Loni v prosinci hackeři získali přístup do sítí britské služby TalkTalk a dostali se informací o uživatelích – jménům, adresám, telefonmím číslům a zákaznickým číslům ve službě TalkTalk.
Získané údaje obratem použili pro podvodné snahy, kde se s pomocí telefonní čísel a právě zákaznických čísel pokoušeli sociálním inženýrstvím vyvolat důvěru. Právě to mělo firmu přimět k hledání možných úniků a následnému zjištění prosincového narušení systémů. Uniklá data tehdy označili za “omezená” a “nikoliv citlivá” a objem za “malý, nicméně významný”. S těmi kterých se únik dat týkal poté prý spolupracojí a pomáhali jim. Společnost také ujišťovala, že mezi získanými informacemi nejsou žádné bankovní informace a únik se prý netýkal firemních zákazníků.
Právě bankovní informace a čísla kreditních karet měly být předmětem podvodných aktivit. Skutečnost, že Talk Talk bezpečnostní incident oznámil až tři měsíce poté co se stal je dostatečně alarmující, stejně jako termíny použité v rámci snah popsat význam incidentu – z nich lze spíše chápat, že únik byl závažnější a prohlášení se pouze snaží zmírnit případný dopad. Klasický přístup, který je ale velmi nebezpečný
Jak zmiňuje The Guardian v Fraud threat to millions of TalkTalk customers, v případě Talk Talk šlo až o čtyři miliony zákazníků – únik přitom měla umožnit smluvní třetí strana, která měla přístup k informacím. Guardian o případném úniku dat psal již v prosinci a předpokládalo se, že k němu mohlo dojít v některém ze zákaznických center v Indii. Reakcí Talk Talku se noviny dočkali v lednu a mělo jít pouze o zhruba stovku stížností zákazníků. Což opět ukazuje jak usilovně se operátor snažil věci zlehčit, případně jak neměli tušení o co jde.
Stáhněte si software, ověříme bezpečnost vašeho účtu
Od té doby ale počet zákazníků stěžujících si na telefonáty snažících se je podvést a využívajících konkrétní informace z Talk Talku várazně stoupl. Jedním ze schémat podvodu je i ten, že se útočníci vydávají za oddělení Talk Talku řešící podvody a zákazníkům sdělují, že zjistili pokusy hackerů snažících se dostat k jeho účtu přes jeho router. Přicházejí se znalosti detailů získaných z Talk Talku a oběť se snaží přesvědčit ke stažení software, které by jim mělo umožnit ověřit zabezpečení.
Součástí přesvědčovacího mechanismu je i to, že zákazník může získat 250 liber v podobě kompenzace za to, že byl hacknut. Stažený software přitom nedělá nic jiného, než zjištění banky a bankovního účtu oběti. K tomu je využíváno i ověření přes SMS, které se tváří jako oveření příjmu kompenzační platby.
Guardian v již zmíněném Fraud threat to millions of TalkTalk customers uvádí, že jedna z obětí místo 250 liber kompenzace zjistila, že z bankovního účtu ve skutečnosti zmizelo 2 815 liber. Při čtení postupu podvodného jednání se ale nedokážete zbavit přemýšlení nad tím, jak je vůbec možné, že lidé na něco takového ochotně přistoupí a někomu zcela neznámému umožní připravit je o peníze. Někomu navíc mluvícímu s jasným indickým přízvukem. Ve hře je navíc potvrzovací bankovní SMS na rozdílnou částku, kterou útočník vysvětluje tím, že je to v rupiích, proto je vyšší než oněch 250 liber.
Právě ověření přes potvrzovací SMS navíc v tomto konkrétním případě znamená, že banka oběti útoku odmítá penize vrátit zpět. Upozorńuje přitom na to, že v SMS muselo být jasně napsáno, že jde o platbu 2 815 liber na cizí účet.