Мешканка Львова повідомила, що шахраї вкрали її цифрову особистість та набрали на її ім'я кредитів. Дізналася ж вона про це від застосунку Дія – коли отримала пуш-повідомлення про те, що має виплатити кілька тисяч гривень за кредитами. Представники Дії пояснили, що аферисти не могли скористатися електронними документами для обману, а свою схему провернули за допомогою заміни SIM-карти.
У себе у Facebook жінка розповіла, що 6 січня її телефон був деактивований, після чого до Дії їй почали надходити запити від Українського бюро кредитних історій щодо її кредитної історії. Після того, як вона відновила телефон, з нею зв'язалися представники компанії, що надає швидкі кредити, і повідомили, що на її ім'я відкрито кредит на суму 1 500 грн.
"Наступного дня мені прийшли повідомлення про те, що на моє ім'я був оформлений кредит. При чому, в кількох "підприємствах", – розповіла жінка.
Паралельно жертва шахраїв дізналася від свого мобільного оператора – "Київстару", – про те, що її SIM-карта була перевипущена. При чому це було зроблено за всіма правилами компанії (див. позицію "Київстару" нижче). Це призвело до того, що всі дані жінки, прив'язані до цієї "сімки", опинилися в руках у шахраїв.
"За фактом сума мого кредиту за той час у першій компанії, що повідомила про нього, становила вже 11 200 грн. Станом на даний момент хтось від мого імені набрав солідну суму по усіх можливих "підприємствах" , – повідомила вона.
Як працює схема
Розслідування за фактом шахрайства вже розпочала Кіберполіція. Вона встановить точні обставини. Проте вже зараз можна зробити попередні висновки щодо дій аферистів, повідомили OBOZREVATEL у пресслужбі сервісу.
У Дія розповіли про таку послідовність дій шахраїв:
Аферисти перевипустили SIM-картку із номером жертви. "Ця карта не була прив'язана до паспорта, але все одно до мобільного оператора виникає багато питань щодо недотримання процедури відновлення номера", – зазначили у Дії.
Це дозволило шахраям отримати доступ до мобільного банкінгу та оформити мікрокредити у кількох установах.
Також зловмисники намагалися підвищити кредитний ліміт в одному із банків, але ця процедура не вдалася, а кошти було заблоковано.
"У жодному з цих процесів не була і навіть теоретично не могла бути задіяна Дія, – запевняють у пресслужбі. – Жодних дій з додатком та документами потерпілої зловмисники не вчинили і не могли вчинити навіть теоретично... Для того, щоб оформити кредит з цифровим документом у застосунку, потрібний цифровий підпис – це технологія, яка в режимі реального часу порівнює біометрію обличчя з фотографією в реєстрі. Для шерингу документів також потрібний Дія.Підпис, який неможливо підробити без біометрії обличчя".
Водночас злочинці залишили по собі багато "електронних слідів". Зокрема, через скомпрометований BankID зловмисник авторизувався у Дія, що було одразу зафіксовано у додатку у розділі "активні сесії".
"Це інструмент, який посилює безпеку програми, де можна керувати всіма вашими активними сесіями та завершити всі або будь-яку з них за бажанням. Також у цьому розділі можна побачити, коли підключено пристрій, і які документи були підписані в рамках його сесії", – пояснили у Дії.
Там також зазначили, що у цьому випадку Дія допомогла жертві швидко дізнатися про ситуацію. Адже якщо сповіщення не було, дівчина не змогла б оперативно відреагувати на дії шахраїв: "Найчастіше злодії просто оформлюють кредити, а людина про них дізнається вже через певний час, коли йому починають дзвонити колектори".
"Київстар" стурбований
У компанії-мобільному операторі "Київстар" випадок теж визнають "мобільним шахрайським". Представники компанії заявили OBOZREVATEL, що вивчили обставини того, що сталося, і з'ясували, що:
зловмисник звернувся до одного з магазинів мобільного зв'язку за послугою заміни анонімної (тобто не прив'язаної до номера телефону) SIM-картки;
аферист надав спеціалісту "Київстару" всю необхідну інформацію про користування номером телефону, як цього вимагають інструкції;
у співробітника салону зв'язку не було підстав відмовити у заміні SIM-картки.
При цьому в компанії розраховують, що у цьому випадку детально розберуться правоохоронці. Їм обіцяють надати всі необхідні дані.
"Звертаємо увагу абонентів, що користуються мобільним зв'язком анонімно (знеособлено), що вони можуть пройти процедуру ідентифікації та зареєструвати номери телефонів, що користуються на свої паспортні дані. Або перейти на сервіс за договором", – рекомендують у компанії.
Також абонентам рекомендують не повідомляти свої персональні дані, а також паролі для входу до програми "Мій Київстар". Це, як і прив'язка номера до паспорта, зменшує ризик незаконного заволодіння SIM-карткою.
Що кажуть експерти з кібербезпеки
Експерт з кібербезпеки Андрій Баранович, коментуючи те, що сталося, виданню "Фокус", підтвердив, що шахраї, швидше за все, вдалися до так званого SIM-свопінгу. Тобто, заміни SIM-картки.
"Шахраї дізналися номер телефону жінки, а потім звернулися до мобільного оператора, видавши себе за неї, і попросили перевипустити SIM-карту. Це дало їм можливість отримати доступ до кодів безпеки та всіх даних, прив'язаних до SIM-карти жертви. Адже коли SIM- карту перевипущено, то у жертви номер блокується, а у шахраїв – активується", – розповів експерт.
При цьому він наголосив, що існує безліч способів дізнатися, що конкретний номер телефону належить конкретній людині. Наприклад, можна:
отримати доступ до телефонної книги тих людей, яким вона часто телефонує;
змусити людину зателефонувати за певним номером за допомогою методів соцінженерії;
оформити "липову" довіреність від імені жертви;
підкупити працівників відділень мобільних операторів
Також на його думку, шахраї скористалися застосунком Дія для того, щоб відкрити рахунок у "лівому" банку на ім'я жертви. І приймати на нього кредити від її імені.
Інший експерт з кібербезпеки Костянтин Корсун вважає, що безпека "Дія" зводиться до безпеки SIM-карти. "В основі системи захисту Дії знаходиться BankID, а BankID заснований на номері мобільного. Все це зліплено в єдину систему", – написав він у своєму Facebook.
Дія не винна
Зі свого боку, ще один експерт з кібербезпеки, а ще – народний депутат від "Слуги народу" Олександр Федієнко під постом Корсуна зазначив: провини Дії в ній немає. "Вкрали фінномер. Вкрали банківську карту. Дія, де вона тут у схемі шахрайства?", – написав він.
При цьому Федієнко наголосив, що головними винуватцями того, що трапилося, є компанії, які надають швидкі кредити. Оскільки вони видали гроші, не перевіривши у особу їхнього одержувача.
Раніше OBOZREVATEL повідомляв, що комітет із цифровізації Верховної Ради розробляє законопроєкт, який зобов'яже SIM-картки, до яких прив'язані банківські картки, оформляти на паспорт. Це дозволить захиститися від шахраїв, які перевипускають чужі SIM-картки.
Звернення колективу OBOZREVATEL