Жительница Львова сообщила, что мошенники украли ее цифровую личность и набрали на ее имя кредитов. Узнала же она об этом от приложения Дія – когда получила пуш-уведомление о том, что должна выплатить несколько тысяч гривен по кредитам. Представители Дії объяснили, что аферисты не могли воспользоваться электронными документами в целях обмана, а свою схему провернули с помощью подмены SIM-карты.
У себя в Facebook женщина рассказала, что 6 января ее телефон был деактивирован, после чего в Дію ей начали приходить запросы от Украинского бюро кредитных историй касательно ее кредитов. После того как она восстановила телефон, с ней связались представители компании, дающие быстрые кредиты, и сообщили, что на ее имя открыт кредит на сумму 1500 грн.
"На следующий день мне пришли сообщения о том, что на мое имя был оформлен кредит. Причем в нескольких "предприятиях", – рассказала женщина.
Параллельно жертва мошенников узнала у своего мобильного оператора – "Киевстара", – о том, что ее SIM-карта была перевыпущена. Причем сделано это было по всем правилам компании (см. позицию "Киевстара" ниже). Это привело к тому, что все данные женщины, привязанные к этой "симке", оказались в руках у мошенников.
"По факту сумма моего кредита за то время в первой компании, сообщившей о нем, составляла уже 11 200 грн. По состоянию на данный момент кто-то от моего имени набрал солидную сумму по всем возможным "предприятиям", – сообщила она.
Как работает схема
Расследование по факту мошенничества уже начала Киберполиция. Она установит точные обстоятельства произошедшего. Однако уже сейчас можно сделать предварительные выводы о действиях аферистов, сообщили OBOZREVATEL в пресс-службе сервиса.
В Дії рассказали о такой последовательности действий мошенников:
Аферисты перевыпустили SIM-карту с номером жертвы. "Эта карта не была привязана к паспорту, но все равно к мобильному оператору возникает много вопросов по несоблюдению процедуры восстановления номера", – отметили в Дії.
Это позволило мошенникам получить доступ к мобильному банкингу и оформить микрокредиты в нескольких учреждениях.
Также злоумышленники пытались повысить кредитный лимит в одном из банков, но эта процедура не удалась, а средства были заблокированы.
"Ни в одном из этих процессов не было и даже теоретически не могла быть задействована Дія, – уверяют в пресс-службе. – Никаких действий с приложением и документами потерпевшей злоумышленники не совершили и не могли совершить даже теоретически... Для того, чтобы оформить кредит с цифровым документом в приложении, нужна цифровая подпись – это технология, которая в режиме реального времени сравнивает биометрию лица с фотографией в реестре. Для шеринга документов также требуется Дія.Підпис, которую невозможно подделать без биометрии лица".
Вместе с тем преступники оставили после себя много "электронных следов". В частности, через скомпрометированный BankID злоумышленник авторизовался в Дії, что было сразу зафиксировано в приложении в разделе "активные сессии".
"Это инструмент, который усиливает безопасность приложения, где можно управлять всеми вашими активными сессиями и завершить все или любую из них по желанию. Также в этом разделе можно увидеть, когда подключено устройство, и какие документы были подписаны в рамках его сессии", – объяснили в Дії.
Там также отметили, что в этом случае Дія помогла жертве быстро узнать о ситуации. Ведь если бы оповещения не было, девушка не смогла бы оперативно отреагировать на действия мошенников: "Чаще всего воры просто оформляют кредиты, а человек о них узнает уже через определенное время, когда ему начинают звонить коллекторы".
"Киевстар" обеспокоен
В компании-мобильном операторе "Киевстар" случай тоже признают "мобильным мошенническом". Представители компании заявили OBOZREVATEL, что изучили обстоятельства произошедшего и выяснили, что:
злоумышленник обратился в один из магазинов мобильной связи за услугой замены анонимной (т.е. не привязанной к номеру телефона) SIM-карты;
аферист предоставил специалисту "Киевстара" всю необходимую информацию о пользовании номером телефона, как того требуют инструкции;
у сотрудника салона связи не было оснований отказать в замене SIM-карты.
При этом в компании рассчитывают, что в случае детально разберутся правоохранители. Им обещают предоставить все необходимые данные.
"Обращаем внимание абонентов, пользующихся мобильной связью анонимно (обезличенно), что они могут пройти процедуру идентификации и зарегистрировать пользующиеся на свои паспортные данные номера телефонов. Или перейти на сервис по договору", – рекомендуют в компании.
Также абонентам рекомендуют не сообщать свои персональные данные, а также пароли для входа в приложение "Мой Киевстар". Это, как и привязка номера к паспорту, уменьшает риск незаконного завладения SIM-картой.
Что говорят эксперты по кибербезопасности
Эксперт по кибербезопасности Андрей Баранович, комментируя случившееся изданию "Фокус", подтвердил, что мошенники, скорее всего, прибегли к так называемому SIM-свопингу. Т.е. подмене SIM-карты.
"Мошенники узнали номер телефона женщины, а затем обратились к мобильному оператору, выдав себя за нее, и попросили перевыпустить SIM-карту. Это дало им возможность получить доступ к кодам безопасности и всем данным, привязанным к SIM-карте жертвы. Ведь когда SIM-карта перевыпущена, то у жертвы номер блокируется, а у мошенников – активируется", – рассказал эксперт.
При этом он подчеркнул, что существует множество способов узнать, что конкретный номер телефона принадлежит конкретному человеку. К примеру, можно:
получить доступ к телефонной книге тех людей, которым она часто звонит;
заставить человека позвонить по определенному номеру с помощью методов социнженерии;
оформить "липовую" доверенность от имени жертвы;
подкупить сотрудников отделений мобильных операторов.
Также по его мнению, мошенники воспользовались приложением Дія для того, чтобы открыть счет в "левом" банке по имени жертвы. И принимать на него кредиты от его имени.
Другой эксперт по кибербезопасности Константин Корсун, считает, что безопасность Дії сводится к безопасности SIM-карты. "В основе системы защиты Дії находится BankID, а BankID основан на номере мобильного. Все это слеплено в единую систему", – написал он в своем Facebook.
В свою очередь еще один эксперт по кибербезопасности, а еще – народный депутат от "Слуги народа" Александр Федиенко под постом Корсуна отметил: вины Дії в ней нет. "Угнали финномер. Угнали банковскую карту. Где тут Дія в схеме мошенничества?" – спрашивает он.
При этом Федиенко подчеркнул, что главными виновниками случившегося являются компании, предоставляющие быстрые кредиты. Поскольку они выдали деньги, не удостоверившись в личности их получателя.
Ранее OBOZREVATEL сообщал, что комитет по цифровизации Верховной Рады разрабатывает законопроект, который обяжет SIM-карты, к которым привязаны банковские карты, оформлять на паспорт. Это позволит защититься от мошенников, которые перевыпускают чужие SIM-карты.
Обращение коллектива OBOZREVATEL