"Від шахраїв не врятують ні FaceID, ні скан відбитків": експерти про вразливість смартфонів

У січні 2022 року сталася низка інцидентів крадіжки особистих даних через доступ до мобільних пристроїв. Так, 13 січня шахраї вкрали смартфон громадянки А. У Києві, спробували зняти гроші з її рахунків та оформити кредити на її ім'я. Їм це зробити не вдалося, проте вони змогли змінити пароль від AppleID. Того ж дня у мешканки Києва Антоніни Оксанич "угнали" телефон та взяли кредит на 39 тис. грн на її ім'я. Фокус опитав експертів з кібербезпеки, щоб дізнатися, як могли діяти шахраї (гіпотетично) та як можна захистити свої дані.

Пояснимо, що таке AppleID та Face ID. AppleID — система аутентифікації, розроблена Apple і надає доступ не тільки до брендових пристроїв, але і до таких сервісів, як iTunes Store, App Store, iCloud тощо.

Змінити пароль від AppleID можна за допомогою My Apple ID, натиснувши на "Керування акаунтом", здійснивши скидання пароля, а потім ввівши новий. Саме так і вчинили шахраї у випадку з пані А. На надісланому нею скріншоті видно, що аферисти скинули пароль від Apple ID.

Фокус дізнався, чи справедливо в такому разі покладати відповідальність і на Apple? Чи мається на увазі, що за шифрування всього вмісту, що зберігається на телефоні, у хмарних сервісах відповідає компанія-виробник?

"Ми ж не знаємо, наскільки складним був PIN-код або графічний пароль. Без матеріалів справи я не ризикував би робити висновки, що Apple за все відповідає", — сказав Роман Хіміч, телеком-експерт.

У випадку Антоніни Оксанич шахраям вдалося заволодіти паролем від її смартфона. Своїми підозрами вона поділилася в соцмережах: Є підозра, що в черзі підглянули пароль для розблокування телефону, коли не спрацьовує Face ID. І якщо я раніше думала, що Face ID супер захищає, то тепер розумію, що все навпаки, пароль входу в телефон дає доступ до всіх програм".

"Зараз я змінила сім-карту (номер залишився той самий) і перевипустила банківські картки, поміняла паролі в пошті та месенджерах", — додала Антоніна.

Ми поцікавилися у фахівця в галузі кібербезпеки Костянтина Корсуна, чи могли злочинці отримати пароль, просто підглянувши за наміченою "жертвою".

"Так, швидше за все, шахраї підглянути цифровий код, що дає доступ до телефону, і код до "Дії". У такому разі вже ні FaceID, ні система сканування та розпізнавання відбитків пальців не допоможе", — відповів експерт у коментарі Фокусу.

Відомо, що зловмисники видалили фотофайли, які зберігалися на "хмарі" iCloud, а це означає, що AppleID Оксанич теж був скомпрометований, адже, як ми пояснювали вище, саме ця система дає доступ до таких служб, як iCloud.

"Шахраї також видалили мій iCloud з усіма 10 тис. фотографіями. Зніматиму знову, що ж робити", — нарікала Антоніна.

Також Оксанич повідомила, що зловмисники "викрали айфон під час виходу з магазину". За словами постраждалої, вона не відразу виявила пропажу. А пізніше з'ясувалося, що злочинці через програму Монобанк "оформили кредитну лінію та зняли 39 тис. грн".

"Дивом у мене не було підключено Приват до FaceID", — зазначила жінка.

Щодо кейсу киянки А., коли злочинці намагалися скористатися "Дія.Підпис", Корсун зазначив, що, найімовірніше, аферисти хотіли підписати документи для УБКІ (Українське бюро кредитних історій, — ред.), але їм це не вдалося зробити. Також він наголосив, що для авторизації в банку "підписувати в "Дії" нічого не потрібно.

Зазначимо, що на сайті УБКІ є послуга "Заявка на кредит", яка потребує входу за допомогою "Дія.Підпис". Можливо, саме це намагалися зробити злочинці.

"УБКІ просто збирає заявки і передає в банки, але саме бюро точно не видає кредитів. Мабуть, шахраї вирішили, що можна через "Дія.Підпис" кредит взяти, але не туди полізли. Недосвідчені злочинці – вміють красти телефони, але не вміють провертати фінансові афери. Підкреслю ще раз: Українське бюро кредитних історій лише збирає, зберігає та видає інформацію про кредити згідно з відповідними запитами", — сказав Костянтин.

Роман Хіміч, у свою чергу, сказав, що не поділяє впевненості багатьох своїх колег у тому, що у згаданих випадках шахрайства завдяки доступу до "Дія" злочинцям вдавалося оформляти кредити. На скріншоті, надісланому громадянкою О., зафіксовано невдачу, навів приклад експерт.

"Наскільки я можу судити на підставі моїх власних експериментів, захоплення чиєїсь "Дії" саме по собі недостатньо для відкриття рахунку в банку та оформлення кредиту. На сьогодні основні ризики лежать в іншій площині — вчинення юридично значущих дій на кшталт відправки/отримання поштою заборонених відправлень, наприклад, — пояснив Роман. "Використання PIN-коду або графічного коду для розблокування загрожує їх перехопленням. Злочинці все частіше розміщують приховані камери в людних місцях, отримують доступ до законних камер відеоспостереження, можуть і підглядати по-старому. Відбиток пальця або FaceID хороші тим, то їх неможливо перехопити. Особисто я покладаюся на відбитки, оскільки розпізнавання обличчя не завжди спрацьовує" .

Костянтин Корсун у своєму пості в соцмережах написав, що небезпека ще й у тому, що буквально все тепер зав'язано на телефоні — і сам пристрій стає вразливим.

"Діджилізатори замість тебе вирішили, що твій телефон – це не просто апарат, але це також і твій паспорт, і посвідчення водія, і техпаспорт, і свідоцтво про народження дитини. І твої гроші. Телефон – це твоя повна цифрова ідентифікація, яка… прирівняна до офіційних документів", — виклав свою позицію Корсун.

За словами фахівців, смартфон можна убезпечити, користуючись ним дуже обережно, прив'язавши номер телефону до паспорта. Детально про заходи, які варто вжити користувачам мобільних пристроїв, ми писали тут.

"В Україні неможливо прив'язати до паспорта сім-карту, — лише номер телефону. Це поширена помилка, яка дорого обходиться. Але й номер телефону нам ні в якому сенсі не належить, ми ним не володіємо, тому навіть прив'язка до особи не гарантує крадіжки номера за сприяння співробітників операторського салону, на жаль, в Україні достатніх засобів для управління подібними ризиками в розпорядженні фізичних осіб просто немає, — наголошує Хіміч.

"І при цьому непогано було б скасувати закон, згідно з яким влада прирівняла офіційні документи державного зразка до "Афери-В-Смартфону", — поіронізував Корсун

Раніше ми повідомляли про те, що 13 січня шахраї вкрали смартфони у двох громадянок України і в одному з випадків змогли відкрити кредитну лінію в Монобанку і зняти з рахунку постраждалої 39 тис. грн. У другому випадку їм не вдалося ні зняти гроші з поточних рахунків, ні набрати кредитів на її ім'я. А 6 січня за допомогою SIM-свопінгу злочинцям вдалося набрати мікропозик на ім'я львів'янки Ірини Ілик.

Фокус направив запити в ПриватБанк, Монобанк, Мінцифри. Слідкуйте за нашими новинами.