À l’aide du menu vocal, les pirates ont obtenu des données sur les soldes des cartes d’autres personnes.

Les fraudeurs ont trouvé à l’avance des informations sur le solde du compte, afin de pouvoir ensuite utiliser ces données pour se faire passer pour un employé de banque.

La Banque centrale a révélé un nouveau stratagème de fraude qui permettait aux attaquants d’obtenir des données client via le menu vocal d’une banque russe afin de les utiliser ensuite pour une fraude par ingénierie sociale, rapporte RBC .

En remplaçant le numéro de téléphone par celui utilisé par le client, les attaquants appelaient le système de menu vocal interactif, appelaient les quatre derniers chiffres du numéro de carte bancaire et recevaient des informations sur le solde du compte du client.

Les attaquants ont ensuite utilisé ces informations pour gagner la confiance des clients par téléphone. Ils ont appelé les clients et ont reçu les données nécessaires pour un nouveau vol d’argent sur le compte. Comme ils donnaient le solde exact du compte, les gens croyaient qu’un employé de banque leur parlait.

Cependant, pour mener à bien ce stratagème, les escrocs ont besoin des quatre derniers chiffres d’une carte bancaire et d’un numéro de téléphone. Selon la Banque centrale, les numéros de téléphone et les quatre derniers chiffres des cartes auraient pu être obtenus par les attaquants à partir de la base de données du marché Joom, rendue publique fin août.

Comme l’a expliqué le représentant de la Banque centrale à RBC, une telle fraude est devenue possible du fait que l’une des banques, dont le nom n’est pas divulgué, n’a pas suivi les recommandations pour lutter contre la fraude mobile et protéger les clients contre l’accès non autorisé à leurs informations confidentielles. via IVR (système de menu vocal interactif) donné en 2019.