Mai exact, atacatorii isi pacalesc potentialele victime sa isi redirectioneze apelurile catre un robot-fantoma, aceasta in conditiile in care tot mai multe banci utilizeaza apelurile telefonice pentru a verifica legitimitatea tranzactiilor clientilor lor.
Schema descoperita de cercetatorii americani, denumita „Call Forwarding”, se bazeaza pe inducerea in eroare inclusiv a bancii si reduce considerabil posibilitatile de identificare si blocare a atacurilor. Schema are trei pasi.
In prima etapa, potentiala victima primeste un e-mail prin care este rugata sa apeleze un numar de telefon, de urgenta, pentru a-si confirma catre banca numarul personal de telefon, altfel risca sa ii fie suspendat contul. Odata numarul apelat, potentiala victima este indrumata sa apeleze o asa zisa legatura telefonica securizata cu banca, de unde un robot „confirma” numarul. Ceea ce se intampla de fapt este ca victima isi redirectioneaza toate apelurile telefonice pe care urmeaza sa le primeasca, catre un numar de telefon controlat de atacator.
Potentialul atac de phishing poate fi blocat in aceasta etapa prin simpla ignorare a mesajului: bancile nu solicita nimic prin e-mail clientilor. In aceasta etapa, victima practic si-a rerutat singura apelurile catre un numar necunoscut. Ar fi putut evita pericolul sunand la banca pentru a verifica autenticitatea „verificarii” bancii.
In etapa a doua, un al doilea e-mail solicita potentialei victime sa isi actualizeze datele confidentiale (contul bancar, codul unic personal etc), fie prin reply, fie prin accesarea unei pagini-fantoma.
Si in aceasta etapa, persoana vizata poate bloca atacul de phishing prin ignorarea solicitarii – actualizarea datelor nu se face, legal, decat de catre functionarul bancii, fata in fata cu clientul. In aceasta etapa, victima poate realiza ca apelurile ii sunt rerutate altundeva, daca nu ii mai suna telefonul, ca de obicei.
Daca potentiala victima decide totusi sa isi „actualizeze” datele, a intrat in cea de-a treia etapa a atacului si a pierdut: atacatorul ii va goli contul sau conturile in timp record si aici intervine noua metoda, cea telefonica, a „phisherilor”: daca banca lor suna pentru a le verifica tranzactiile neobisnuite, i se va raspunde ca totul este in ordine. In aceasta ultima etapa, victima isi pierde banii si nu stie nici cum si nici de ce.
Una din intrebarile asociate acestei noi scheme este cat ii trebuie unei persoane obisnuite sa realizeze ca nu-i mai suna telefonul si, apoi, ca toate apelurile sunt rerutate altundeva? Depinde de cat de mult ii suna de obicei telefonul.
Cat de relevanta poate fi aceasta strategie pentru Romania? Asa cum, in ultima perioada, atacurile de phishing s-au inmultit, este evident ca metodele de persuasiune si furt, primitive acum, se vor perfectiona si vor fi disponibile si in limba romana, spun majoritatea specialistilor autohtoni. Astfel, business-ul bancilor ar putea sa aiba de suferit si pe viitor de pe urma credulitatii sau neglijentei clientilor.