Мошенники украли цифровую личность украинки и набрали на ее имя кредитов: в Дії объяснили схему

Жительница Львова сообщила, что мошенники украли ее цифровую личность и набрали на ее имя кредитов. Узнала же она об этом от приложения Дія – когда получила пуш-уведомление о том, что должна выплатить несколько тысяч гривен по кредитам. Представители Дії объяснили, что аферисты не могли воспользоваться электронными документами в целях обмана, а свою схему провернули с помощью подмены SIM-карты.

У себя в Facebook женщина рассказала, что 6 января ее телефон был деактивирован, после чего в Дію ей начали приходить запросы от Украинского бюро кредитных историй касательно ее кредитной истории. После того, как она восстановила телефона, с ней связались представители компании, предоставляющией быстрые кредиты, и сообщили, что на ее имя открыт кредит на сумму 1 500 грн.

«На следующий день мне пришли сообщения о том, что на мое имя был оформлен кредит. Причем, в нескольких «предприятиях», – рассказала женщина.

Параллельно жертва мошенников узнала у своего мобильного оператора – «Киевстара», – о том, что ее SIM-карта была перевыпущена. Причем сделано это было по всем правилам компании. Это привело к тому, что все данные женщины, привязанные к этой «симке», оказались в руках у мошенников.

«По факту сумма моего кредита за то время в первой компании, сообщившей о нем, составляла уже 11 200 грн. По состоянию на данный момент кто-то от моего имени набрал солидную сумму по всем возможным «предприятиям», – сообщила она.

Как работает схема

Расследование по факту мошенничества уже начала Киберполиция. Она установит точные обстоятельства произошедшего. Однако уже сейчас можно сделать предварительные выводы о действиях аферистов, сообщили OBOZREVATEL в пресс-службе сервиса.

В Дія рассказали о такой последовательности действий мошенников:

  • Аферисты перевыпустили SIM-карту с номером жертвы. «Эта карта не была привязана к паспорту, но все равно к мобильному оператору возникает много вопросов по несоблюдению процедуры восстановления номера», – отметили в Дії.

  • Это позволило мошенникам получить доступ к мобильному банкингу и оформить микрокредиты в нескольких учреждениях.

  • Также злоумышленники пытались повысить кредитный лимит в одном из банков, но эта процедура не удалась, а средства были заблокированы.

«Ни в одном из этих процессов не было и даже теоретически не могла быть задействована Дія, – уверяют в пресс-службе. – Никаких действий с приложением и документами потерпевшей злоумышленники не совершили и не могли совершить даже теоретически… Для того, чтобы оформить кредит с цифровым документом в приложении, нужна цифровая подпись – это технология, которая в режиме реального времени сравнивает биометрию лица с фотографией в реестре. Для шеринга документов также требуется Дія.Підпис, которую невозможно подделать без биометрии лица».

Вместе с тем, преступники оставили после себя много «электронных следов». В частности, через скомпрометированный BankID злоумышленник авторизовался в Дія, что было сразу зафиксировано в приложении в разделе «активные сессии».

«Это инструмент, который усиливает безопасность приложения, где можно управлять всеми вашими активными сессиями и завершить все или любую из них по желанию. Также в этом разделе можно увидеть, когда подключено устройство, и какие документы были подписаны в рамках его сессии», – объяснили в Дії.

Там также отметили, что в этом случае Дія помогла жертве быстро узнать о ситуации. Ведь если оповещения не было, девушка не смогла бы оперативно отреагировать на действия мошенников: «Чаще всего воры просто оформляют кредиты, а человек о них узнает уже через определенное время, когда ему начинают звонить коллекторы».

Что говорят эксперты по кибербезопасности

Эксперт по кибербезопасности Андрей Баранович, комментируя случившееся изданию «Фокус», подтвердил, что мошенники, скорее всего, прибегли к так называемому SIM-свопингу. Т.е., подмене SIM-карты.

«Мошенники узнали номер телефона женщины, а затем обратились к мобильному оператору, выдав себя за нее, и попросили перевыпустить SIM-карту. Это дало им возможность получить доступ к кодам безопасности и всем данным, привязанным к SIM-карте жертвы. Ведь когда SIM-карта перевыпущена, то у жертвы номер блокируется, а у мошенников – активируется», – рассказал эксперт.

При этом он подчеркнул, что существует множество способов узнать, что конкретный номер телефона принадлежит конкретному человеку. К примеру, можно:

  • получить доступ к телефонной книге тех людей, которым она часто звонит;

  • заставить человека позвонить по определенному номеру с помощью методов социнженерии;

  • оформить «липовую» доверенность от имени жертвы;

  • подкупить сотрудников отделений мобильных операторов.

Также по его мнению, мошенники воспользовались приложением Дія для того, чтобы открыть счет в «левом» банке по имени жертвы. И принимать на него кредиты от его имени.

Другой эксперт по кибербезопасности Константин Корсун, считает, что безопасность «Дія» сводится к безопасности SIM-карты. «В основе системы защиты Дії находится BankID, а BankID основан на номере мобильного. Все это слеплено в единую систему», – написал он в своем Facebook.

В свою очередь еще один эксперт по кибербезопасности, а еще – народный депутат от «Слуги народа» Александр Федиенко под постом Корсуна отметил: вины Дії в ней нет. «Угнали финномер. Угнали банковскую карту. Дія, где она тут в схеме мошенничества?», – написал он.

При этом Федиенко подчеркнул, что главными виновниками случившегося являются компании, предоставляющие быстрые кредиты. Поскольку они выдали деньги не удостоверившись в личности их получателя.

Ранее OBOZREVATEL сообщал, что комитет по цифровизации Верховной Рады разрабатывает законопроект, который обяжет SIM-карты, к которым привязаны банковские карты, оформлять на паспорт. Это позволит защититься от мошенников, которые перевыпускают чужие SIM-карты.


Источник: www.obozrevatel.com