BankID не можна "зламати", маючи доступ до SIM-картки жертви, — НБУ про кредитну аферу у Львові

BankID, ноутбук

Щоб скористатися BankID, недостатньо мати доступ до номера мобільного телефону людини, потрібно ще зуміти пройти замість неї двофакторну ідентифікацію, отримати доступ до її КЕП і навіть гримуватися, запевняють у Нацбанку України.

Минулого тижня громадянка України Ірина Ілик написала в соцмережах про те, що шахраї взяли кілька кредитів на її ім'я, причому вона дізналася про це, отримавши повідомлення від сервісу "Дія". Фокус направив запит до Нацбанку України, щоб з'ясувати, чи могли зловмисники отримати доступ до BankID Ілик, маючи на руках номер її телефону та доступ до всіх даних, які зберігалися на перевипущеній ними SIM-карті з відома та за допомогою телеком-оператора "Київстар".

Чи зловмисники могли скомпрометувати BankID Ірини Ілик

"Щоб скористатися Системою BankID НБУ, недостатньо мати доступ до номера мобільного телефону фізичної особи. Відповідно до вимог Системи BankID НБУ, кожен банк-ідентифікатор, підключений до системи, налаштовує багатофакторну аутентифікацію користувачів. Це означає, що клієнту потрібно застосувати щонайменше два різні фактори для ініціювання передачі ідентифікаційних даних. Найчастіше це логін і пароль від входу в інтернет-/мобільний банкінг (пароль відомий тільки клієнту і ніколи не повинен розголошуватися), а також SMS-код/або дзвінок, що приходить на телефон у момент аутентифікації. Комбінація яких саме двох факторів знадобиться для ідентифікації — кожен банк визначає самостійно, залежно від своїх політик", — повідомила пресслужба НБУ.

У Нацбанку зазначили, що, маючи лише скомпрометований номер телефону, неможливо скористатися BankID НБУ. "До того ж шахраї мали дізнатися, в якому банку обслуговується людина і не тільки перевипустити сім-карту, а й "зламати" ще один фактор входу", — підкреслив регулятор.

У випадку шахрайських дій Нацбанк рекомендує постраждалим негайно звернутися до свого банку, де було скомпрометовано вхід до їхнього особистого кабінету, щоб з'ясувати, чи передавалися особисті дані через Систему BankID НБУ на будь-яких постачальників послуг.

А у випадку порушення прав споживача фінансових послуг, клієнт, який постраждав від шахрайських дій, може звернутися до Національного банку.

"На жаль, громадянка Ірина Ілик не зверталася до Національного банку, тому достовірно встановити, що сталося — неможливо", — йдеться в офіційній заяві.

Чи могли шахраї скористатися е-паспортом з "Дія"

Фокус також поцікавився, чи могли зловмисники, гіпотетично, скористатися даними з додатка "Дія", щоб пройти ідентифікацію у процесі відкриття рахунку в якомусь банку за допомогою додатку (нагадаємо, що Ірина Ілик зробила скріншот, з якого видно, що до її "Дії" підключився новий пристрій, див. фото нижче).

Дія, додаток, скріншот, сервіс, Ірина Ілик Fullscreen
Повідомлення про те, що до програми "Дія" Ірини Ілик підключено новий пристрій

Як відповіли в НБУ, методи віддаленої ідентифікації та верифікації осіб у банках визначене та дозволене постановою Правління НБУ від 19 травня 2020 р. №65 "Про затвердження Положення про здійснення банками фінансового моніторингу". Цією постановою передбачено можливість використання комбінацій різних технологій – відеоідентифікація, BankID тощо.

"Одним із способів такої ідентифікації є можливість одночасного застосування двох джерел інформації: шерингу електронного паспорта з "Дія" з одночасною фотофіксацією особи банком з використанням методу розпізнавання реальності особи з наступним накладенням КЕП (кваліфікованого електронного підпису, — ред.) уповноваженого працівника банку та кваліфікованої електронної позначки часу на отриманий електронний документ, який містить фото, або отримання копії ідентифікаційного документа або опитувальника, на який накладено КЕП клієнта", — пояснили в НБУ.

Після цього банк перевіряє відповідність усіх отриманих ідентифікаційних даних клієнта (даних е-паспорта, отриманого з "Дія", результатів фотофіксації клієнта або КЕП клієнта та копій його ідентифікаційних документів).

Регулятор запевняє, що зловмисникам недостатньо було отримати несанкціонований доступ до "Дії" Ірини Ілик, оскільки їм довелося б "підробити" її зовнішність для проходження такої перевірки на боці банку або заволодіти копіями її ідентифікаційних документів та КЕП.

Яких заходів вживає НБУ, щоб убезпечити BankID користувачів

У 2021 році в Системі BankID НБУ для всіх банків-ідентифікаторів запровадили обов'язкове застосування багатофакторної автентифікації користувачів системи. "Станом на кінець 2021 року всі підключені до системи банки виконали цю вимогу", — сказано у заяві.

Також у Нацбанку додали, що технологія роботи системи BankID НБУ передбачає, що інформація, яка містить персональні дані користувача, передається через систему виключно у зашифрованому вигляді (підписується ключами банку-ідентифікатора і надавача послуг — установи, якій передаються дані). Відповідно, тільки установа-одержувач цих даних може розшифрувати цей пакет. НБУ не має доступу до цих даних.

"Лише власник персональних даних може ініціювати передачу своїх даних від абонента-ідентифікатора до абонента-постачальника послуг. Передача даних здійснюється виключно за ініціативою та згодою користувача", — наголосили в НБУ.

Торік до Системи BankID НБУ було підключено першого телеком-оператора — lifecell. У процесі інтеграції знаходяться "Водафон" та "Київстар". "Це означає, що система BankID НБУ дозволяє ідентифікувати власника сім-карти у підключеного телеком-оператора, що знижує ризик подальших шахрайських дій з SIM-картою такого клієнта. Оскільки у разі заміни SIM-карти телеком-оператор повинен буде звірити документи потенційного шахрая з ідентифікаційною інформацією власника картки, що суттєво ускладнює можливість шахрайства та перевипуску SIM-карти на третю особу”, — пояснив регулятор.

Чи надійний BankID на практиці?

Раніше Фокус поспілкувався з фахівцем у сфері кібербезпеки Андрієм Барановичем, який вважає, що BankID Ілик був скомпрометований, інакше як аферистам вдалося без відома Ірини відкрити рахунок на її ім'я у сторонньому банку? Ірина у своєму повідомленні на Facebook написала, що МФО, де на неї оформили кредити, повідомили їй частину номера банківської картки, на яку було зараховано кошти. При цьому Ілик стверджує, що ні карти, ні рахунки з таким номером вона не має. Цю інформацію Фокусу підтвердила компанія "Манівео".

"Згідно з чинним законодавством, фахівець компанії "Манівео" після верифікації особи Ірини Ілик повідомив їй 6 перших та 4 останніх цифр картки. Договір може бути анульований у разі процесуального рішення суду у кримінальній справі (вироку), який набуде чинності, але через складні обставин пані Ілик, всі нарахування за кредитом, взятим на її особу, та комунікації зі стягнення заборгованості припинені", — повідомила пресслужба компанії.

Фокус звернувся за додатковими коментарями до Ірини Ілик. Слідкуйте за нашими новинами.

Раніше ми повідомляли про те, чому потрібно прив'язувати SIM-карту до паспорта і чи може це захистити вас від такого виду шахрайства, як SIM-свопінг.