Украли мобильный — набрали кредитов, в полиции говорят: не первый случай. Как защититься?

Пользователь Иван Б. рассказал на своей странице в Facebook, что мошенники украли смартфон его тестя и смогли оформить на мужчину 40 тыс грн кредитов в пяти различных организациях. Фокус связался с пострадавшими и попытался разобраться, что же произошло.

Иван Б. утверждает, что злоумышленники с помощью украденного смартфона взломали "Приват24", а потом вошли в приложение "Дія". Как пострадавшим сообщили в полиции — это далеко не первый подобный случай, "умельцы" научились ломать мобильные приложения. Адвокат, который специализируется на кредитных делах, утверждает, что важную роль в алгоритме действий мошенников сыграл сервис "Дія", однако специалисты возражают — достаточно BankID.

Предположительный сценарий таков:

• Злоумышленники воруют устройство и разблокируют его, получая доступ к номеру телефона;
• Входят в банковский аккаунт жертвы: подсматривают-подбирают пароль либо восстанавливают по номеру телефона;
• Переводят средства на свои счета;
• Получают доступ к BankID, который автоматически генерируется банками;
• При помощи BankID регистрируются в финансовых организациях и оформляют кредиты, после чего опять-таки выводят деньги.

При помощи BankID можно также активировать приложение "Дія" и получить доступ к электронным документам жертвы для использования ее личности в других мошеннических схемах:

• Получение или отправка посылок с нелегальным содержимым;
• Почтовые махинации;
• Фальсификация личности;
• Регистрация номеров мобильной связи.

Взлом "Приват24" и "Дії" после кражи смартфона: история киевлянина

Как пишет Иван Б., вечером 28 января неизвестные украли у его тестя смартфон, на котором были установлены приложения "Приват24" и "Дія". В комментарии Фокусу киевлянин рассказал, что инцидент, предположительно, произошел в электричке, на которой владелец смартфона, инвалид третьей группы, ехал с работы домой. Утром следующего дня мужчина перевыпустил SIM-карту и отключил финансовый номер в "ПриватБанке", однако вскоре начал получать СМС-сообщения об успешном получении кредитов.

Вместе с родственниками ему удалось обнаружить в базе Украинского бюро кредитных историй пять кредитов на общую сумму 40 тысяч гривен, которые оформили и выдали разные организации:

• ПриватБанк
• CreditPlus
• Credit 7
• Gofingo
• Moneyveo

"Думаю, более вероятно, что мошенники действовали через комбинацию "Приват24 + сим-карта", нежели через "Дію". В то же время, в "Дію" тоже заходили, что может говорить о том, что они взломали пароль "Дії", — уточняет Иван.

Украденный смартфон, как рассказал Иван Б. Фокусу, работал под управлением операционной системы Android и разблокировался при помощи графического ключа. Что касается "Приват24", то для входа использовали логин и пароль. Владелец смартфона сам никогда не заходил в онлайн-банкинг, дочь использовала "Приват24", чтобы зарегистрировать его в "Дія" — именно на приложение пало первое подозрение после оформления кредитов.

"Для выдачи кредита микрофинансовые организации проверяют кредитную историю, которую они запрашивают через "Дію". Соответственно, в "Дії" они также смогли как-то залогиниться. Мы потом уже увидели, что пока телефон был в руках мошенников, там осуществлялись входы с двух сторонних устройств. Соответственно, они "Дію" использовали как инструмент верификации его кредитной истории", — поделился своими догадками Иван.

Иван вместе с женой и тестем отправились писать заявление о краже телефона. В Киберполиции обращение рассматривать отказались, сказали: "Не наша компетенция". В Соломенском управлении Национальной полиции поначалу также отказывались принимать заявление, но в итоге внесли данные в ЕРДР. Киевлянин также обратился за помощью к "Гильдии IT-специалистов", которая связала его с адвокатом Александром Спиридоновым, специалистом по кредитным спорам.

"В личных беседах полицейские говорили, что мы не одни такие, что нам никто не поможет, что "Дію" постоянно ломают, что много кредитов через нее берут, "Приват" ломают", — рассказывает Иван.

По словам пользователя, МФО CreditPlus и Credit 7 признали оформление кредитов незаконным и отменили задолженности, Gofingo взяли документы на рассмотрение, но пока не ответили. Компания Moneyveo.UA "не выявила" признаков мошенничества и заявила, что будет считать мужчину должником, пока правоохранители не поймают преступника и суд не вынесет обвинительный приговор.

Главной проблемой для семьи стал "ПриватБанк", на который приходится около половины всего долга. У тестя не получилось привязать новый финансовый номер телефона к банковскому счету из-за технического "глюка". Он обратился в отделение, получил выписку по счету и попросил сотрудников привязать новый номер. Те согласились, но спустя сутки ничего не изменилось.

"Общая сумма кредитов не пугает. Я даже думал: заплачу — и пофиг. Самое страшное другое: сначала было 20 тыс., потом — 25 тыс, 40 тыс. Оно не останавливается, нет "кнопки", которую можно нажать, чтобы это все прекратить. Мы задействовали все инструменты, потратили кучу времени и сил — чтобы внести данные в ЕРДР, чтобы заявление превратилось в уголовное производство… Много усилий потребовала коммуникация с Приватом", — поясняет Иван.

Как мошенникам удалось взять кредиты на чужое имя и причем здесь "Дiя": мнение экспертов

Эксперт по кибербезопасности Константин Корсун прокомментировал кейс Ивана Б. на своей странице в Facebook и предположил, что в мошенничестве с кредитами задействовали приложение "Дія". По его словам, банки автоматически генерируют BankID для своих клиентов без запроса пользователя, а эта технология позволяет легко войти в "Дію".

"Думаю, последовательность манипуляций примерно такова: похищают/хакают смартфон, с него же заходят в банковский аккаунт жертвы, переводят все деньги на свои карты и проводят другие махинации. Но это только начало. Затем получают доступ к BankID этого же банка – их банки генерируют для своих клиентов автоматически, без запроса пользователя. Имея этот BankID, а также контроль над телефоном и, соответственно, банковским аккаунтом — можно легко зайти в "Дію" жертвы", — поясняет Константин Корсун.

Телеком-эксперт Роман Химич утверждает, что для оформления кредита на чужое имя преступником хватит BankID, но это только вершина айсберга, ведь с его помощью можно активировать приложение "Дія" и завладеть цифровыми документами, например, е-паспортом. Имея доступ к таким файлам, можно совершать другие мошеннические действия, например, отправить или забрать посылку с запрещенными веществами, проворачивать аферы с почтовыми отправлениями.

"В Минцифре напирают на то, что с помощью "Дии" нельзя оформить кредит в банке. Однако если есть BankID жертвы, "Дия" просто не нужна", — подчеркивает Роман Химич.

Самым слабым местом, которым часто пользуются мошенники, эксперт считает так называемые финансовые номера мобильной связи, которые используются для идентификации пользователей, в том числе и в системе BankID. Даже если номер зарегистрирован на конкретного человека, сотрудники компании-оператора все равно могут передать его другому. По словам Романа Химича, обычно одного телефонного номера для доступа к BankID недостаточно – большинство банков заявляют, что используют многофакторную аутентификацию, однако в большинстве случаев только на словах.

Адвокат Александр Спиридонов, который занимается делом о неправомерном заключении кредитных договоров на имя родственника Ивана Б., рассказал Фокусу, что ключевые манипуляции заключались в использовании двух мобильных приложений: "Приват24" и "Дія". В случае Ивана Б., считает адвокат, мошенники вошли в приложение "Дія", чтобы открыть доступ к кредитной истории.

"Изучение кредитной истории – это важная часть обработки кредитной заявки, без которой нельзя оформить договор", — подчеркнул адвокат.

Эксперт по тестированию приложений Тарас Розкишный, глава "Гильдии IT-специалистов", сообщил Фокусу, что организация уже неоднократно сталкивалась с подобными случаями мошенничества, от которых пострадали другие украинцы. Айтишники детально проанализировали кейс и алгоритм действий злоумышленников в случае тестя Ивана. Согласно их выводам, верификация пользователя произошла через технологию BankID: по словам специалиста, этот метод является крайне уязвимым и ненадежным, особенно если злоумышленники имеют физический доступ к телефону. По сути верификация через BankID сводится к элементарному вводу пароля, который в свою очередь можно восстановить через СМС и обойти механизм защиты.

"Свою роль в этом кейсе сыграло и приложение "Дія", потому что оно по сути является кладезем всех персональных данных о личности, документов, электронных источников в одном смартфоне", – рассказал глава "Гильдии".

Тарас Розкишный посоветовал пользователям в интересах безопасности не устанавливать приложения, которые являются источником персональных данных и могут фактически "заменить" живого человека при подтверждении личности. По словам эксперта, такое ПО может обеспечить злоумышленника всем необходимым для совершения мошеннических действий, и это касается не только кредитов. В случае с банковскими приложениями стоит запросить дополнительный способ верификации личности при совершении любой операции, например, по телефонному звонку.

Минцифры: за гражданина поборемся, но это история не про "Дія"

Иван Б. добавляет, что после публикации поста в Facebook с ним связался руководитель по развитию электронных услуг в Минцифры Мстислав Баник, попросил предоставить больше информации из приложения "Дія" (в том числе о "следах" постороннего присутствия) и пообещал разобраться вместе со своей командой. В комментариях руководитель департамента разработки ГП "Дія" Евгений Горбачев сообщил, что МФО никак не привязаны к их ПО.

"Ситуация произошла абсолютно без участия Дія. Угол атаки мошенника — "ПриватБанк" через похищение (перевыпуск) номера, — подчеркнул представитель сервиса. — Безусловно, поборемся за тестя, как и за других, кто страдал от мошенников. Но эта история не про "Дію". Но это уже расследование покажет и подтверждение от МФО в рамках уголовного дела. Там просто слов МФО будет недостаточно, они должны предоставить следователям доказательства и основания для открытия кредита. И вы очень удивитесь", — заявил Евгений Горбачев.

Ранее 22-летний украинец Ростислав Переведенцев заявил о взломе его "Дія" и BankID. По словам пользователя, мошенникам удалось оформить на него 4 кредита в различных МФО.