Думать, как преступник. Как в 5 шагов взломать "Дию" и украсть чужую личность
Введенная в Украине система цифровой идентификации через приложение Дія на практике идентифицирует не человека, а смартфон, который совсем не факт, что принадлежит именно этому человеку. Что создает широкие возможности для мошенников.
Загадочный случай, когда мошенники взяли на имя жертвы кредит, зарегистрировав на нее аккаунт в Дії — взволновал как экспертную среду, так и далеких от ИТ и кибербезопасности граждан Украины.
Основной сенсацией стало то, что у пострадавшей Людмилы из Киева не было аккаунта в Дії — она принципиально не хотела его заводить. А таких людей в Украине может быть до нескольких миллионов. Но, как оказалось, отказ от использования Дії никак от нее не спасает.
О возможности подобной ситуации давно говорили некоторые эксперты и требовали введения законодательной опции Opt-Out (официальный добровольный отказ от и запрет регистрации в Дії).
Но, традиционно, адепты и апологеты Дії игнорировали все теоретические предположения без реальных подтвержденных случаев (и даже делали вид, будто не слышат критики в свой адрес). Позиция откровенно инфантильная и безответственная, но сегодня говорим в основном, о фактах.
Действительно, Proof of Concept — то есть практического подтверждения теоретических выкладок и расчетов — долгое время не существовало, хотя все предпосылки указывали на то, что оно непременно должно появиться. И кейс госпожи Людмилы раз и стал тем самым POC.
Если причины волнения широкой общественности по этой ситуации вполне очевидны, то озабоченность экспертной среды хотя и была значительно меньше количественно, зато гораздо серьезнее качественно, ведь никто из специалистов так и не смог объяснить, каким образом было осуществлено это преступление, от замысла до реализации, в том числе его технические и технологические аспекты.
Существует подозрение, что полная информация может быть в государственных учреждениях, которые проводили официальное расследование, но, по состоянию на 26 июля 2021 года, ни одно из официальных учреждений государства Украина не объяснило настоящей природы и механизма совершения данного резонансного преступления, которое может дискредитировать последние инициативы правительства относительно попыток диджитализации отношений государства и граждан. Напомню, событие преступления против госпожи Людмилы произошло 16 марта 2021 года.
Тот факт, что на момент совершения мошенничества против нее, пострадавшая Людмила не была зарегистрирован в Дії, — свидетельствует, что наиболее простое объяснение якобы злоумышленники "угнали" ее финансовый номер, и, соответственно, аккаунт в Дії — довольно слабая версия. У тебя нельзя украсть то, чего у тебя нет.
Тем более, что Людмила пользовалась исключительно контрактными номерами телефонов, один из которых еще и корпоративный. То есть, угнать эти номера — довольно сложная задача, с большой вероятностью, что такая попытка не останется незамеченной.
А пострадавшая утверждала и утверждает, что ни один из ее мобильных номеров и / или электронной ящиков ни был угнан, хотя она фиксировала такие попытки, после которых принимала соответствующие защитные и контр-меры.
На версии "обычный угон номера / email" безосновательно настаивали государственные разработчики Дії и вообще представители провластных сил в парламенте, публикуя свои версии того, что произошло, и комментируя запросы от украинских медиа.
Но, при этом, почему-то игнорировались, как отрицание самой жертвы инцидента, так и контрактный тип ее номеров телефонов. Поэтому большинство специалистов не принимали во внимание провластную версию, ища другое разумное объяснение механизма совершения этого резонансного преступления.
Одним из таких исследователей был и я, поскольку глубоко разобраться в первопричинах возникновения и механизма практической реализации данной мошеннической схемы представляется мне чрезвычайно важным для цифрового будущего каждого из нас, жителей Украины.
Для этого я пообщался с пострадавшей, а также с экспертами в различных областях, как кибербезопасности, так и банковской безопасности, изучил некоторые документы и теперь готов представить свою версию событий. На сколько процентов она соответствует действительности — точно сказать не могу, но те эксперты, с которыми я поделился своими выводами, однозначно подтвердили, что "схема вполне рабочая".
И, поэтому, сразу disclaimer: данное исследование не имеет целью популяризацию незаконных сделок, а автор призывает не совершать никаких противоправных действий для воспроизведения преступной схемы на практике.
Большинство этапов преступной схемы, которая будет здесь рассмотрена, не проверялись автором in the wild (в связи с возможной противоправностью таких действий), поэтому все исследования следует рассматривать, как исключительно теоретическое воспроизведение возможных действий злоумышленников во время совершения конкретного преступления против госпожи Людмилы.
Если кто-то из банковских работников, с согласия руководства банка и с помощью волонтеров захочет экспериментально и легально подтвердить или опровергнуть следующую теорию — буду благодарен за обратную связь.
Итак, в чем, по моему мнению, заключалась преступная схема.
Этап 1.
Мошенник находит (ворует / покупает, чаще последнее) высококачественные копии / сканы подлинных документов: национального паспорта, ИНН (РНОКПП), паспорта для выезда за границу. Начальное качество таких копий важно для реализации замысла, и причина будет объяснена ниже. Купить качественные копии / сканы можно во многих местах в Интернете, средняя цена набора "скан паспорта-ИНН" составляет около $ 3 за один комплект (без учета возможных скидок за оптовые закупки).
Этап 2.
Мошенник распечатывает полученные копии документов в максимальном качестве и наклеивает их на что-то похожее на обложку паспорта.
Также он / она или заменяет фото человека в копии реального паспорта на свое, или гримирует себя или соучастника (сообщницу), чтобы выглядеть максимально похожим на оригинал.
Этап 3.
Мошенник идет на сайты тех украинских банков, которые позволяют открывать счет онлайн, "дистанционно", без личного визита в отделение. Такая возможность имеется у большого количества банков, особенно в связи с карантином 2020-2021 годов.
Процедуры идентификации в различных банках могут отличаться в деталях, но в целом используется практика "видеозвонок + сканы документов".
При таких условиях, во время видеовызова оператор банка просто по техническим причинам не способен достаточно полно оценить идентичность человека на экране предоставленным фото со сканов документов.
Идентификация по видео зависит от разрешения камер и мониторов обоих абонентов, освещения, времени суток, помещение, где проходит видео-контакт, других условий (дым, туман) и тому подобное.
По тем же причинам оператор не имеет возможности отличить дешевую подделку паспорта злоумышленника от настоящего паспорта во время видеовызова и даже при требовании "подержать паспорт у камеры".
Именно для прохождения этого, самого критического для вора этапа мошеннической операции, нужны очень качественные копии / распечатки документов и наклеивание их на визуально похожую по цвету и фактуре обложку.
Также по присланным мошенником копиям документов оператору банка крайне трудно или невозможно оценить их идентичность оригинальным копиям + видеосвязь не передает его качества / фактуры бумаги, подлинности его защитных элементов, особенности перфорации, и также других элементов защиты документа.
К тому же, риск быть задержанным службой безопасности банка в случае подобной удаленной идентификации чрезвычайно низок, ведь даже если оператор заподозрит подделку, ему / ей не известно, где физически находится мошенник, и это стимулирует преступников повторять попытки в разных банках и спокойно учитывать предыдущие ошибки.
Этап 4.
Успешно проведя идентификацию по видео и копиям предоставленных документов (отправленных через соответствующую форму или просто по email), банк открывает мошеннику счет на имя лица, за которое он себя выдал с автоматическим предоставлением доступа к мобильному или Интернет-банкингу.
А это значит, что теперь, как идентифицированный, верифицированный и абсолютно легитимный клиент банка, мошенник может запросить у банка услугу формирования для нового "клиента" соответствующего ЭЦП / Bank-ID с последующим использованием этого Bank-ID в системе ID.GOV.UA.
Также с уже имеющимся абсолютно настоящим и законным ЭЦП / Bank-ID мошенник может авторизоваться в приложении Дія, от имени того лица, которым он притворяется.
Этап 5.
Успешно верифицировавшись в приложении Дія и пользуясь предоставленными правительством Украины возможностями получения кредитов с использованием идентификации через приложение Дія, мошенник оформляет кредит в том же банке, или в любом другом, принимающих Дію онлайн (4 банка), или оффлайн (7 банков) .
Также этим аккаунтом мошенник может пользоваться в государственных учреждениях (13, в том числе КМУ), судах (15), ЦНАП (все области Украины), наземных перевозчиках (4), авиакомпаниях и аэропортах (13), гостиницах и хостелах (22), продуктовых магазинах и супермаркетах (16), страховых компаниях (3), платежных системах (3), мобильных операторах (3), провайдерах Интернет и телевидения (2), медицинских учреждениях (😎, музеях (4), развлекательных заведениях (6), других культурных заведениях (1), университетах (4), коммунальных услугах (14), и других организациях, принимающих Дію (10).
Похитить денежные средства мошенник может только в банках (с использованием настоящих или выпущенных на подставных лиц кредитных карточек), но все остальные возможности могут быть использованы для вспомогательных и подготовительных действий, запутывания следов других преступлений, введения в заблуждение органов расследования, получения услуг в кредит / рассрочку, и тому подобное.
Еще раз подчеркиваю: схема принципиальная, возможны мелкие неточности в описании некоторых деталей некоторых этапов. Также автору неизвестны практические аспекты применения злоумышленниками данной схемы, возможны дополнительные (временные или постоянные) предохранители со стороны различных банков на различных этапах реализации преступного умысла.
Но в целом алгоритм вполне действенный, что подтверждается предварительными выводами экспертов.
Кроме того, работоспособность такой схемы частично подтверждается сообщением на сайте киберполиции о задержании в конце марта 2021 года мошеннической группы, члены которой "перекупали у коллекторских и микрофинансовых организаций базы данных граждан, в частности скан-копии их документов, и оформляли на них онлайн-кредит".
Также на полицейском видео хорошо видно, что мошенники печатали цветные сканы паспортов или на обычной бумаге формата А4, или на более плотной бумаге по размеру паспорта-книжечки.
По данным некоторых источников, именно эта группа ответственна за оформление фейкового кредита на Людмилу. Но другие источники утверждают, что по состоянию на конец июля 2021 года задержанный киберполицией организатор группы уже отпущен на свободу, по неизвестным причинам.
Следует отметить, что для обеспечения успешности реализации вышеприведенной схемы, мошенник:
- должен быть уверен в подлинности имеющихся у него копий документов жертвы, а также не зарегистрирован в Дії и не планирует этого делать;
- не является клиентом одного из банков, которые принимают Действие онлайн и офлайн;
- не отслеживает свою кредитную историю на регулярной основе во всех существующих бюро кредитных историй;
На практике же большинство мошенников особенно не страхуются и не выполняют вышеупомянутые меры предосторожности, а просто пытаются применить имеющиеся у них сканы документов для большого количества попыток онлайн-регистрации счетов в разных банках.
В случае успешной попытки онлайн-регистрации — следующим шагом пытаются зарегистрироваться в Дії, для легитимизации украденной цифровой личности.
И в таком случае мы получаем еще один Proof of Concept: практический ответ на вопрос "а чем плоха возможность активации аккаунта в Дії на нескольких устройствах одновременно? Ведь это удобно?"
В случае, когда мошенник от имени жертвы зарегистрировал в жертву счет в банке АБВ (в котором жертва, конечно, не имела и не имеет счета), получил ЭЦП / Bank-ID этого банка и с его помощью пытается войти в аккаунт Дії жертвы — возникает два варианта.
Первый: жертва не зарегистрирована в Дії и поэтому мошенник делает это без проблем (с использованием собственного pre-paid номера) и далее оформляет в жертву кредиты.
Второй вариант: жертва уже зарегистрирована в Дії, но логин с другого устройства в тот же аккаунт не противоречит политике безопасности Дії (при наличии такой политики, в чем нет твердой уверенности).
По данным исследователя Романа Химича, в Дії существует предохранитель в виде информирования настоящего пользователя о логин с другого устройства, но нет возможности отклонить / запретить попытку такого альтернативного входа в аккаунт.
То есть, если настоящий владелец аккаунта:
- сознательно или бессознательно вышел из него (log out)
- не заметил сообщение о входе с другого устройства среди других сообщений (мессенджеров, соцсетей, email, etc.);
- включил "режим полета" или беззвучный режим;
- не слышит / не видит сообщений (находится в шумном месте, спит, плавает и т.д.);
- то он / она может не заметить входа с девайса злоумышленника.
Итак, в условиях отсутствия регистрации гражданина в Дії и отсутствии у него / нее счета в банках-партнерах Дії, злоумышленнику достаточно получить на данного гражданина качественные копии его паспорта и справки о присвоении ИНН (РНОКПП), а также подобрать соучастника похожей на жертву внешности или загримировать существующего.
Общая стоимость атаки относительно невысока, а риски для исполнителя — относительно низкие (в противоположность оффлайн-посещению отделения банка с более качественной и значительно более дорогой подделкой паспорта).
Кроме того, при подобной схеме отпадает необходимость угона финансового номера жертвы и / или его email.
Выводы я бы разделил на две части: "Кто виноват" и "Что делать?"
Кто виноват?
Несмотря на вроде бы очевидный ответ, на самом деле ситуация с мошенническими кредитами в Украине сложнее, чем может показаться. По факту, остались нерешенными старые "аналоговые" проблемы:
- копий паспортов и справок ИНН (РНОКПП) в нелегальном обороте остается очень много,
- утечки персональных данных граждан из государственных и негосударственных реестров и баз данных остаются будничной делом,
- законодательство о защите персональных данных является устаревшим, а его выполнение и неотвратимость привлечения виновных к ответственности фактически не обеспечено,
- работа правоохранительных органов по выявлению и привлечению к ответственности мошеннических групп все еще является неудовлетворительной (это могут подтвердить в любом банке).
Но на старые, "аналоговые" проблемы пока наложились новые, но уже цифровые, повлекшие усиление существующих рисков и приведшие к кумулятивному эффекту.
Если раньше мошенникам для получения кредита на другое лицо необходимо было изготавливать поддельный или покупать настоящий паспорт, а потом рисковать, лично посещая отделение банка (с далекой от нулевой вероятностью быть задержанным на месте попытки совершения преступления), то теперь, с введением возможностей несовершенной цифровой идентификации — снижена как стоимость подготовки к мошенничеству, так и риски для его исполнителей.
На самом деле, отправив в банк копии документов и пройдя видео-идентификацию, злоумышленник практически выходит из зоны риска и дальше оперирует вполне легитимным и полученным по официальной процедуре легальным цифровым паспортом, который может почти без риска применить для одновременного получения нескольких кредитов на максимально разрешенные банком суммы.
Возвращаясь к вопросу "Кто виноват" можно сразу назвать следующие факторы:
- неэффективность реализации государственной политики в сфере защиты персональных данных, ЗПд (старая проблема)
- неэффективная работа правоохранительных органов и их коррумпированность со стороны организованной преступности (старая проблема)
- нерешенность вопроса безопасности государственных реестров и баз данных (старая проблема)
- непродуманность архитектуры и неквалифицированность реализации новых государственных решений в сферах цифровой идентификации граждан ( "кредит через Дію") и системе электронных доверительных услуг ( "кейс Рябошапки", "кейс Джо Байдена") при нерешенности всех старых проблем, уже сейчас приводит к их цифровому масштабированию;
- нежелание разработчиков и промоутеров новых цифровых решений учитывать требования безопасности к таким сервисам еще на уровне планирования архитектуры, предоставляя безусловное преимущество скорости их реализации и интеграции с уже существующими моделями, которые имеют множество нерешенных проблем безопасности;
- полная непрозрачность новых цифровых решений, отсутствие доступа к их технической документации, исходному коду, неготовность разработчиков новых цифровых решений конструктивно воспринимать объективную критику и любое несогласие (как извне, так и изнутри), игнорирование профессиональных подходов к обеспечению кибербезопасности уже запущенных в оборот цифровых продуктов массового применения.
Введенная новой "действенной" правительственной командой система цифровой идентификации на практике идентифицирует не человека, а смартфон, который совсем не факт, что принадлежит именно этому человеку.
И этот смартфон человек может потерять, продать, подарить, отдать в ремонт. Также смартфон у владельца могут украсть или заставить разблокировать.
Опасность и недопустимость такого непродуманного, поверхностного решение подтверждает недавний случай во Львове, когда злоумышленники отобрали у двух мужчин кредитные карты и смартфоны с установленной Діей, после чего на них было оформлено одиннадцать кредитов в девяти компаниях на общую сумму 150 000 гривен.
А в течение нескольких часов после нападения, мошенники оформили на одного из пострадавших услугу "Оплата частями" на приобретение iPhone стоимостью 19 тыс. грн, оплатили со счета жертвы первый взнос и сразу забрали товар в одном из местных сетевых магазинов электроники.
Как показано выше, временный и юридически сомнительный (неофициальный) запрет цифровой идентификации через Дію для МФО (микро- финансовые организации) — противоречит Закону Украины 4355 — и не исключает срабатывания аналогичной мошеннической схемы для банков.
К тому же, в случае дальнейшего сокрытия правительственными структурами истинных масштабов цифрового мошенничества, МФО могут впоследствии пролоббировать отмену такого ограничения, которое пока не регламентируется никакими законодательными нормами.
Что делать?
На самом деле, вариантов решения проблемы "кредит через Дію" существует несколько: от локальных до общенациональных.
Локальным решением может быть постепенный отказ банков и других компаний-партнеров принимать Дію в качестве легитимного средства идентификации личности в случае существенного увеличения случаев фрода (мошенничества) с ее использованием.
Поводом для отказа могут служить например, "сбои функционирования соответствующего технических средств" со стороны банков, или "хакерские атаки", или "временные профилактические работы" или другие формальные поводы.
Вероятность применения решения: среднее-высокое.
Другим локальным решением может быть временное отключение самим разработчиком возможности банкам использовать Дію в качестве идентификатора личности.
Вероятность: средняя-низкая.
Глобальным решением могло бы быть приостановление Верховной Радой действия Закона Украины № 4355 "О Едином государственном демографическом реестре и документах, подтверждающих гражданство Украины, удостоверяющих личность или ее специальный статус" который приравнял цифровые документы в приложении Дія к обычным.
Вероятность применения решения: низкая.
Также к глобальным решениям можно было бы отнести радикальные изменения со стороны государственного разработчика и других причастных органов власти в сторону изменения концептуальной парадигмы, архитектуры и принципиальной модели реализации механизмов цифровой идентификации граждан, особенно в части существенного усиления безопасности составляющей.
Одновременно интенсифицировать процесс обеспечения безопасности государственных баз данных и реестров, разблокировать фактический и правовой защите персональных данных граждан, активизировать правоприменительную работу в этой сфере, и только после того перейти к разработке безопасных цифровых решений, соответствующих современным международным подходам.
Вероятность применения такого решения: близка к нулевой.