быть более понятным, и человек должен понимать, что создается учетная запись Smart-ID. Преступники использовали фальшивые веб-страницы и создавали у людей впечатление, что цифровые подписи необходимы для обновления банковских данных. В действительности же в это время начиналось создание учетной записи Smart-ID», – сказал Сяреканно.
С февраля по июнь распространялись т.н. фишинговые письма, с помощью которых преступники получали PIN-коды от людей и создавали им без их ведома учетные записи Smart-ID. Схема мошенничества заключалась в том, что людям отправлялось на мобильный телефон сообщение от имени известного банка, которое направляло на фальшивую страницу входа в банк. Там пользователя направляли на фишинговую страницу для входа через mobiil-ID. После того как жертва вводила свое имя пользователя, личный код и PIN 1, преступники одновременно начинали создавать новую учетную запись Smart-ID. Используя невнимательность людей, их направляли предпринять следующие необходимые шаги, например, ввести PIN 2, чтобы довести до конца создание учетной записи Smart-ID в фоновом режиме. Таким образом, преступники могли создать новую учетную запись Smart-ID и используя данные жертвы без ее ведома войти в различные электронные службы, использующие Smart-ID, включая интернет-банк.
Завершение производства по надзору RIA не влияет на уголовное дело, возбужденное полицией и прокуратурой с целью выявления лиц, стоящих за схемой мошенничества.
Сейко Куйк
Пресс-секретарь RIA
