"Должен 50 тыс. грн по кредитам, которых не брал": украинец заявил о взломе "Дія" и BankID

Жительница Вышгорода Юлия Переведенцева обратилась к эксперту по кибербезопасности Константину Корсуну и заявила, что телефон ее сына Ростислава взломали и взяли на его имя несколько кредитов. Фокус попытался разобраться, что же произошло на самом деле.

Взломали смартфон, а потом "Дію": история Ростислава Переведенцева

Константин Корсун на своей странице в Facebook поделился рассказом Юлии Переведенцевой о том, как ее сын Ростислав случайно стал жертвой мошенников. Парень нажал на рекламу в социальной сети "ВКонтакте", после чего в ночь на 1 ноября 2021 года были взломаны его почта, Google-диск, аккаунт в "Приватбанке", мессенджеры Viber и Telegram. Кроме того, злоумышленники зарегистрировались от имени Ростислава на сайтах кредитных компаний, на сайте OLX и авторизовались в приложении "Дія". Об авторизации мошенников в госсервисе молодой человек узнал, получив уведомление о входе в "Дія" через BankID банка, в котором открыли счет на его имя без его ведома (в своем посте Корсун, ссылаясь на слова матери потерпевшего, указывает, что таких банков было два).

Константин Корсун предположил, что пользователь подхватил в соцсети так называемый "пэйлоад" (payload) вредоносное ПО (malware), которое распространяли, используя технологии социальной инженерии (социнженерия подразумевает психологическое манипулирование людьми, чтобы заставить их совершать определенные действия или выдать конфиденциальную информацию, — ред.).

"Случайно нажал на рекламу, пытаясь закрыть. Никакого ввода данных не потребовалось — просто начались внезапные регистрации в разных интернет-ресурсах наподобие OLX, так же были регистрации на некоторых сайтах микрозаймов (интернет-кредиты). Я пытался заблокировать свой номер, позвонил мобильному оператору "Киевстар", но они меня не слышали. То есть, злоумышленники как-то глушили, что ли, я без понятия, но меня было попросту не слышно", — рассказал Ростислав Переведенцев в телефонном разговоре с Фокусом.

Он добавил, что после взлома сменил телефонный номер, заблокировав старый, поменял пароли в электронной почте и мессенджерах, заблокировал аккаунт в "Приватбанке". Серьезные опасения вызвал взлом Google-диска, потому как там автоматически сохранились фотографии документов, которые парень раньше использовал для взятия кредитов в микрофинансовых организациях. Как утверждает Ростислав, он не знал о наличие этих файлов в "облаке", пока случайно туда не зашел, и сразу же их удалил, но у мошенников было время их украсть.

"Я считал, что этого будет достаточно, но, видимо, нет. Или до момента изменения данных они успели скопировать все, что им было необходимо", — поделился Ростислав. — "Кредитные компании в переписке сообщили, что была проведена процедура BankID для входа в мои личные кабинеты. 1 декабря 2021 года как-то подключились к моей "Дії", было уведомление о подключении нового устройства".

Вскоре после этого на имя Ростислава начали оформлять кредиты. По его словам, первым "звоночком" стало уведомление об отсоединении номера телефона от личного кабинета в МФО MyCredit — служба поддержки сообщила, что произошла автоматическая авторизация через BankID. На пользователя "повесили" четыре кредита примерно на 11 тысяч гривен, однако Ростислав узнал о них лишь в январе 2022-го, когда коллекторы начали требовать выплат – к тому моменту с учетом пеней и процентов общая сумма выросла почти до 50 тысяч гривен.

В CreditBox парню сообщили, что регистрация для оформления кредита была осуществлена через BankID "Мегабанка", с которым он никогда не сотрудничал. Ростислав решил проверить, не зарегистрировались ли мошенники под его именем в качестве клиента "Мегабанка", и в финучреждении ему сообщили, что он клиентом не является. Сотрудники банка сказали, что "не имеют никакого понятия", каким образом произошла авторизация. утверждает пострадавший.

Три МФО, — MyCredit, CreditBox, "Швидко Гроші", — посоветовали ему обратиться в киберполицию, чтобы данные внесли в Единый реестр досудебных решений, и сотрудники компаний смогли проверить ситуацию со своей стороны. Ростислав Переведенцев сообщил, что 14 декабря 2021 года обратился в киберполицию с заявлением о "взломе приложения Дія". Киберпол за неимением следственного отдела перенаправил документы в Вышгородское районное управление полиции, а там отказались регистрировать данные в ЕРДР ввиду отсутствия признаков преступления (см. документы ниже). По словам Ростислава, правоохранители мотивировали отказ тем, что он не понес материального ущерба. Сейчас парень отстаивает свою позицию при помощи адвоката.

"Я три дня ходил в полицию, пытаясь выловить своего следователя. На третий день я на него таки попал, и он сказал, что у них просто нет знаний, умений и инструментов для того, чтобы мне помочь, и криминальное дело по этому заявлению никто открывать не будет", — отметил Ростислав.

Комментарии экспертов и чиновников Минцифры по поводу возможного взлома "Дії"

"Если бы у парня был открыт счет в каком-то банке с соответствующим приложением в смартфоне, и в том же смартфоне было приложение МФО-шки, в которой он хотя бы раз брал кредит, а его телефон хакнули – то мошенники имели возможность оперировать только этими двумя приложениями, банковским и МФО-шным. Но каким-то странным образом воры открыли еще два счета в двух банках и взяли кредиты в четырех МФО-шках, у которых он раньше никогда ничего не занимал. Так как это возможно? Что здесь может быть общим знаменателем? Думаю, рабочая версия пока одна: "Дія", — предположил эксперт по кибербезопасности Константин Корсун.

Заместитель министра цифровой трансформации Алексей Выскуб в комментарии под постом Константина Корсуна заявил, что у Ростислава Переведенцева нет цифрового паспорта в "Діє". По его словам, именно это и является причиной невозможности проведения любых операций с банками, а с МФО, заявил он, государственный сервис уже год как не работает.

"Мы можем 100% сказать, например, что открытия счета черед "Дію" не было. В данном случае и не могло быть, потому что нет е-паспорта. Но кредит ведь есть. Он, скорее всего получен через МФО, а вот его детали может предоставить только киберпол, а такие расследования быстро не проводятся", — написал Алексей Выскуб.

Начальник отдела разработки программного обеспечения ГП "Дія" Евгений Горбачов в комментарии предоставил следующую инструкцию по работе с приложением:

1. Открыть и войти в приложение "Дія";
2. Перейти в "Меню" (справа в нижнем углу);
3. Перейти в раздел "Подключенные устройства";
4. Найти нужную сессию по дате и времени;
5. Нажать на эту сессию и открыть ее;
6. Внизу есть графа "Запросы на копии цифровых документов" — отображается счетчик в виде кружочка с цифрой, которая обозначает сколько было операций в рамках сессии;
7. Отсутствие счетчика означает, что документы через "Дію" не передавались;
8. Если счетчик есть, то можно зайти в раздел "Запросы на копии цифровых документов", и узнать о них подробнее: когда, куда передавались документы и была ли попытка успешной — в этом случае появляется надпись "Выполнено".

"Все операции фиксируются и становятся доступными пользователю. Нет способа, как можно пошерить документы через "Дію", не зафиксировав эту операцию в разделе "Подключенные устройства". Удалить операции оттуда невозможно, можно сделать только сессию неактивной, но вся история останется. Таким образом все чувствительные действия пользователя и упаси боже мошенника, четко фиксируются", — подчеркнул Евгений Горбачов.

Ростислав Переведенцев сообщил Фокусу, что у него в приложении отображается счетчик запросов документов на двух сессиях: 20 и 3 попытки соответственно. По всем попыткам был отказ. Как подчеркнул пользователь, после авторизации и оформления кредитов через "Мегабанк" данные об авторизации и передаче данных были удалены, а новое устройство пропало из списка подключенных.

"Писали, что авторизация сохраняется в данном случае, но нет. Я не знаю, или она по идее должна сохраняться, или она по истечению некоторого времени сама пропадает, но авторизация через "Мегабанк" и BankID просто пропала в один определенный момент", — прокомментировал Ростислав.

В одном из комментариев Евгений Горбачов подтвердил, что сессию из "Дії" можно удалить вместе с подключенным устройством:

"Cообщения приходят и мошеннику, однако мошенник не может удалить легитимное устройство, не удалив свое при этом. Удаляются всегда все сессии всех подключенных устройств и это сделано целенаправленно. То есть монополизировать контроль над аккаунтом мошенник не может".

Фокус запросил комментарии у киберполиции, "Мегабанка" и CreditBox. Следите за нашими новостями.

Ранее стало известно о "сливе" данных миллионов украинцев, якобы полученных из портала "Дія". Автор публикации на сайте RaidForums выставил их на продажу за $15 тысяч. предоставив фрагменты для ознакомления.