Думати, як злочинець. Як за 5 кроків зламати "Дію" і вкрасти чужу особистість
Введена в Україні система цифрової ідентифікації через додаток Дія на практиці ідентифікує не людину, а смартфон, який, зовсім не факт, що належить саме цій людині. Що створює широкі можливості для шахраїв.
Загадковий випадок, коли шахраї взяли на ім'я жертви кредит, зареєструвавши на неї акаунт у Дії — схвилював як експертне середовище, так і далеких від ІТ та кібербезпеки громадян України.
Основною сенсацією стало те, що постраждала пані Людмила з Києва не мала акаунту в Дії, і навіть принципово не хотіла його заводити. А таких людей в Україні може бути до кількох мільйонів. Але, як виявилося, відмова від використання Дії ніяк від неї не рятує.
Про можливість подібної ситуації давно говорили деякі експерти і вимагали запровадження законодавчої опції Opt-Out (офіційна добровільна відмова від та заборона реєстрації в Дії).
Але, традиційно, адепти та апологети Дії ігнорували всі теоретичні припущення без реальних підтверджених випадків (і навіть робили вигляд, ніби не чують критики на свою адресу). Позиція відверто інфантильна та безвідповідальна, але сьогодні говоримо здебільшого про факти.
Дійсно, Proof of Concept — тобто практичного підтвердження теоретичних викладень та розрахунків – довий час не існувало, хоча усі передумови вказували на те, що воно неодмінно має з"явиться. І кейс пані Людмили якраз і став тим самим POC.
Якщо причини хвилювання широкого загалу щодо цієї ситуації цілком очевидні, то занепокоєність експертного середовища хоча і була значно меншою кількісно, зате набагато серйознішою якісно, адже ніхто з фахівців так і не зміг пояснити, яким чином був скоєний цей злочин, від задуму до реалізації, зокрема його технічні та технологічні аспекти.
Існує підозра, що повна інформація може бути в державних установах, які проводили офіційне розслідування, але, станом на 26 липня 2021 року жодна з офіційних установ держави Україна не пояснила справжньої природи і механізму здійснення цього резонансного злочину, який може дискредитувати останні ініціативи уряду щодо спроб діджиталізації відносин держави і громадян. Нагадаю, подія злочину проти пані Людмили сталася 16 березня 2021 року.
Той факт, що на момент скоєння шахрайства проти неї постраждала Людмила не була зареєстрована в Дії, — свідчить, що найбільш просте пояснення: нібито зловмисники "викрали" її фінансовий номер, і, відповідно, акаунт у Дії — досить слабка версія. У тебе не можна вкрасти те, чого в тебе немає.
Тим більше, що Людмила користувалася винятково контрактними номерами телефонів, один з яких ще й корпоративний. Тобто, викрасти ці номери — досить складне завдання, з великою ймовірністю, що така спроба не залишиться непоміченою.
А постраждала стверджувала і стверджує, що жоден з її мобільних номерів і/або електронних ящиків не був викрадений, хоча вона фіксувала такі спроби, після яких робила відповідні захисні і контрзаходи.
На версії "звичайне викрадення номеру/email" безпідставно наполягали державні розробники Дії і взагалі представники провладних сил у парламенті, публікуючи свої версії того, що сталося, і коментуючи запити від українських медіа.
Але, при цьому, чомусь ігнорувалися як заперечення самої жертви інциденту, так і контрактний тип її номерів телефонів. Тому більшість фахівців не брали до уваги провладну версію, шукаючи інше розумне пояснення механізму скоєння цього резонансного злочину.
Одним з таких дослідників був і я, оскільки глибоко розібратися в першопричинах виникнення та механізму практичної реалізації цієї шахрайської схеми видається мені надзвичайно важливим для цифрового майбутнього кожного з нас, мешканців України.
Для цього я поспілкувався з потерпілою, а також з експертами в різних галузях, як кібербезпеки, так і банківської безпеки, вивчив деякі документи і тепер готовий представити свою версію подій. На скільки відсотків вона відповідає дійсності — точно сказати не можу, але ті експерти, з якими я поділився своїми висновками, однозначно підтвердили, що "схема цілком робоча".
І тому відразу disclaimer: це дослідження не має на меті популяризацію незаконних угод, а автор закликає не робити ніяких протиправних дій для відтворення злочинної схеми на практиці.
Більшість етапів злочинної схеми, яка буде тут розглянута, не перевірялися автором in the wild (у зв'язку з можливою протиправністю таких дій), тому всі дослідження варто розглядати, як винятково теоретичне відтворення можливих дій зловмисників під час скоєння конкретного злочину проти пані Людмили.
Якщо хтось з банківських працівників за згодою керівництва банку і за допомогою волонтерів захоче експериментально і легально підтвердити або спростувати таку теорію — буду вдячний за зворотній зв'язок.
Отже, у чому, на мою думку, полягала злочинна схема.
Етап 1.
Шахрай знаходить (краде/купує, частіше останнє) високоякісні копії/скани справжніх документів: національного паспорту, ІПН (РНОКПП), паспорту для виїзду за кордон. Початкова якість таких копій важлива для реалізації задуму, і причина буде пояснена нижче. Придбати якісні копії/скани можна в багатьох місцях в інтернеті, середня ціна набору "скан паспорта-ІПН" становить близько $3 за один комплект (без урахування можливих знижок за гуртові закупівлі).
Етап 2.
Шахрай роздруковує отримані копії документів у максимальній якості і наклеює їх на щось, схоже на обкладинку паспорта.
Також він/вона або замінює фото людини в копії реального паспорта на своє, або гримує себе або співучасника (спільницю), щоб виглядати максимально схожим на оригінал.
Етап 3.
Шахрай йде на сайти тих українських банків, які дозволяють відкривати рахунок онлайн, "дистанційно", без особистого візиту до відділення. Така можливість є у великої кількості банків, особливо у зв'язку з карантином 2020-2021 років.
Процедури ідентифікації в різних банках можуть відрізнятися в деталях, але в цілому використовується практика "відеодзвінок + скани документів".
За таких умов, під час відеодзвінка оператор банку просто з технічних причин не здатний досить повно оцінити ідентичність людини на екрані наданим фото зі сканів документів.
Ідентифікація по відео залежить від розподільчої здатності камер та моніторів обох абонентів, освітлення, часу доби, приміщення, де проходить відео-контакт, інших умов (дим, туман), тощо.
З тих же причин оператор не має можливості відрізнити дешеву підробку паспорта зловмисника від справжнього паспорта під час відеодзвінка та навіть за вимоги "потримати паспорт біля камери".
Саме для проходження цього, найбільш критичного для злодія етапу шахрайської операції, потрібні дуже якісні копії/роздруківки документів і наклеювання їх на візуально схожу за кольором і фактурою обкладинку.
Також за надісланими шахраєм копіями документів оператору банку вкрай важко або неможливо оцінити їх ідентичність до оригінальних: копія + відеозв'язок не передає якості/фактури паперу, справжності його захисних елементів, особливості перфорації, і також інших елементів захисту документа.
До того ж, ризик бути затриманим службою безпеки банку в разі подібної віддаленої ідентифікації надзвичайно низький, адже навіть якщо оператор запідозрить підробку, йому/їй не відомо, де фізично перебуває шахрай, і це стимулює злочинців повторювати спроби в різних банках і спокійно враховувати попередні помилки.
Етап 4.
Успішно провівши ідентифікацію по відео та копій наданих документів (відправлених через відповідну форму або просто через email), банк відкриває шахраєві рахунок на ім'я особи, за яку він себе видав з автоматичним наданням доступу до мобільного або інтернет-банкінгу.
А це означає, що тепер, як ідентифікований, верифікований і абсолютно легітимний клієнт банку, шахрай може вимагати від банку послугу формування для нового "клієнта" відповідного ЕЦП/Bank-ID з подальшим використанням цього Bank-ID у системі ID.GOV.UA.
Також з уже наявними абсолютно справжніми і законними ЕЦП/Bank-ID шахрай може авторизуватися в додатку Дія, від імені тієї особи, якою він прикидається.
Етап 5.
Успішно верифікувавшись у додатку Дія та користуючись наданими Урядом України можливостями отримання кредитів з використанням ідентифікації через додаток Дія, шахрай оформлює кредит у тому ж банку, або в будь-якому іншому, які приймають Дію онлайн (4 банки), або оффлайн (7 банків).
Також цим акаунтом шахрай може користуватися в державних установах (13, зокрема КМУ), судах (15), ЦНАП (усі області України), наземних перевізниках (4), авіакомпаніях та аеропортах (13), готелях і хостелах (22), продуктових магазинах і супермаркетах (16), страхових компаніях (3), платіжних системах (3), мобільних операторах (3), провайдерах інтернету і телебачення (2), медичних установах (😎, музеях (4), розважальних закладах (6), інших культурних закладах (1), університетах (4), комунальних послугах (14), та інших організаціях, які приймають Дію (10).
Напряму викрасти грошові кошти шахрай може лише в банках (з використання справжніх або випущених на підставних осіб кредитних карток), але всі інші можливості можуть бути використані для допоміжних та підготовчих дій, заплутування слідів інших злочинів, введення в оману органів розслідування, отримання послуг у кредит/розстрочку, тощо.
Ще раз підкреслюю: схема принципова, можливі дрібні неточності в описі деяких деталей деяких етапів. Також автору невідомі практичні аспекти застосування зловмисниками цієї схеми, можливі додаткові (тимчасові або постійні) запобіжники з боку різних банків на різних етапах реалізації злочинного наміру.
Але в цілому алгоритм цілком дієвий, що підтверджується попередніми висновками експертів.
Крім того, працездатність такої схеми частково підтверджується повідомленням на сайті кіберполіції про затримання в кінці березня 2021 року шахрайської групи, члени якої "перекуповували в колекторських і мікрофінансових організацій бази даних громадян, зокрема скан-копії їхніх документів, і оформляли на них онлайн-кредит".
Також на поліцейському відео добре видно, що шахраї друкували кольорові скани паспортів або на звичайному папері формату А4, або на більш щільному папері за розміром паспорта-книжечки.
За даними деяких джерел, саме ця група відповідальна за оформлення фейкового кредиту на Людмилу. Але інші джерела стверджують, що станом на кінець липня 2021 року затриманий кіберполіцією організатор групи вже відпущений на свободу, з невідомих причин.
Варто зазначити, що для забезпечення успішності реалізації вищенаведеної схеми, шахрай:
- повинен бути впевнений у достовірності наявних у нього копій документів жертви, а також не зареєстрований у Дії і не планує цього робити;
- не є клієнтом одного з банків, які приймають Дія онлайн і офлайн;
- не відстежує свою кредитну історію на регулярній основі в усіх чинних бюро кредитних історій;
На практиці ж більшість шахраїв особливо не страхуються і не виконують вищезазначені заходи обережності, а просто намагаються застосувати наявні в них скани документів для великої кількості спроб онлайн-реєстрації рахунків у різних банках.
У разі успішної спроби онлайн-реєстрації — наступним кроком намагаються зареєструватися в Дії, для легітимізації вкраденої цифрової особистості.
І в такому випадку ми отримуємо ще один Proof of Concept: практичну відповідь на питання "а чим погана можливість активації облікового запису в Дії на декількох пристроях одночасно? Це ж зручно?"
У разі, коли шахрай від імені жертви зареєстрував на жертву рахунок у банку АБВ (у якому жертва, звісно, на мала і не має рахунку), отримав ЕЦП/Bank-ID цього банку та з його допомогою намагається увійти в акаунт Дії жертви – виникає два варіанти.
Перший: жертва не зареєстрована в Дії, і тому шахрай робить це без проблем (з використанням власного pre-paid номера) і далі оформляє на жертву кредити.
Другий варіант: жертва вже зареєстрована в Дії, але логін з іншого пристрою в той же акаунт не суперечить політиці безпеки Дії (за наявності такої політики, у чому немає твердої впевненості).
За даними дослідника Романа Хіміча, у Дії існує запобіжник у вигляді інформування справжнього користувача про логін з іншого пристрою, але немає можливості відхилити/заборонити спробу такого альтернативного входу в акаунт.
Тобто, якщо справжній власник акаунту:
- свідомо чи несвідомо вийшов з нього (log out)
- не помітив повідомлення про вхід з іншого пристрою серед інших повідомлень (месенджерів, соцмереж, email, etc.);
- увімкнув "режим польоту" або беззвучний режим;
- не чує/не бачить повідомлень (перебуває в шумному місці, спить, плаває тощо);
- то він/вона може не помітити входу з девайса зловмисника.
Отже, в умовах відсутності реєстрації громадянина в Дії і відсутності в нього/неї рахунку в банках-партнерах Дії, зловмиснику досить отримати на цього громадянина якісні копії його паспорта та довідки про присвоєння ІПН (РНОКПП), а також підібрати співучасника, схожого на жертву в зовнішності, або загримувати того, який уже є.
Загальна вартість атаки відносно невисока, а ризики для виконавця — відносно низькі (на противагу оффлайн-відвідуванню відділення банку з більш якісною і значно дорожчою підробкою паспорта).
Крім того, за подібної схеми відпадає необхідність викрадення фінансового номеру жертви та/або його email.
Висновки я б розділив на дві частини: "Хто винен" і "Що робити?"
Хто винен?
Незважаючи на начебто очевидну відповідь, насправді ситуація з шахрайськими кредитами в Україні складніша, ніж може здатися. За фактом, залишилися невирішеними старі "аналогові" проблеми:
- копій паспортів та довідок ІПН (РНОКПП) у нелегальному обігу залишається дуже багато,
- витоки персональних даних громадян з державних і недержавних реєстрів і баз даних залишаються буденною справою,
- законодавство про захист персональних даних є застарілим, а його виконання і невідворотність притягнення винних до відповідальності фактично не забезпечено,
- робота правоохоронних органів з виявлення та притягнення до відповідальності шахрайських груп усе ще є незадовільною (це можуть підтвердити в будь-якому банку).
Але на старі "аналогові" проблеми поки наклалися нові, але вже цифрові, що спричинили посилення ризиків, що вже існують, і призвели до кумулятивного ефекту.
Якщо раніше шахраям для отримання кредиту на іншу особу необхідно було виготовляти підроблений або купувати справжній паспорт, а потім ризикувати, особисто відвідуючи відділення банку (з далекою від нульової ймовірністю бути затриманим на місці спроби скоєння злочину), то тепер, з введенням можливостей недосконалої цифрової ідентифікації — знижена як вартість підготовки до шахрайства, так і ризики для його виконавців.
Насправді, відправивши в банк копії документів і пройшовши відео-ідентифікацію, зловмисник практично виходить із зони ризику і далі оперує цілком легітимним і отриманим за офіційною процедурою легальним цифровим паспортом, який може майже без ризику застосувати для одночасного отримання кількох кредитів на максимально дозволені банком суми.
Повертаючись до питання "Хто винен", можна відразу назвати такі фактори:
- неефективність реалізації державної політики у сфері захисту персональних даних, ЗПД (стара проблема);
- неефективна робота правоохоронних органів і їхня корумпованість з боку організованої злочинності (стара проблема);
- невирішеність питання безпеки державних реєстрів та баз даних (стара проблема);
- непродуманість архітектури та некваліфікованість реалізації нових державних рішень у сферах цифрової ідентифікації громадян ("кредит через Дію") та системі електронних довірчих послуг ("кейс Рябошапки", "кейс Джо Байдена") за умови невирішеності всіх старих проблем, що вже зараз призводить до їх цифрового масштабування;
- небажання розробників і промоутерів нових цифрових рішень враховувати вимоги безпеки до таких сервісів ще на рівні планування архітектури, надаючи безумовну перевага швидкості їхній реалізації та інтеграції з уже чинними моделями, які мають безліч невирішених проблем безпеки;
- повна непрозорість нових цифрових рішень, відсутність доступу до їхньої технічної документації, вихідного коду, неготовність розробників нових цифрових рішень конструктивно сприймати об'єктивну критику та будь-яка незгода (як ззовні, так і зсередини), ігнорування професійних підходів до організації кібербезпеки вже запущених в оборот цифрових продуктів масового застосування.
Введена новою "дієвою" урядовою командою система цифрової ідентифікації на практиці ідентифікує не людину, а смартфон, який, зовсім не факт, що належить саме цій людині.
І цей смартфон людина може втратити, продати, подарувати, віддати в ремонт. Також смартфон у власника можуть вкрасти або змусити розблокувати.
Небезпека і неприпустимість такого непродуманого, поверхового рішення підтверджує недавній випадок у Львові, коли зловмисники відібрали у двох чоловіків кредитні карти і смартфони зі встановленою Дією, після чого на них було оформлено одинадцять кредитів у дев'яти компаніях на загальну суму 150 000 гривень.
А протягом кількох годин після нападу шахраї оформили на одного з потерпілих послугу "Оплата частинами" на придбання iPhone вартістю 19 тис. грн, оплатили з рахунку жертви перший внесок і відразу забрали товар в одному з місцевих мережевих магазинів електроніки.
Як показано вище, тимчасова і юридично сумнівна (неофіційна) заборона цифрової ідентифікації через Дію для МФО (мікрофінансові організації) — суперечить Закону України 4355 — і не виключає спрацьовування аналогічної шахрайської схеми для банків.
До того ж, у разі подальшого приховування урядовими структурами справжніх масштабів цифрового шахрайства, МФО можуть згодом пролобіювати скасування такого обмеження, яке поки не регламентується ніякими законодавчими нормами.
Що робити?
Насправді, варіантів вирішення проблеми "кредит через Дію" існує декілька: від локальних до загальнонаціональних.
Локальним рішенням може бути поступова відмова банків та інших компаній-партнерів приймати Дію як легітимний засіб ідентифікації особи в разі істотного збільшення випадків фроду (шахрайства) з її використанням.
Приводом для відмови можуть слугувати, наприклад, "збої функціонування відповідних технічних засобів" з боку банків або "хакерські атаки", або "тимчасові профілактичні роботи", або інші формальні приводи.
Вірогідність застосування рішення: середня-висока.
Іншим локальним рішенням може бути тимчасове відключення самим розробником можливості банкам використовувати Дію як ідентифікатор особистості.
Вірогідність: середня-низька.
Глобальним рішенням могло б бути призупинення Верховною Радою дії Закону України № 4355 "Про Єдиний державний демографічний реєстр та документи, що підтверджують громадянство України, посвідчують особу чи її спеціальний статус", який прирівняв цифрові документи в додатку Дія до звичайних.
Вірогідність використання рішення: низька.
Також до глобальних рішень можна було б віднести радикальні зміни з боку державного розробника та інших причетних органів влади в бік зміни концептуальної парадигми, архітектури та принципової моделі реалізації механізмів цифрової ідентифікації громадян, особливо в частині значного посилення безпекового складника.
Одночасно інтенсифікувати процес організації безпеки державних баз даних і реєстрів, розблокувати фактичний і правовий захист персональних даних громадян, активізувати правозастосовчу роботу в цій сфері, і тільки після того перейти до розробки безпечних цифрових рішень, які відповідають сучасним міжнародним підходам.
Вірогідність використання такого рішення: близька до нульової.