Czeski przekręt na hasło „1234”

Skazani bynajmniej nie byli hakerami, tylko zwykłymi czeskimi bezrobotnymi, choć z kilkoma wyrokami na koncie. Wskutek ich działania ucierpiało co najmniej kilkudziesięciu klientów czeskiej sieci Vodafone. Kluczem do powodzenia procederu okazała się konfiguracja strony logowania w sklepie online.

W polu hasła znalazła się sugestia, że może być to wyłącznie liczba o długości od 4 do 6 cyfr. Loginem był zaś numer telefonu – o przewidywalnej w przypadku danego operatora konstrukcji, w tym zapewne prefiksie. Przestępcy postawili więc na jedno hasło „1234” i z jego użyciem próbowali kolejno logować się różnymi numerami telefonów. Mechanizmy blokowania takich prób albo w ogóle działały lub też nie były prawidłowo zaprojektowane, gdyż bohaterowie tej historii dostali się na co najmniej kilkadziesiąt kont użytkowników.

Po zalogowaniu mogli zamawiać dodatkowe karty SIM, które odbierali w salonach obsługi klienta posługując się tylko numerem telefonu i czterocyfrowym hasłem. W dalszych krokach używali wyłudzonych kart do przelewania pieniędzy na swoje konta u bukmacherów za pomocą popularnych w Czechach usług płatności mobilnych (SMS premium). Przelanymi środkami obstawiali zakłady, w ten sposób „piorąc” skradzione pieniądze. Od kwietnia do października 2017 udało im się w ten sposób wykraść kwotę wynoszącą ponad 100 000 PLN.

W tej historii ciekawy jest jeszcze wątek Vodafone, gdyż firma odrzuciła reklamacje okradzionych klientów twierdząc, że sami są sobie winni, skoro ustawili tak słabe hasło dostępu. Jednak niektórzy klienci twierdzą, że nie tylko sami nigdy nie ustawiali takiego hasła, jak też nawet nie wiedzieli, że sklep online w ogóle istnieje i oferuje takie możliwości. Vodafone podkreśla, że informował klientów o konieczności zmiany zbyt prostego hasła, lecz komunikował to na stronie, na którą ci nie zaglądali – bo nie wiedzieli nawet, że istnieje.