W czerwcu pewien Australijczyk otrzymał telefon od swojego banku, informujący go o zakończeniu wypłaty 45 000$ z jego konta. Mocno zdziwiony potomek krokodyla Dundee zadziwił się przeogromnie, gdyż wierzył, iż korzystając nie tylko z hasła do bankowości elektronicznej ale także dodatkowych kodów SMS, będzie bezpieczny. Jak cyberprzestępcy oszukali system?
Zainfekowanie systemu operacyjnego ofiary to już dziś chleb powszedni, w ten sposób uzyskali dostęp do loginów i haseł do systemu bankowego. Jednak w celu uzyskania dostępu do kodów SMS posłużyli się nową i dość ciekawą techniką. Nie infekowali telefonu złośliwym oprogramowaniem jak to robił pewien wariant trojana ZeuS ale wykorzystali proceduralne podatności w systemie telefonii komórkowej. W pierwszej fazie uzyskali wszelkie przydatne informacje na temat ofiary – dzwoniąc do biura gdzie pracował (podając się za urząd podatkowy) oraz do jego córki. Następnie z uzyskanych informacji, przygotowali wniosek do operatora sieci komórkowej właściciela firmy o przeniesienie numeru do innego operatora. Po przekonaniu operatorów o legalności przeniesienia, wysłali do właściciela telefonu SMS informujący o przejściowych problemach w sieci komórkowej. Po przeniesieniu numeru, wykorzystali uzyskane loginy i hasła do systemu bankowego i wyprowadzili 45 tysięcy dolarów z konta zdziwionego biznesmena :] Na końcu przenieśli numer do macierzystego operatora, by dłużej pozostać w cieniu.