"От мошенников не спасут ни FaceID, ни скан отпечатков": эксперты об уязвимостях смартфонов

В январе 2022 года случился целый ряд инцидентов кражи личных данных через доступ к мобильным устройствам. Так, 13 января мошенники украли смартфон гражданки А. в Киеве, попытались снять деньги с ее счетов и оформить кредиты на ее имя. Им это сделать не удалось, зато они смогли сменить пароль от AppleID. В тот же день у жительницы Киева Антонины Оксаныч "угнали" телефон и взяли кредит на 39 тыс. грн на ее имя. Фокус опросил экспертов по кибербезопасности, чтобы узнать, как могли действовать мошенники (гипотетически) и каким образом можно защитить свои данные.

Поясним, что такое AppleID и Face ID. AppleID — система аутентификации, разработанная Apple и предоставляющая доступ не только к брендовым устройствам, но и к таким сервисам, как iTunes Store, App Store, iCloud и пр. Face ID — это система сканирования объемно-пространственной формы лица человека, разработанная Apple

Изменить пароль от AppleID можно при помощи My Apple ID, нажав на "Управление аккаунтом", произведя сброс пароля, а потом введя новый. Именно так и поступили мошенники в случае с пани А. На присланном ею скриншоте видно, что аферисты сбросили пароль от ее Apple ID.

Фокус узнал, справедливо ли в таком случае возлагать ответственность и на Apple? Подразумевается ли, что за шифрование всего содержимого, хранящегося на телефоне, в облачных сервисах, отвечает компания-производитель?

"Мы же не знаем, насколько сложным был PIN-код или графический пароль. Без материалов дела я бы не рисковал делать выводы, что Apple за все в ответе", — сказал Роман Химич, телеком-эксперт.

В случае Антонины Оксаныч мошенникам удалось завладеть паролем от ее смартфона. Своими подозрениями она поделилась в соцсетях: "Есть подозрение, что в очереди подсмотрели пароль для разблокировки телефона, когда не срабатывает Face ID. И если я раньше думала, что Face ID супер защищает, то теперь понимаю, что все наоборот, пароль входа в телефон дает доступ ко всем приложениям".

"Сейчас я сменила сим-карту (номер остался тот же) и перевыпустила банковские карты, поменяла пароли в почте и мессенджерах", — добавила Антонина.

Мы поинтересовались у специалиста в области кибербезопасности Константина Корсуна, могли ли преступники получить пароль, просто подсмотрев за намеченной "жертвой".

"Да, скорее всего, мошенники подсмотреть цифровой код, дающий доступ к телефону, и код к "Дія". В таком случае уже ни FaceID, ни система сканирования и распознавания отпечатков пальцев не поможет", — ответил эксперт в комментарии Фокусу.

Известно, что злоумышленники удалили фотофайлы, которые хранились на "облаке" iCloud, а это значит, что AppleID Оксаныч тоже был скомпрометирован, ведь, как мы поясняли выше, именно эта система дает доступ к таким службам, как iCloud.

"Мошенники также удалили мой iCloud со всеми 10 тыс. фотографиями. Буду фотографировать снова, что же делать", — посетовала Антонина.

Также Оксаныч сообщила, что злоумышленники "угнали айфон при выходе из магазина". По словам пострадавшей она не сразу обнаружила пропажу. А позже выяснилось, что преступники через приложение Монобанк "оформили кредитную линию и сняли 39 тыс. грн".

"Чудом у меня не был подключен Приват к FaceID", — отметила женщина.

Касательно кейса киевлянки А., когда преступники пытались воспользоваться "Дія.Підпис", Корсун отметил, что, скорее всего, аферисты хотели подписать документы для УБКИ (Украинское бюро кредитных историй, — ред.), но им это не удалось сделать. Также он акцентировал, что для авторизации в банке "подписывать в "Дії" ничего не нужно.

Отметим, что на сайте УБКИ есть услуга "Заявка на кредит", требующая входа при помощи "Дія.Підпис". Возможно, именно это и пытались сделать преступники.

"УБКИ просто собирает заявки и передает в банки, но само бюро точно не выдает кредитов. Видимо, мошенники решили, что можно через "Дія.Підпис" кредит взять, но не туда полезли. Неопытные преступники – умеют воровать телефоны, но не умеют проворачивать финансовые аферы. Подчеркну еще раз: Украинское бюро кредитных историй исключительно собирает, хранит и выдает информацию о кредитах согласно соответствующим запросам", — сказал Константин.

Роман Химич, в свою очередь, сказал, что не разделяет уверенности многих своих коллег в том, что в упоминаемых случаях мошенничества благодаря доступу к "Дія" преступникам удавалось оформлять кредиты. На скриншоте, присланном гражданкой А., зафиксирована неудача, привел пример эксперт.

"Насколько я могу судить на основании моих собственных экспериментов, захват чьей-то "Дія" сам по себе недостаточен для открытия счета в банке и оформления кредита. На сегодняшний день основные риски лежат в иной плоскости — совершения юридически значимых действий наподобие отправки/получения на почте запрещенных отправлений, например", — пояснил Роман. "Использование PIN-кода или графического кода для разблокировки чревато их перехватом. Преступники все чаще размещают скрытые камеры в людных местах, получают доступ к законным камерам видеонаблюдения, могут и подглядывать по старинке. Отпечаток пальца или FaceID хороши тем, то их невозможно перехватить. Я лично полагаюсь на отпечатки, поскольку распознавание лица не всегда срабатывает".

Константин Корсун в своем посте в соцсетях написал, что опасность еще и в том, что буквально все теперь завязано на телефоне — и само устройство становится уязвимостью.

"Диджилизаторы вместо тебя решили, что твой телефон – это не просто аппарат, но это также и твой паспорт, и водительское удостоверение, и техпаспорт, и свидетельство о рождении ребенка. И твои деньги. Телефон – это твоя полная цифровая идентификация, которая… приравнена к официальным документам", — изложил свою позицию Корсун.

По словам специалистов, смартфон можно обезопасить, пользуясь им весьма осторожно, привязав номер телефона к паспорту. Подробно о мерах, которые стоит принять пользователям мобильных устройств, мы писали тут.

"В Украине невозможно привязать к паспорту сим-карту, — только номер телефона. Это распространенная ошибка, которая дорого обходится. Но и номер телефона нам ни в каком смысле не принадлежит, мы им не владеем, поэтому даже привязка к личности не гарантирует кражи номера при содействии сотрудников операторского салона. К сожалению, в Украине достаточных средств для управления подобными рисками в распоряжении физических лиц попросту нет, — акцентирует Химич.

"И при этом неплохо было бы отменить закон, согласно которому власти приравняли официальные документы государственного образца к "Афере-В-Смартфоне", — поиронизировал Корсун.

Ранее мы сообщали о том, что 13 января мошенники украли смартфоны у двух гражданок Украины, и в одном из случаев смогли открыть кредитную линию в Монобанке и снять со счета пострадавшей 39 тыс. грн. Во втором случае им не удалось ни снять деньги с текущих счетов пострадавшей, ни набрать кредитов на ее имя. А 6 января с помощью SIM-свопинга преступникам удалось набрать микрозаймов на имя львовянки Ирины Илык.

Фокус направил запросы в ПривтБанк, Монобанк, Минцифры. Следите за нашими новостями.