BankID нельзя "взломать", имея доступ к SIM-карте жертвы, - НБУ о кредитной афере во Львове
Чтобы воспользоваться BankID, недостаточно иметь доступ к номеру мобильного телефона человека, нужно еще суметь пройти вместо него двухфакторную идентификацию, получить доступ к его КЭП и даже загримироваться, уверяют в Нацбанке Украины.
На прошлой неделе гражданка Украины Ирина Илык написала в соцсетях о том, что мошенники взяли несколько кредитов на ее имя, при чем она узнала об этом, получив уведомление от сервиса "Дія". Фокус направил запрос в Нацбанк Украины, чтобы выяснить, могли ли злоумышленники получить доступ к BankID Илык, имея на руках номер ее телефона и доступ ко всем данным, которые хранились на перевыпущенной ими SIM-карте с ведома и при помощи телеком-оператора "Киевстар".
Могли ли злоумышленники скомпрометировать BankID Ирины Илык
"Чтобы воспользоваться Системой BankID НБУ, недостаточно иметь доступ к номеру мобильного телефона физического лица. Согласно требованиям Системы BankID НБУ, каждый банк-идентификатор, подключенный к системе, настраивает многофакторную аутентификацию пользователей. Это означает, что клиенту нужно применить по меньшей мере два разных фактора для инициирования передачи идентификационных данных. Чаще всего — это логин и пароль от входа в интернет-/мобильный банкинг (пароль известен только клиенту и никогда не должен разглашаться), а также SMS-код/или звонок, приходящий на телефон в момент аутентификации. Комбинация каких именно двух факторов требуется для идентификации – каждый банк определяет самостоятельно, в зависимости от своих политик", — сообщила пресс-служба НБУ.
В Нацбанке отметили, что имея только скомпрометированный номер телефона, невозможно воспользоваться BankID НБУ. "Более того, мошенники должны были узнать, в каком банке обслуживается человек и не только перевыпустить сим-карту, но и "взломать" еще один фактор входа", — подчеркнул регулятор.
В случае мошеннических действий Нацбанк рекомендует пострадавшим немедленно обратиться в свой банк, где был скомпрометирован вход в их личный кабинет, чтобы выяснить, передавались ли личные данные через Систему BankID НБУ на любых поставщиков услуг.
А в случае нарушения прав потребителя финансовых услуг, клиент, пострадавший от мошеннических действий, может обратиться в Национальный банк.
"К сожалению, гражданка Ирина Илык не обращалась в Национальный банк, поэтому достоверно установить, что произошло — невозможно", — говорится в официальном заявлении.
Могли ли мошенники воспользоваться е-паспортом из "Дія"
Фокус также поинтересовался, могли ли злоумышленники, гипотетически, воспользоваться данными из приложения "Дія", чтобы пройти идентификацию при открытии счета в каком-либо банке с помощью приложения (напомним, что Ирина Илык сделала скриншот, из которого видно, что к ее "Дія" подключилось новое устройство, см. фото ниже).
Как ответили в НБУ, методы удаленной идентификации и верификации особ в банках определены и разрешены постановлением Правления НБУ от 19 мая 2020 г. №65 "Об утверждении Положения об осуществлении банками финансового мониторинга". Этим постановлением предусмотрена возможность использования комбинаций разных технологий – видеоидентификация, BankID и т.д.
"Одним из способов такой идентификации является возможность одновременного применения двух источников информации: шеринга электронного паспорта из "Дія" с одновременной фотофиксацией особы банком с использованием метода распознавания реальности особы с последующим наложением КЭП (квалифицированной электронной подписи, — ред.) уполномоченного работника банка и квалифицированной электронной отметки времени на полученный электронный документ, содержащий фото; или получение копии идентификационного документа или опросника, на который наложен КЭП клиента", — пояснили в НБУ.
После банк проверяет соответствие всех полученных идентификационных данных клиента (данных е-паспорта, полученного из "Дія", результатов фотофиксации клиента или КЭП клиента и копий его идентификационных документов).
Регулятор уверяет, что злоумышленникам недостаточно было получить несанкционированный доступ к "Дія" Ирины Илык, так как им пришлось бы "подделать" ее внешность для прохождения такой проверки на стороне банка или завладеть копиями ее идентификационных документов и КЭП.
Какие меры предпринимает НБУ, чтобы обезопасить BankID пользователей
В 2021 году в Системе BankID НБУ для всех банков-идентификаторов ввели обязательное применение многофакторной аутентификации пользователей системы. "По состоянию на конец 2021 года все подключенные к системе банки выполнили это требование", — сказано в заявлении.
Также в Нацбанке добавили, что технология работы системы BankID НБУ предусматривает, что информация, содержащая персональные данные пользователя, передается через систему исключительно в зашифрованном виде (подписывается ключами банка-идентификатора и предоставителя услуг — учреждения, которому передаются данные). Соответственно, только учреждение-получатель этих данных имеет возможность расшифровать этот пакет. У НБУ нет доступа к этим данным.
"Только владелец персональных данных может инициировать передачу своих данных от абонента-идентификатора к абоненту-поставщику услуг. Передача данных осуществляется исключительно по инициативе и согласию пользователя", — подчеркнули в НБУ.
В прошлом году к Системе BankID НБУ был подключен первый телеком-оператор – lifecell. В процессе интеграции находятся "Водафон" и "Киевстар". "Это означает, что система BankID НБУ позволяет идентифицировать владельца сим-карты у подключенного телеком-оператора, что снижает риск дальнейших мошеннических действий с SIM-картой такого клиента. Поскольку в случае замены SIM-карты телеком-оператор должен будет сверить документы потенциального мошенника с идентификационной информацией владельца карты, что существенно усложняет возможность мошенничества и перевыпуска SIM-карты на третье лицо", — объяснил регулятор.
Надежен ли BankID на практике?
Ранее Фокус пообщался со специалистом в сфере кибербезопасности Андреем Барановичем, который считает, что BankID Илык был скомпрометирован, иначе как аферистам удалось без ведома Ирины открыть счет на ее имя в стороннем банке? Ирина в своем сообщении на Facebook написала, что МФО, где на нее оформили кредиты, сообщили ей часть номера банковской карты, на которую были зачислены средства. При этом Илык утверждает, что ни карты, ни счета с таким номером у нее нет. Данную информацию Фокусу подтвердила компания "Манивео".
"Согласно действующему законодательству, специалист компании "Манивео" после верификации личности Ирины Илык сообщил ей 6 первых и 4 последних цифр карточки. Договор может быть аннулирован в случае процессуального решения суда по уголовному делу (приговору), который вступит в законную силу, но ввиду сложных обстоятельств госпожи Илык, все начисления по кредиту, взятым на ее лицо, и коммуникации по взысканию задолженности прекращены", — сообщила пресс-служба компании.
Фокус обратился за дополнительными комментариями к Ирине Илык. Следите за нашими новостями.
Ранее мы сообщали о том, по какой причине нужно привязывать SIM-карту к паспорту и может ли это защитить вас от такого вида мошенничества, как SIM-свопинг.