iOS-программист из США лишился денег на своем аккаунте PayPal из-за того, что в колл-центре AT&T нарушили протокол и внесли изменения в учётную запись пользователя, должным образом не удостоверив личность абонента, сообщает The Register.
По данным издания, мошенник дозвонился в сервисную службу мобильного оператора, выдавая себя за владельца номера, и стал настойчиво просить сотрудников AT&T привязать его телефон к новой SIM-карте. Согласно процедуре, пользователь должен был назвать специальный проверочный код, чего злоумышленник сделать не мог. По этой причине служба поддержки несколько раз отказывала звонившему, но тот не оставлял попыток.
В конечном итоге кто-то из персонала AT&T пренебрег правилами и перепривязал телефон к новой SIM-карте, в результате чего злоумышленник смог получать СМС на принадлежащем ему телефоне.
Когда настоящий владелец Джастин Уильямс заметил, что у него на смартфоне пропала связь, он не сразу заподозрил неладное и подумал, что это проблемы у оператора или какой-то сбой в операционной системе его устройства. Однако добравшись до своего домашнего компьютера, мужчина проверил электронную почту и увидел уведомление о том, что с его счета PayPal списана сумма в 200 австралийских долларов.
Мужчина догадался, что кто-то получил доступ к его телефонному номеру и сразу же связался с AT&T. Там подтвердили его опасения и сказали, что кто-то действительно весь день звонил в службу поддержки, пока не добился своего и не перевел номер на другую SIM-карту, не назвав проверочного кода.
Джастин Уильямс добился, чтобы оператор заблокировал SIM-карту, активированную по просьбе мошенника. Также мужчина обратился в PayPal с заявлением об отмене перевода денег, но пока не получил ответа.
По словам Джастин Уильямса, он на своем печальном опыте убедился, что из-за пресловутого человеческого фактора уберечь от взлома аккаунта неспособна даже двухфакторная аутентификация с помощью SMS. В AT&T мужчине пообещали провести внутреннюю проверку в связи с произошедшим. На запрос издания прокомментировать инцидент мобильный оператор ответил отказом.