Украли мобільний – набрали кредитів, у поліції кажуть: не перший випадок. Як захиститись?

Користувач Іван Б. розповів на своїй сторінці у Facebook, що шахраї вкрали смартфон його тестя та змогли оформити на чоловіка 40 тис. грн кредитів у п'яти різних організаціях. Фокус зв'язався з постраждалими та спробував розібратися, що сталося.

Іван Б. стверджує, що зловмисники за допомогою вкраденого смартфона зламали "Приват24", а потім увійшли до програми "Дія". Як постраждалим повідомили в поліції, це далеко не перший подібний випадок, "умільці" навчилися ламати мобільні програми. Адвокат, який спеціалізується на кредитних справах, стверджує, що важливу роль в алгоритмі дій шахраїв відіграв сервіс "Дія", проте фахівці заперечують — досить BankID.

Імовірний сценарій такий:

• Зловмисники крадуть пристрій і розблокують його, отримуючи доступ до номера телефону;
• Входять до банківського облікового запису жертви: підглядають-підбирають пароль або відновлюють за номером телефону;
• Переказують кошти на свої рахунки;
• Отримують доступ до BankID, який автоматично генерується банками;
• За допомогою BankID реєструються у фінансових організаціях і оформлюють кредити, після чого знов-таки виводять гроші.

За допомогою BankID можна також активувати програму "Дія" та отримати доступ до електронних документів жертви для використання її особи в інших шахрайських схемах:

• Отримання або надсилання посилок із нелегальним вмістом;
• Поштові махінації;
• Фальсифікація особистості;
• Реєстрація номерів мобільного зв'язку.

Злом "Приват24" та "Дії" після крадіжки смартфона: історія киянина

Як пише Іван Б., увечері 28 січня невідомі вкрали в його тестя смартфон, на якому були встановлені додатки "Приват24" та "Дія". У коментарі Фокусу киянин розповів, що інцидент, імовірно, стався в електричці, де власник смартфона, інвалід третьої групи, їхав із роботи додому. Вранці наступного дня чоловік перевипустив SIM-картку та відключив фінансовий номер у "ПриватБанку", проте незабаром почав отримувати СМС-повідомлення про успішне отримання кредитів.

Разом із родичами йому вдалося виявити в базі Українського бюро кредитних історій п'ять кредитів на загальну суму 40 тисяч гривень, які оформили та видали різні організації:

• ПриватБанк
• CreditPlus
• Credit 7
• Gofingo
• Moneyveo

"Думаю, найімовірніше, що шахраї діяли через комбінацію "Приват24 + сім-карта", ніж через "Дію". У той же час, в "Дію" теж заходили, що може говорити про те, що вони зламали пароль", — уточнює Іван.

Вкрадений смартфон, як розповів Іван Б. Фокусу, працював під керуванням операційної системи Android і розблокувався за допомогою графічного ключа. Що стосується "Приват24", то для входу використовували логін і пароль. Власник смартфону сам ніколи не заходив в онлайн-банкінг, дочка використала "Приват24", щоб зареєструвати його в "Дія" — саме на додаток впала перша підозра після оформлення кредитів.

"Для видачі кредиту мікрофінансові організації перевіряють кредитну історію, яку вони запитують через "Дію". Відповідно, в "Дії" вони також змогли якось залогінитись. Ми потім уже побачили, що поки телефон був у руках шахраїв, там здійснювалися входи з двох сторонніх пристроїв. Відповідно, вони "Дію" використовували як інструмент верифікації його кредитної історії", — поділився своїми припущеннями Іван.

Іван разом із дружиною та тестем вирушили писати заяву про крадіжку телефону. У Кіберполіції звернення розглядати відмовилися, сказали: "Не наша компетенція". У Солом'янському управлінні Національної поліції спочатку також відмовлялися приймати заяву, але у результаті внесли дані до ЄРДР. Киянин також звернувся за допомогою до "Гільдії IT-фахівців", яка пов'язала його з адвокатом Олександром Спиридоновим, спеціалістом із кредитних суперечок.

"У особистих бесідах поліцейські говорили, що ми не одні такі, що нам ніхто не допоможе, що "Дію" постійно ламають, що багато кредитів через неї беруть, "Приват" ламають", — розповідає Іван.

За словами користувача, МФО CreditPlus і Credit 7 визнали оформлення кредитів незаконним і скасували заборгованості, Gofingo взяли документи на розгляд, але поки що не відповіли. Компанія Moneyveo.UA "не виявила" ознак шахрайства і заявила, що вважатиме чоловіка боржником, поки правоохоронці не зловлять злочинця і суд не ухвалить обвинувального вироку.

Головною проблемою для сім'ї став "ПриватБанк", на який припадає близько половини всього боргу. Тестю не вдалося прив'язати новий фінансовий номер телефону до банківського рахунку через технічний "глюк". Він звернувся до відділення, отримав виписку за рахунком та попросив співробітників прив'язати новий номер. Ті погодилися, але за добу нічого не змінилося.

"Загальна сума кредитів не лякає. Я навіть думав: заплачу — і пофіг. Найстрашніше інше: спочатку було 20 тис., потім — 25 тис, 40 тис. Воно не зупиняється, немає "кнопки", яку можна натиснути, щоб це все зупинити. Ми задіяли всі інструменти, витратили купу часу і сил, щоб внести дані до ЄРДР, щоб заява перетворилася на кримінальне провадження… Багато зусиль забрала комунікація з Приватом", — пояснює Іван.

Як шахраям вдалося взяти кредити на чуже ім'я і до чого тут "Дiя": думка експертів

Експерт із кібербезпеки Костянтин Корсун прокоментував кейс Івана Б. на своїй сторінці у Facebook і припустив, що у шахрайстві з кредитами задіяли додаток "Дія". За його словами, банки автоматично генерують BankID для своїх клієнтів без запиту користувача, а ця технологія дозволяє легко увійти до "Дії".

"Думаю, послідовність маніпуляцій приблизно така: викрадають/хакають смартфон, з нього ж заходять до банківського облікового запису жертви, переводять усі гроші на свої картки та проводять інші махінації. Але це тільки початок. Потім отримують доступ до BankID цього ж банку – їхні банки генерують для своїх клієнтів автоматично, без запиту користувача, маючи цей BankID, а також контроль над телефоном і, відповідно, банківським акаунтом — можна легко зайти в "Дію" жертви", — пояснює Костянтин Корсун.

Телеком-експерт Роман Хіміч стверджує, що для оформлення кредиту на чуже ім'я злочинцем вистачить BankID, але це лише вершина айсберга, адже за його допомогою можна активувати додаток "Дія" та заволодіти цифровими документами, наприклад, е-паспортом. Маючи доступ до таких файлів, можна робити інші шахрайські дії, наприклад, відправити або забрати посилку із забороненими речовинами, провертати афери з поштовими відправленнями.

"У Мінцифрі напирають на те, що за допомогою "Дії" не можна оформити кредит у банку. Проте якщо є BankID жертви, "Дія" просто не потрібна", — наголошує Роман Хіміч.

Найслабшим місцем, яким часто користуються шахраї, експерт вважає так звані фінансові номери мобільного зв'язку, які використовуються для ідентифікації користувачів, у тому числі й у системі BankID. Навіть якщо номер зареєстрований на конкретну людину, співробітники компанії-оператора все одно можуть передати її іншому. За словами Романа Хіміча, зазвичай одного телефонного номера для доступу до BankID недостатньо – більшість банків заявляють, що використовують багатофакторну аутентифікацію, однак у більшості випадків лише на словах.

Адвокат Олександр Спиридонов, який займається справою про неправомірне укладання кредитних договорів на ім'я родича Івана Б., розповів Фокусу, що ключові маніпуляції полягали у використанні двох мобільних додатків: "Приват24" та "Дія". У випадку Івана Б., вважає адвокат, шахраї увійшли до програми "Дія", щоб відкрити доступ до кредитної історії.

"Вивчення кредитної історії – це важлива частина обробки кредитної заявки, без якої не можна оформити договір", — наголосив адвокат.

Експерт із тестування додатків Тарас Розкішний, голова "Гільдії IT-фахівців", повідомив Фокусу, що організація вже неодноразово стикалася з подібними випадками шахрайства, від яких постраждали інші українці. Айтішники детально проаналізували кейс та алгоритм дій зловмисників у разі тестя Івана. Згідно з їхніми висновками, верифікація користувача відбулася через технологію BankID: за словами фахівця, цей метод є вразливим та ненадійним, особливо якщо зловмисники мають фізичний доступ до телефону. По суті, верифікація через BankID зводиться до елементарного введення пароля, який у свою чергу можна відновити через СМС і обійти механізм захисту.

"Свою роль у цьому кейсі відіграв і додаток "Дія", тому що він по суті є джерелом усіх персональних даних про особу, документів, електронних джерел в одному смартфоні", — розповів глава "Гільдії".

Тарас Розкішний порадив користувачам на користь безпеки не встановлювати додатки, які є джерелом персональних даних і можуть фактично "замінити" живу людину під час підтвердження особи. За словами експерта, таке ПЗ може забезпечити зловмисника всім необхідним для шахрайських дій, і це стосується не лише кредитів. У випадку з банківськими програмами варто запитати додатковий спосіб верифікації особи під час здійснення будь-якої операції, наприклад, за телефонним дзвінком.

Мінцифри: за громадянина поборемося, але ця історія не про "Дію"

Іван Б. додає, що після публікації посту у Facebook з ним зв'язався керівник з розвитку електронних послуг у Мінцифри Мстислав Банік, попросив надати більше інформації з додатку "Дія" (зокрема про "сліди" сторонньої присутності) та пообіцяв розібратися разом зі своєю командою. У коментарях керівник департаменту розробки ДП "Дія" Євген Горбачов повідомив, що МФО ніяк не прив'язані до їхнього ПЗ.

"Ситуація відбулася абсолютно без участі "Дії". Кут атаки шахрая — "ПриватБанк" через викрадення (перевипуск) номера, — наголосив представник сервісу. — Безумовно, поборемося за тестя, як і за інших, хто страждав від шахраїв. Але ця історія не про "Дію". Але це вже розслідування покаже підтвердження від МФО в межах кримінальної справи. Там просто слів МФО буде недостатньо, вони мають надати слідчим докази та підстави для відкриття кредиту. І ви дуже здивуєтеся", — заявив Євген Горбачов.

Раніше 22-річний українець Ростислав Переведенцев заявив про злом його "Дії" та BankID. За словами користувача, шахраям вдалося оформити на нього 4 кредити в різних МФО.