Britský fintech Revolut řeší následky hackerského útoku, který neoprávněným osobám umožnil přístup k osobním údajům desítek tisíc klientů. K incidentu došlo před týdnem, v neděli večer, a byl popsán jako „vysoce cílený“, informuje web Bleeping Computer.
Tiskový mluvčí společnosti v prohlášení uvedl, že útočníci měli „po krátkou dobu“ přístup k údajům pouze 0,16 % jejích zákazníků. „Útok jsme okamžitě identifikovali a izolovali, abychom účinně omezili jeho dopad, a kontaktovali jsme postižené zákazníky. Zákazníci, kteří neobdrželi e-mail, nebyli ovlivněni,“ upřesnil.
Útok na Revolut
Podle informací poskytnutých Státnímu inspektorátu pro ochranu osobních údajů v Litvě, kde má Revolut bankovní licenci, bylo útokem zasaženo 50 150 zákazníků, z toho 20 687 má uvedené bydliště v rámci Evropského hospodářského prostoru.
Podrobnosti o tom, jak útočník získal přístup do databáze s daty klientů, nebyly zveřejněny. Z náznaků to ale vypadá, že využil techniky sociálního inženýrství. Litevský úřad pro ochranu osobních údajů uvádí, že mezi pravděpodobně odhalené informace patří:
- E-mailové adresy
- Celá jména
- Poštovní adresy
- Telefonní čísla
- Omezené údaje o platebních kartách
- Údaje o účtu
Revolut ve zprávách rozesílaných postiženým zákazníkům uvádí, že potenciálně ohrožené údaje se u různých klientů liší. Alespoň částečně dobrou zprávou je, že se útočníkům nepodařilo získat údaje o platebních kartách, PINech ani heslech. Revolut dále zdůrazňuje, že útočník nezískal přístup k finančním prostředkům klientů.
Někteří zákazníci Revolutu si v době incidentu také všimli, že chat podpory zobrazuje návštěvníkům nevhodné výrazy (např. „f**k“). I když není jasné, zda tento incident souvisí s útokem, může to naznačovat, že hackeři mohli mít přístup k širšímu spektru používaných systémů. Banka nevysvětlila, jak a proč uživatelé tyto zprávy obdrželi, ale omluvila se zákazníkům, kteří je nahlásili.
Pozor na phishing
Získané údaje lze využít k cílenému phishingu. Když má útočník informace o zákaznících, může se například v e-mailech vydávat za banku a snažit se je přimět k zadání přihlašovacích údajů na podvodném webu. Klienti by tedy měli být „mimořádně obezřetní“ v případě jakýchkoli zpráv požadujících osobní údaje nebo hesla. Revolut zdůraznil, že nebude zákazníkům kvůli incidentu volat a nikdy nebude požadovat jejich citlivé údaje.
Netrvalo to dlouho a původně jen hypotetická možnost se stala skutečností. Jako první zaznamenala platforma UCL „Report Smishing“ probíhající phishingovou kampaň, která se přes SMS zprávy snaží oklamat majitele účtů Revolut informací, že jejich platební karta byla zmrazena, aby se zabránilo podvodům.
Pokud oběť naletí, klepne na odkaz a zkusí požádat o vydání nové karty, je nasměrována na podvodný web, na kterém jsou z ní ve čtyřech krocích vylákány osobní údaje. Útočníci tak získají přihlašovací telefonní číslo, heslo, jméno, e-mailovou adresu a informace o platební kartě, včetně CVV kódu. Ty pak mohou zneužít například k nákupům na internetu.
