Atak polega na przekierowaniu numeru telefonu ofiary na numer przestępcy. Dzięki temu jest on w stanie sparować aplikację mobilną banku ze swoim urządzeniem.
Aby jednak było to możliwe, złodziej musi najpierw wejść w posiadanie naszych danych osobowych. Może je pozyskać, wystawiając fałszywe ogłoszenie o pracę, poprzez phishing czy chociażby nieuprawniony dostęp do konta e-mail. W przypadku wielu operatorów wystarczy imię i nazwisko, numer PESEL i nazwisko panieńskie matki.
Do sparowania aplikacji mobilnej mBanku z kontem ofiary niepotrzebny jest login i hasło. Wystarczy, że oszust zna PESEL i nazwisko panieńskie matki ofiary. Następnie musi odebrać połączenie, w trakcie którego podyktowany zostanie mu kod PIN. A skoro wcześniej włączył przekierowanie, nie jest to problemem.
W taki sposób możliwe jest wyczyszczenie konta ofiary, zlecając przelewy w ramach określonych limitów.
Jak bronić się przed takim atakiem?
Operator zawsze informuje o włączeniu przekierowania na inny numer. Należy zatem uważnie czytać wszystkie otrzymane komunikaty. mBank wysyła ponadto powiadomienia SMS z informacją o sparowaniu aplikacji mobilnej z kontem. Warto dodać, że przekierowaniu nie ulegają wiadomości SMS, dlatego ofiara w każdym momencie może je odczytać.
Jeżeli nie wykonywaliśmy takich czynności samodzielnie, należy niezwłocznie skontaktować się z obsługą banku i wyjaśnić całą sytuację. Należy też poinformować operatora sieci o nieautoryzowanym przekierowaniu numeru telefonu.
Źródło: mBank