В Украине распространяется новый способ мошенничества. Мошенники оформили кредит с помощью программы «Дiя», а коллекторы требовали вернуть сумму долга с процентами 12 тыс. грн за пользование кредитными средствами. Об этом рассказал эксперт по кибербезопасности Константин Корсун на своей странице в фейсбук.
Мошенники в «Дія». Через приложение на украинку оформили кредит
Цифровой апокалипсис
«Цифровой апокалипсис в Украине объявляется открытым. Гражданка Украины Людмила Ж. (это реальный человек, все контактные данные и копии документов есть) якобы „взяла кредит“ через приложение „Дія“. Конечно, она этот кредит не брала. Конечно, она даже не зарегистрирована в „Дії“. Конечно, на момент оформления мошеннического кредита у нее не было даже ID-карты (а был старый бумажный паспорт-книжечка)», — пишет Корсун.
Без подтверждения
Гражданка обратилась с жалобой в кредитное учреждение, которое предоставило кредит, но там ответили, что «у Общества отсутствуют достаточные основания полагать, что кредитный договор с Обществом вместо Людмилы заключен другим лицом».
Пострадавшая также написала заявление в полицию и киберполицию, но результатов это не дало.
Что говорят в «Дія» и НБУ
Далее она обратилась в «Дію» и в Национальный банк. В Дії ей ответили, что приложение хорошо защищено и получить кредит с его помощью невозможно, а Нацбанк ответил, что «у Национального банка отсутствуют полномочия по расследованию и подтверждение или опровержение фактов противоправного образования кредитной задолженности определенных заемщиков небанковских финансовых учреждений в результате совершения мошеннических действий другими лицами (лицом) и поступлению угроз с требованием погашения такой задолженности».
«НБУ, вместо помощи, вежливо сообщает пострадавшему, что общая сумма задолженности по состоянию на 7 июня 2021 составляла 11 677,50 грн, которая состоит из: 2 430,00 грн — тело кредита; 9 247,50 — проценты, начисленные за пользование кредитом», — добавил Корсун.
«Все госслужащие вроде бы „разбираются“, но вопрос остается нерешенным, при этом коллекторы продолжают требовать вернуть несуществующий кредит», — отмечает Корсун.
Что делать в такой ситуации
«Теоретически, можно писать открытые письма и подписывать петиции. Но это недейственный инструмент. Власть просто игнорирует +25 000 подписантов любых петиций. Многочисленные предупреждения профессионального кибербезопасного сообщества также не замечаются, а против особо активных и настойчивых фабрикуют уголовные расследования», — говорит эксперт.
По его словам, сейчас нет готовых советов, как противодействовать всему этому.
Комментарии - 115
то что дию взламают говорилось еще год назад. Но зелепукам же распил-откатинг важнее был.
не могу этого утверждать, но некоторые крайне безответственно относятся к своей персональной информации…
Я наслышан о том как люди пренебрегают безопасностью своих почтовых ящиков, телефонов, после чего попадают вот в такие ситуации.
Сейчас просто необходимо использовать двухфакторную аутентификацию, где можно. А было бы ещё лучше — принудить банки и госучреждения на законодательном уровне внедрить 2FA.
Стоит такой ключ, всего-ничего 820 грн., и его свободно можно купить, например такой «ePass FIDO U2 °F FIDO2 NFC USB-A K9B»
«В Дія можно аутентифицироваться с помошью или ЕЦП или bank-id.»
Получить своё фото в фейковом приложении «ДИЯ»
под реальными ФИО и инн-кодом постороннего человека
можно за какие-то 120−150−200 гривен.
И ломать ничего не надо…
https://minfin.com.ua/2021/10/25/74182718/
Тобто на неї влаштували справжнє полювання кіберзлочинці? Плюс Дію вона собі ніколи не встановлювала…
по ходу оказалось что государство к Дие никакого отношения не имеет и не контролирует ее работу — это частная лавочка…
Если коротко: украли ее телефонный номер. Угнали почту. Получили доступ к банку через телефон и почту. Пытались взять кредит в альфабанке, но его не подтвердили. В моно кредит дали, но после обращения клиентки, признали мошенническим и закрыли. Далее через BankID авторизировались в дие и взяли кредит в Милоан. Милоан выдал кредит с нарушением норм, так как был обязан требовать фото-подтверждение личности, чего они ни сделали. Сейчас после шумихи кредит признали недействительным и закрыли.
там история длинная и морозились все — капитально.
«Сначала украли ее телефонный номер.
Получили доступ к ее банковскому аккаунту, подтвердив вход с личной почты.
Далее с помощью скомпрометированного доступа к BankID авторизировались в „Дія“.
„Но и такая серия краж идентичности и „взломов“ не могла бы завершиться получением кредита с помощью цифрового паспорта, если бы финансовое учреждение грубо не нарушило правила, установленные НБУ. В правилах этого финучреждения указано подтверждения личности человека с помощью фото, чего, очевидно, не было сделано“, — подчеркивают в Минцифры.»
Как сообщили AIN.UA в Минцифры, сразу после этого случая еще в апреле министерство отсоединило все кредитные учреждения от «Дія» и обратилось к НБУ с просьбой осуществить внеплановую проверку таких учреждений с предоставлением подтверждения их нарушений.
тупые отмазки Минцифры — просто смешны. Устроили распил-откат на недоделанной «Дие», а теперь лепят горбатого к стене.
стандартный цикл прогресса/разработки, везде есть баги, везде есть ошибки, со временем количество их уменьшается…
схема отличается от стандартной тем, что у вас никто ничего не ворует.
просто от вашего имени создают учетку в дии и на нее берут кредиты и совершают много чего другого.
А вы узнаете об этом — когда вас уже арестовывают. И доказать что это все делали не вы — возможности нет — все дают отписки «наша система защищена, отстаньте срочно».
ну если серьезно, с точки зрения передачи информации, что в обычной версии украли идентификаторы личности, что в данном случае, разницы особой нет, разница в носителе…
и ровно так же с бумажной версией, люди частенько не знаю что на них взяли кредит, только в не цифровой версии все происходит более массово…
повторюсь с вопросом, нужно сжечь паспорта? к тому же насколько я слышал государственный идентификаторы человека, это печать сатаны...)
с такой логикой можно дойти до «собираем консервы и оружие и переселяемся в канализацию»…
если я у вам украду е-мейл (иначе говоря — узнаю пароль к нему) — вы заметите это толкьо если я сменю пароль. А если нет — вы и не заметите ничего.
чем поможет для решения этой проблемы сжигание паспорта — я не понимаю.
щоб всі бажаючі знали мій мейл. але перший хто послав на ньго спам — дарував мені новенький БМВ щоб не сісти. Приблизно так.
После утери номера, просто необходимо было убрать эти номера со всех банковских аккаунтов.
Сейчас телефон это практически как карта в банке.
В соцсетях появились объявления
о продаже фейкового сервиса «Дія».
Для того, чтобы к своей фотографии
«прилепить» чужое ФИО и чужой инн-код,
надо заплатить мошенникам всего 150−200 гривен.
А дальше приходите в банк, показываете экран фейкового
приложения «ДИЯ» с реальными ФИО и инн-кодом жертвы
и своим фото и оформляете на чужое ФИО
банковскую кредитную карту, например Хамелеон от Альфа-банка,
указав уже свой финансовый номер, который должен быть на припейде…
Дякую за інфо.
Он точно нормальный? Какое отношение к делу имеет его политическая ориентация?
«Какое отношение к делу имеет его политическая ориентация?»
Как знать, возможно при другом президенте, отличном от Зеленского,
не было бы «Дії» в её сегодняшнем виде от слова вообще,
либо был бы какой-то другой вариант диджитализации всей страны…
в общем не стоит в этом вопросе сразу обвинять Зелю) Пороха тоже не стоит, идея то не плохая на самом деле.
В 19-м было целых 365 дней…
Идея диджитализации с созданием специального министерства
цифровой трансформации Украины была предложена
исключительно командой кандидата в президенты Зеленского…
Кстати, в Кабмине Гройсмана не было министерства цифровой трансформации Украины…
Как тебе такое «государство в смартфоне», Илон Маск?)
«Я давно говорила, „Дия“ — дыра, мне не верили)»
Говорить вы умеете хорошо,
а вот с пониманием прочитанных
текстов у вас реальные проблемы…
У потерпевшей «угнали» мобильный телефонный номер,
который был на предоплате, да к тому же числился
финансовым в Альфа-банке.
Вот отсюда всё и пошло…
А в «Дію» мошенники зашли по BankID от Альфа-банка…
В роли поддельных документов что выступило — «Дия».
Значит, в ней все дело.
Они не по «банк-айди» кредиты брали)
«Да ну?»
Вот вам и «да ну»…
Пишите о «Дие» и даже не знаете как она работает…
Вход в «Дию» по BankID — стандартный вариант регистрации в «Дия».
Сервис берёт инн-код клиента банка из данных, которые банк передаёт через
BankID и затем по этому инн-коду подтягивается паспорт, права, справка с инн-кодом и прочие доки.
Ну, а BankID — это обычно логин + пароль для входа в интернет-банкинг
того или иного украинского банка, который подключен к системе BankID.
Никакой дурак не ламает систему «Дия»…
Поэтому это не проблема «Дії» или конкретных банков — это проблема сохранения номера мобильного телефона, который является финансовым в тех же банках минимум на зарплатных проектах…
Проблема решается несколькими способами…
1. Самый простой и самый дорогой по финансам — перевод номера телефона на контракт…
2. Более простые варианты, не требующие финансовых вложений — привязка номера к паспорту
с обязательным запретом удалённой замены сим-карты.
Казалось бы — всё очень просто, но подавляющее большинство игнорирует
такие простые превентивные варианты защиты, ну, а когда мошенники уже
«угнали» номер и набрались кредитов — тогда кричат «караул» и пишут гневные
письма во все возможные инстанции…
«Даже это не спасёт от кражи телефона.»
Допустим, у вас украли смартфон с мобильным финансовым номером на контракте.
Через минуту после кражи вы имеете полное право заблокировать свой контрактный номер и мошенник не сможет при помощи украденного, но заблокированного номера получить доступ к вашим финансам.
Если же не умеете хранить свой смартфон
и кидаете его где попало — повесьте его на шею вместо бейджа…
С помощью системы «Мой Киевстар» (с ЭЦП):
Зайти в веб-версию «Мой Киевстар».
Выбрать номер для регистрации в профиле и перейти на закладку «Пользователь».
Выбрать метод регистрации «С помощью ЭЦП».
Загрузить ключ ЭЦП и ввести пароль к нему.
Заполнить шаблон электронной формы.
Проверить, правильные ли данные указаны, и подтвердить регистрацию.
«Причём привязать номер можно удалённо с помощью ЭЦП.»
Если номер на припейде, то о ЕЦП от Киевстар не может быть и речи.
А ведь кроме Киевстара, есть ещё и Водафон и Лайфселл и Интертелеком с Тримобом.
Для генерации ЕЦП нужен паспорт и инн-код, т. е. контрактное подключение…
Вообще, мертворожденная услуга.
Телефон с такой сим надо дома держать, лучше в сейфе.
Главное — в нашем недогосударстве дали кривому застосунку «Дия» права документа.
А про телефон — допустим, украдут у меня номер.
И что, паспорт-то у меня.
С «Дией» — если ее взломали, то все, гражданин должен готовиться становиться бомжом)
«А давайте...»
Если у клиента должен быть выбор, в какой способ использовать свой номер мобильного телефона — анонимная предоплата или привязка к паспорту, а тем более контрактное подключение, то и у мошенников должен быть выбор — каких клиентов обворовывать на ура, а каких обходить стороной…
Например, когда около десяти лет назад у меня украли мобильный телефон с финансовым номером от Приват24, мошенники не смогли зайти в Приват24 из-за ограничений доступа по IP-адресу. Контрактный номер заблокировал не сразу, а только на следующее утро, а кредитный лимит не пострадал ни на копейку.
От, якщо заморочитись, можна зробити окремий номер конкретно під фінанси й інші важливі речі, не носити його з собою і не світити… Однак, це зовсім не зручно. Напевно, основна проблема у тому, що звичайний повсякденний номер телефону клієнта у банках — є ключем до всього. При цьому, коли хочеш в касі зняти більше $1 тис. зі своєї ж картки питають паспорт. Якось не пропорційно виходить.
«Для мене — оператор і державні службовці зовсім не є безпечними людьми. Ці хлопці та дівчатка „на ура“ торгують записами телефонних розмов, текстом смс-ок тощо.»
Самое удивительное в том, что сотрудники Привата, Ощада и Укрэксима
не являются госслужащими по определению…
Та что ваш пассаж на счёт «державні службовці» их однозначно не касается,
а вот огульно обвинять всех сотрудников банка в торговле персональными данными без наличия реальных фактов — это больше смахивает на клевету или банальное враньё…
И зачем оно вам — не понимаю…
«коли хочеш в касі зняти більше $1 тис. зі своєї ж картки питають паспорт»
Это требование прописано в нормативных документах
Финмониторинга и НБУ — банки лишь строго выполняют эти требования…
а именно это и произошло.
отдать свои логины/пароли + канал MFA, а потом говорить что защита плохая, это как купить пистолет для самообороны, а когда на вас нападут — отдать его нападающему
вход, а под видом Б, отключение верификации вообще, есть много видов взлома.
вы уверены что кто-то отдавал свои пароли? Такой информации нет. Есть информация — человек не регистрировался в Дии и никаких паролей там не имел. вместо него под его именем там зарегистрировались другие люди. И система это позволила. Это серьезнейший недостаток для таких систем. Позоридло, иначе говоря.
Это все равно что кто-то пошел в паспортный стол и получил официально и красиво паспорт на ваше имя и с вашей фотографией.
а по поводу взлома, ясно же уже сказали — идентифицировались через BankID от альфа банка, как получили доступ к альфе имея только номер сказать сложно.
но вот что вы еще ждете от защиты Дии? она должна просить вас сделать селфи с котом на голе и нейронка это будет проверять?))
есть предложения?
Я заглядывал на форумы где это все «продвигали» и насмотрелся этих историй.
Если в госулдарственной системе вся безопасность сводится к «а мы доверяем альфабанку, он же не кинет» — это серьезнейший баг. Отключать это позорище и расследовать деятельность разработчиков. Двоих расстрелять. для острастки.
Если они не знают что делать — не нужно создавать таких систем. Или нужно иметь возможность блокировки. Например я вношу в специальный реестр инфо — «я не беру кредитов, не продаю имущества онлайн и т. п.». После этого любая такая операция автоматом считается мошеннической.
банк айди это не разработка альфы, а правительственная программа, это как ЭЦП, если кто-то получит доступ к вашей ЭЦП это тоже будет проблема ЭЦП?
«я не беру кредитов, не продаю имущества онлайн и т. п.»
согласен, это не плохая идея, вот только имея доступ к ключам эти настройки можно поменять :(
Если правительственная программа имеет дыры в безопасности — это повод исправлять их, а не надстраивать над этой системой другие системы, 100% доверяющие первой и расширяющие возможности багоюза.
Завтра вашу квартиру так продадут, и вас сдадут в аренду — тоже скажете «взлома не было»?)
«Ой, да не важно, каким путем взломали, важен результат.»
Раз вам всё неважно, тогда незачем переживать за продажу моих квартир.
Мой финансовый номер на контракте и он не может быть переоформлен посторонними, как это происходит ежедневно с номерами на припейде.
Но вам же пофиг на реальные факты,
главное быть уверенной в своей непогрешимости.
Что я делаю не так?)
«Что я делаю не так?)»
Как знать, возможно, ваши финансы
(дебетовые карты и отсутствие
кредитных карт с приличным лимитом)
никому не интересны даже на форуме Минфина…
Вот никто и не зарится на такое счастье…
Ни ворам, ни банкам)
Только родному государству можно.
взять — сущие копейки…
Вот вы никому в этом плане и не интересны.
«Взлом»
Если в сервисе «Дия» вводится действующий логин и пароль — это не взлом, а обычный вход в систему.
А где и в какой способ мошенник достал актуальные логины и пароли — значит он взломал какую-то другую систему.
В данном случае, почтовый сервис укрнет и затем интернет-банкинг Альфа-банка.
Как следствие — застосунок удалить, данные стереть.
Разработчиков — посадить с конфискацией.
Как соучастников преступлений.
«сейчас нет готовых советов, как противодействовать всему этому.»
Готовый совет — берегите свой мобильный номер телефона от переоформления мошенниками…
Варианты защиты описал ранее в своём комментарии от 2 июля 2021, 13:23
P. S. Что это за эксперт по кибербезопасности,
который не знает элементарных способов защиты.
Позорище да и только…
И последовавшие отписки)
«Номера телефонов даже пользователям не принадлежат.»
Ну и что с этого…
Своим контрактным номером телефона пользуюсь более 20 лет
и мой мобильный оператор от такого использования номерного
ресурса только в прибыли…
Ну, а мои финансы под надёжной защитой…
если вы намеренно повредите купюру — вас можно привлечь к ответсвенности за порчу гос имущества.
но это же не мешает всем говорить что это его деньги? :)
не понимаю что не так с мобильными номерами :)
Когда мошенники посчитают необходимым
переоформить ваш номер на припейде,
тогда и узнаете разницу…
А пока радуйтесь, что до вашего номера
у мошенников ещё не дошли руки…
да и не перевыпускают просто так номера, я когда-то менял карточку (ну 20 лет карте, она уже просто не влазила в новый телефон) и там худо-бедно да проверили мой ли это номер
Восстановление сим-карты в случае утери
Шаг 1
Купите специальный стартовый пакет для восстановления и замены SIM-карты
Шаг 2
После получения стартового пакета для восстановления и замены SIM-карты, позвоните по телефону:
222 (бесплатно с номера Vodafone Украина) или
0 800 400 222 (бесплатно со всех сетей в Украине)
далее:
назовите номер, который нужно восстановить;
предоставьте ответ оператору на один из вопросов:
— PUK-код (8 цифр, которые указаны на пластиковом держателе от старой SIM-карты);
— IMEI устройства, в котором находилась старая SIM-карта;
— два номера, с которыми вы чаще всего общались в течении последних 30 дней (за исключением коротких номеров и номеров, которые начинаются с 0800/900…);
сообщите оператору серийный номер вашей новой SIM-карты (цифры, указанные на новом стартовом пакете или на пластиковом держателе под штрихкодом).
Киевстар
1. купите стартовый пакет Киевстар
Чтобы заменить SIM-карту самостоятельно, воспользуйтесь стартовым пакетом Smart SIM.
2. вставьте новую SIM-карту в телефон и отправьте запрос *111# для активации номера
3. отправьте запрос *245*380ХХXXXXXXX*YYYYYY#, где
380ХХXXXXXXX — номер телефона старой SIM-карты,
YYYYYY — 19 цифр ICC-кода или 8 цифр PUK1 вашей старой SIM-карты
4. заявка на замену SIM-карты будет выполнена через 7 часов, вы узнаете об этом из SMS-сообщения.
Пока заявка выполняется, вы получите 100 нетарифицируемых минут на звонки в сети Киевстар.
Ужос какой-то, выходит просто завладев хотя бы на время телефоном жертвы, можно на нее кредитов навешать без ее ведома? С какой это поры номер мобильного стал равняться подписи?
Пароль обычно приходит в смс-ке на мобильный…
Заполучив финансовый мобильный номер телефона и сменив пароль к интернет-банкингу мошенник получает реальный BankID (логин+пароль), с которым можно законно зарегистрироваться в «Дія»…
«не может быть»
Ну так расскажите, как должны работать банки,
когда клиент на странице ввода логина и пароля
нажимает пимпочку «забыл пароль»…
Неужели предлагать с паспортом
и кодом прийти в отделение банка?!
Кстати, автор пишет, что до переоформления
финансового номера был взломан почтовый ящик на укр.нет.
Что-то мне кажется, что мошенничеством занимается контора, которая якобы выдала кредит.
хорошо -0 кредит взяли. А могли бы ее квартиру продать. и бегала бы она по адвокатам и получала отписки — «наша система работает правильно, это вы сами ее продали».
или ««…У Дії їй відповіли, що додаток добре захищений і продати квартиру з його допомогою неможливо…»»
с тем же успехом ушлые ФК могут выдать кредит левому челу на чью-то ксерокопию паспорта.
но ситуация с Дией — имеет отличия. повторять их мне надоело уже…
«в Дии фотографию не переклеишь.»
Сервис «переклейки» фотографий в фейковой «Дие»…
https://minfin.com.ua/2021/10/25/74182718/
то выложит ссылку на статью на главной странице сайта…
Если не заинтересуется, мы всё равно прочитаем…
Ну так и предьявляйте претензии к Альфе, у которой по номеру телефона клиента удалось сменить пароль доступа к интернет-банкингу мошенникам…
Можете предъявлять также претензии к почтовому сервису укр. нет, у которого на раз увели клиентский почтовый ящик, а также к мобильному оператору, который позволил мошенникам завладеть клиентским мобильным номером.
С таким подходом — виноваты все, кроме собственно клиента…
Хотя именно его беспечность привела к этому…
«Якщо в Альфи є проблема з наданням зловмиснику доступу до BankID — відповідальність і банку і НБУ.»
Я уверен, что вы абсолютно правы…
Если мошенник, завладевший почтовым ящиком клиента банка, а также финансовым номером мобильного телефона клиента банка смог сменить пароль доступа к интернет-банкингу Альфы, то за такую дыру в ИТ-безопасности Альфа-банк должен быть отключен от BankID и затем лишён банковской лицензии…
Ну, а у НБУ необходимо заменить предправления Шевченко, как не справившегося со своей работой регулятора…
Это номер в цифровом концлагере, через который нас лишат имущества и гражданских прав.
Мошенники переоформили квартиру в Москве
с помощью поддельной цифровой подписи
https://habr.com/ru/news/t/452292/
Мошенники и ЭЦП — всё очень плохо
https://habr.com/ru/post/453596/
Воруем ЭЦП, используя Man-In-The-Disk
https://habr.com/ru/post/460993/
Специальная публикация для фанатов совка…
В Казахстане запретили комментирование на сайтах
без авторизации по ЭЦП или номеру телефона
https://habr.com/ru/post/356254/