"Вкрали" BankID та дані "Дії": експерт пояснив, як аферисти підмінили цифрову особистість

Справа про шахрайство щодо громадянки України Ірини Ілик досі залишається не проясненою, незважаючи на отримані Фокусом коментарі від Мінцифри та компанії "Київстар". Ми вирішили поспілкуватися з експертом у галузі кібербезпеки Андрієм Барановичем, щоб зрозуміти, яким чином зловмисникам вдалося обдурити кілька фінустанов.

Андрій вважає, що все трапилося "завдяки" тому, що аферистам удалося перезапустити SIM-карту Ірини Ілик, а вже після цього вони отримали доступ до її BankID.

"BankID влаштований дуже просто — логін, пароль і код, що надсилається банком через SMS для ідентифікації клієнта, який хоче скористатися послугами інтернет-банкінгу. У разі Ірини Ілик BankID викрали, перевипустивши SIM-карту й отримавши доступ до даних, що зберігаються на ній", — пояснює Баранович.

Однак експерт вважає, що не тільки BankID був скомпрометований. За його словами, якби все зводилося лише до викрадення BankID, то шахраї мали б можливість обікрасти поточні рахунки Ілик, але не змогли б без її відома відкрити рахунок у сторонньому банку. Сама ж Ірина стверджує, що все так і було. Нагадаємо, що у своєму повідомленні на Facebook вона вказала, що в компанії, де на її ім'я було оформлено мікрокредит, їй повідомили номер банківської картки, на яку було зараховано кредитні кошти.

"Інформацію мені повідомила компанія "Швидкозайм" телефоном: карта на ваше ім'я, останні цифри 2811", — розповіла Ірина в коментарі Фокусу.

При цьому вона стверджує, що вона не має ні рахунку, ні карти з таким номером.

"Постраждала запевняє, що не відкривала рахунок у сторонньому банку. І я схильний їй вірити. У такому разі, це зробили шахраї. І проблема в тому, що відкрити рахунок у банку, не надавши паспорт, неможливо, зате можна це зробити за допомогою сервісу "Дія", — каже Андрій Баранович. — І на скріншоті, зробленому Іриною, видно, що шахраї заходили до "Дії" після того, як SIM-карта та BankID були ними викрадені".

Експерт із кібербезпеки вважає, що саме цей факт — вхід у "Дію" в той час, коли Ілик ще не мала доступу до свого номера, — і дає підстави сумніватися в тому, що сама "Дія" не була скомпрометована.

Справді, відкрити рахунок за допомогою "Дії" дистанційно можливо, наприклад, в "Альфа-Банку". Під час реєстрації банк запитує в "Дії" дозвіл на шеринг документів і на фотоверифікацію (просить зробити селфі для ідентифікації людини з фото на е-документах, отриманих від "Дії"). Після цієї процедури в додатку "Дія" відображається запит на кредитну історію від банку, в якому ви відкриваєте рахунок, у цьому випадку — від "Альфа-Банку".

За повідомленням Ірини Ілик, на її телефоні відображалися запити на кредитні історії від Українського бюро кредитних історій і від "Монобанку" на збільшення кредитного ліміту на її карті. Проте запит від стороннього банку не надходив. Цю інформацію Ілик підтвердила Фокусу.

У Міністерстві цифрової трансформації України також заявляють, що афера вдалася через те, що була скомпрометований BankID.

"За допомогою скомпрометованого BankID зловмисник авторизувався в "Дії", що й було зафіксовано в додатку та відображалось у розділі "Активні сесії". Також у цьому розділі відображається час підключення пристрою та те, які документи були підписані в межах певної сесії", — прокоментували в міністерстві.

Фокус запросив коментарі в Національного банку України та Кіберполіції. Стежте за нашими новинами.

Рекомендуємо ознайомитися з нашим матеріалом про те, чи варто прив'язувати SIM-карту до паспорта та чи може цей метод захистити ваші дані від крадіжки за допомогою SIM-свопінгу, як у випадку Ірини Ілик і Людмили Ж.