"Винен 50 тис. грн по кредитам, яких не брав": українець заявив про злом "Дія" та BankID

Жителька Вишгорода Юлія Переведенцева звернулася до експерта з кібербезпеки Костянтина Корсуна та заявила, що телефон її сина Ростислава зламали та взяли на його ім'я кілька кредитів. Фокус спробував розібратися, що сталося насправді.

Зламали смартфон, а потім "Дію": історія Ростислава Переведенцева

Костянтин Корсун на своїй сторінці у Facebook поділився розповіддю Юлії Переведенцевої про те, як її син Ростислав випадково став жертвою шахраїв. Хлопець натиснув на рекламу у соціальній мережі "ВКонтакте", після чого в ніч на 1 листопада 2021 року були зламані його пошта, Google-диск, акаунт у "Приватбанку", месенджери Viber та Telegram. Крім того, зловмисники реєструвалися від імені Ростислава на сайтах кредитних компаній, на сайті OLX та авторизувалися у додатку "Дія". Про авторизацію шахраїв у держсервісі молодик дізнався, отримавши повідомлення про вхід у "Дія" через BankID банку, в якому відкрили рахунок на його ім'я без його відома (у своєму пості Корсун, посилаючись на слова матері потерпілого, вказує, що таких банків було два).

Костянтин Корсун припустив, що користувач підхопив у соцмережі так званий "пейлоад" (payload) шкідливе ПЗ (malware), яке розповсюджували, використовуючи технології соціальної інженерії (соцінженерія означає психологічне маніпулювання людьми, щоб змусити їх здійснювати певні дії).

"Випадково натиснув на рекламу, намагаючись закрити. Ніякого введення даних не потрібно — просто почалися раптові реєстрації в різних інтернет-ресурсах на кшталт OLX, так само були реєстрації на деяких сайтах мікропозик (інтернет-кредити). Я намагався заблокувати свій номер, зателефонував мобільному оператору "Київстар", але вони мене не чули. Тобто, зловмисники якось глушили, чи що, я без поняття, але мене просто не було чути", — розповів Ростислав Переведенцев у телефонній розмові з Фокусом.

Він додав, що після злому змінив телефонний номер, заблокувавши старий, поміняв паролі в електронній пошті та месенджерах, заблокував акаунт у "ПриватБанку". Серйозні побоювання викликало зламування Google-диску, тому що там автоматично збереглися фотографії документів, які хлопець раніше використав для взяття кредитів у мікрофінансових організаціях. Як стверджує Ростислав, він не знав про наявність цих файлів у "хмарі", поки випадково туди не зайшов, і відразу ж їх видалив, але шахраї мали час їх вкрасти.

"Я вважав, що цього буде достатньо, але, мабуть, ні. Або до моменту зміни даних вони встигли скопіювати все, що їм потрібно", — поділився Ростислав. — "Кредитні компанії в листуванні повідомили, що було проведено процедуру BankID для входу до моїх особистих кабінетів. 1 грудня 2021 року якось підключилися до моєї "Дії", було повідомлення про підключення нового пристрою".

Невдовзі на ім'я Ростислава почали оформляти кредити. За його словами, першим "дзвіночком" стало повідомлення про від'єднання номера телефону від особистого кабінету до МФО MyCredit — служба підтримки повідомила, що відбулася автоматична авторизація через BankID. На користувача "повісили" чотири кредити приблизно на 11 тисяч гривень в організаціях СreditBox, "Монетка", "ШвидкоГроші", SOSCredit та Zecredit, проте Ростислав дізнався про них лише у січні 2022-го, коли колектори почали вимагати виплат — на той час з урахуванням пені та відсотків загальна сума зросла майже до 50 тисяч гривень.

У CreditBox хлопцю повідомили, що реєстрацію для оформлення кредиту було здійснено через BankID "Мегабанку", з яким він ніколи не співпрацював. Ростислав вирішив перевірити, чи не реєструвалися шахраї під його ім'ям як клієнт "Мегабанку", і у фінустанові йому повідомили, що він клієнтом не є. Співробітники банку сказали, що "не мають жодного поняття", яким чином відбулася авторизація, стверджує постраждалий.

Три МФО, — MyCredit, CreditBox, "Швидко Гроші", — порадили йому звернутися до кіберполіції, щоб дані внесли до Єдиного реєстру досудових рішень, і співробітники компаній змогли перевірити ситуацію зі свого боку. Ростислав Переведенцев повідомив, що 14 грудня 2021 року звернувся до кіберполіції із заявою про "злом додатку Дія". Кіберпол через відсутність слідчого відділу перенаправив документи у Вишгородське районне управління поліції, а там відмовилися реєструвати дані в ЄРДР через відсутність ознак злочину (див. документи нижче). За словами Ростислава, правоохоронці мотивували відмову тим, що він не зазнав матеріальних збитків. Наразі хлопець відстоює свою позицію за допомогою адвоката.

"Я три дні ходив у поліцію, намагаючись виловити свого слідчого. На третій день я на нього таки потрапив, і він сказав, що у них просто немає знань, умінь та інструментів для того, щоб мені допомогти, і кримінальну справу за цією заявою ніхто відкривати не буде", — зазначив Ростислав.

Коментарі експертів та чиновників Мінцифри щодо можливого злому "Дії"

"Якби у хлопця був відкритий рахунок у якомусь банку з відповідним додатком у смартфоні, і в тому ж смартфоні була програма МФО-шки, в якій він хоча б раз брав кредит, а його телефон хакнули — то шахраї мали можливість оперувати тільки цими двома додатками, банківським та МФО-шним, але якимсь дивним чином злодії відкрили ще два рахунки у двох банках і взяли кредити у чотирьох МФО-шках, у яких він раніше ніколи нічого не позичав… Так як це можливо? Думаю, робоча версія поки що одна: "Дія", — припустив експерт з кібербезпеки Костянтин Корсун.

Заступник міністра цифрової трансформації Олексій Вискуб у коментарі під постом Костянтина Корсуна заявив, що Ростислав Переведенцев не має цифрового паспорта в "Дії". За його словами, саме це і є причиною неможливості проведення будь-яких операцій із банками, а з МФО, заявив він, державний сервіс уже рік як не працює.

"Ми можемо 100% сказати, наприклад, що відкриття рахунку через "Дію" не було. У цьому випадку і не могло бути, тому що немає е-паспорта. Але ж кредит є. Він, швидше за все отриманий через МФО, а ось його деталі може надати лише кіберпол, а такі розслідування швидко не проводяться", — написав Олексій Вискуб.

Начальник відділу розробки програмного забезпечення ДП "Дія" Євгеній Горбачов у коментарі надав таку інструкцію щодо роботи з додатком:

1. Відкрити та увійти до програми "Дія";
2. Перейти до "Меню" (праворуч у нижньому кутку);
3. Перейти до розділу "Підключені пристрої";
4. Знайти потрібну сесію за датою та часом;
5. Натиснути на цю сесію та відкрити її;
6. Внизу є графа "Запити на копії цифрових документів" — відображається лічильник у вигляді кружечка з цифрою, яка позначає скільки операцій в рамках сесії;
7. Відсутність лічильника означає, що документи через "Дію" не передавалися;
8. Якщо лічильник є, то можна зайти в розділ "Запити на копії цифрових документів", і дізнатися про них докладніше: коли, куди передавалися документи і чи була спроба успішною — у цьому випадку з'являється напис "Виконано".

"Всі операції фіксуються та стають доступними користувачеві. Немає способу, як можна пошерити документи через "Дію", не зафіксувавши цю операцію в розділі "Підключені пристрої". Видалити операції звідти неможливо, можна зробити тільки сесію неактивною, але вся історія залишиться. Таким чином всі чутливі дії користувача і боронь боже шахрая, чітко фіксуються", — підкреслив Євгеній Горбачов.

Ростислав Переведенцев повідомив Фокусу, що у нього в додатку відображається лічильник запитів документів на двох сесіях: 20 та 3 спроби відповідно. З усіх спроб була відмова. Як підкреслив користувач, після авторизації та оформлення кредитів через "Мегабанк" дані про авторизацію та передачу даних були видалені, а новий пристрій зник зі списку підключених.

"Писали, що авторизація зберігається у такому випадку, але ні. Я не знаю, чи вона за ідеєю повинна зберігатися, чи вона через деякий час сама зникає, але авторизація через "Мегабанк" і BankID просто зникла в один певний момент", — прокоментував Ростислав.

В одному з коментарів Євгеній Горбачов підтвердив, що сесію з "Дії" можна видалити разом із підключеним пристроєм:

"Повідомлення надходять і шахраю, проте шахрай не може видалити легітимний пристрій, не видаливши свій при цьому. Видаляються завжди всі сесії всіх підключених пристроїв і це зроблено цілеспрямовано. Тобто монополізувати контроль над акаунтом шахрай не може".

Фокус запросив коментарі у кіберполіції, "Мегабанку" та CreditBox. Слідкуйте за нашими новинами.

Раніше стало відомо про "злив" даних мільйонів українців, нібито отриманих з порталу "Дія". Автор публікації на сайті RaidForums виставив їх на продаж за 15 тисяч доларів. надавши фрагменти для ознайомлення.