2 липня 2021, 12:23

Шахраї в «Дія». Через додаток на українку оформили кредит

В Україні поширюється новий спосіб шахрайства. Шахраї оформили кредит за допомогою програми «Дiя», а колектори вимагали повернути суму боргу з відсотками 12 тис. грн за користування кредитними коштами. Про це розповів експерт з кібербезпеки Костянтин Корсун на своїй сторінці в фейсбук.

Цифровий апокаліпсис

«Цифровий апокаліпсис в Україні оголошується відкритим. Громадянка України Людмила Ж. (це реальна людина, всі контактні дані і копії документів є) нібито „взяла кредит“ через додаток „Дія“. Звичайно, вона цей кредит не брала. Звичайно, вона навіть не зареєстрована в „Дії“. Звичайно, на момент оформлення шахрайського кредиту у неї не було навіть ID-карти (а був старий паперовий паспорт-книжечка)», — пише Корсун.

Без підтвердження

Громадянка звернулася зі скаргою до кредитної установи, що надала кредит, але там відповіли, що «у Товариства відсутні достатні підстави вважати, що кредитний договір з Товариством замість Людмили укладено іншою особою».

Постраждала також написала заяву до поліції і кіберполіції, але результатів це не дало.

Що кажуть в «Дія» та НБУ

Далі вона звернулася до «Дія» і до Національного банку. У Дії їй відповіли, що додаток добре захищений і отримати кредит з його допомогою неможливо, а Нацбанк відповів, що «у Нацбанку відсутні повноваження з розслідування та підтвердження або спростування фактів протиправного утворення кредитної заборгованості певних позичальників небанківських фінансових установ в результаті вчинення шахрайських дій іншими особами (особою) і надходженню загроз з вимогою погашення такої заборгованості».

«НБУ, замість допомоги, чемно повідомляє потерпілому, що загальна сума заборгованості станом на 7 червня 2021 становила 11 677,50 грн, яка складається з: 2 430,00 грн — тіло кредиту; 9 247,50 — відсотки, нараховані за користування кредитом», — додав Корсун.

«Все держслужбовці начебто „розбираються“, але питання залишається невирішеним, при цьому колектори продовжують вимагати повернути неіснуючий кредит», — зазначає Корсун.

Що робити в такій ситуації

«Теоретично, можна писати відкриті листи і підписувати петиції. Але це недієвий інструмент. Влада просто ігнорує +25 000 підписантів будь-якої петиції. Численні попередження професійної спільноти кібербезпеки також не помічаються, а проти особливо активних і наполегливих фабрикують кримінальні розслідування», — говорить експерт.

За його словами, зараз немає готових порад, як протидіяти всьому цьому.

Джерело: Мінфін

Стежити за новими коментарями

Коментарі - 115

+
0: lamal; 2 липня 2021, 12:29; #

Красіво (

+
0: Короткий и непровокационный; 2 липня 2021, 12:46; #

Цифровым апокалипсисом окажется внук бабушки!

+
+121: yarg; 2 липня 2021, 12:52; #

Расскажете это когда на вас кредит оформят.
то что дию взламают говорилось еще год назад. Но зелепукам же распил-откатинг важнее был.

+
0: Alex Noner; 2 липня 2021, 14:09; #

А может она сама слила кому-то свои данные?
не могу этого утверждать, но некоторые крайне безответственно относятся к своей персональной информации…

+
+15: Memphis84; 2 липня 2021, 14:23; #

Не факт, что взломали дию, возможно просто оформили кредит, а чтобы скрыть следы сказали, что через дию. У них что, скриншот из дии есть?

+
0: AleksandrBank; 2 липня 2021, 12:46; #

Офигеть. Правовая держава.

+
+40: braintest; 2 липня 2021, 12:54; #

В Дія можно аутентифицироваться с помошью или ЕЦП или bank-id. Возможно, пострадавшая давала кому-то свои аутентификационные данные и эим воспользовались.

Я наслышан о том как люди пренебрегают безопасностью своих почтовых ящиков, телефонов, после чего попадают вот в такие ситуации.

Сейчас просто необходимо использовать двухфакторную аутентификацию, где можно. А было бы ещё лучше — принудить банки и госучреждения на законодательном уровне внедрить 2FA.

+
+19: yarg; 2 липня 2021, 13:02; #

А вы видели банки без двухфакторной идентификации? это кто например?

+
0: braintest; 2 липня 2021, 13:20; #

Я умею ввиду 2fa не по номеру телефона, а OTP, типа google authenticator или ещё лучше u2f ключ.
Стоит такой ключ, всего-ничего 820 грн., и его свободно можно купить, например такой «ePass FIDO U2 °F FIDO2 NFC USB-A K9B»

+
+14: yarg; 2 липня 2021, 16:04; #

От этих систем уже все отказались. Почему — не знаю, но что есть-то есть. Видимо причины были.

+
0: Короткий и непровокационный; 2 липня 2021, 13:07; #

ЕЦП или bank-id — причём там дату выдачи последнего ключа можно посмотреть и если не ошибаюсь IP адрес.

+
0: Qwerty1999; 25 жовтня 2021, 17:43; #

braintest
«В Дія можно аутентифицироваться с помошью или ЕЦП или bank-id.»

Получить своё фото в фейковом приложении «ДИЯ»
под реальными ФИО и инн-кодом постороннего человека
можно за какие-то 120−150−200 гривен.

И ломать ничего не надо…

https://minfin.com.ua/2021/10/25/74182718/

+
0: Ka6aH4uk; 2 липня 2021, 12:56; #

Із поста Костянтина в Фейсбуці: «Розказала мені ще купу фактів як шахраї намагалися угнати її фінансовий номер та добавити свій, зареєструвати в інших кредитних та банківських установах, відкрити рахунки у інших банках, замінити її дані своїми, та інші детективні подробиці.»
Тобто на неї влаштували справжнє полювання кіберзлочинці? Плюс Дію вона собі ніколи не встановлювала…

+
0: yarg; 2 липня 2021, 13:02; #

Зарегистрировали ее в дие и пытались пооткрывать счета, пополучать кредиты и т. п. Где-то получилось, где-то нет.
по ходу оказалось что государство к Дие никакого отношения не имеет и не контролирует ее работу — это частная лавочка…

+
+5: Ka6aH4uk; 2 липня 2021, 13:07; #

А від самої Дії була офіційна відповідь щодо даного інциденту? Можливо дійсно ця людина не дотримувалась правил інформаційної безпеки і шахраї якось отримали необхідні дані…

+
0: SievaNiklas; 2 липня 2021, 14:44; #

«…У Дії їй відповіли, що додаток добре захищений і отримати кредит з його допомогою неможливо…»

+
+11: Alvares; 2 липня 2021, 13:07; #

Главное, что по ковиду мы ниже рашки… да Сашок…

+
+258: AlexanderS1; 2 липня 2021, 13:08; #

Аин уже расписал как все вышло https://ain.ua/2021/07/01/kejs-kredit-cherez-diia/
Если коротко: украли ее телефонный номер. Угнали почту. Получили доступ к банку через телефон и почту. Пытались взять кредит в альфабанке, но его не подтвердили. В моно кредит дали, но после обращения клиентки, признали мошенническим и закрыли. Далее через BankID авторизировались в дие и взяли кредит в Милоан. Милоан выдал кредит с нарушением норм, так как был обязан требовать фото-подтверждение личности, чего они ни сделали. Сейчас после шумихи кредит признали недействительным и закрыли.

+
0: Ka6aH4uk; 2 липня 2021, 13:11; #

Спасибо за ответ. А если б не было шумихи думаете не закрыли бы ?)

+
+52: yarg; 2 липня 2021, 13:13; #

Нет конечно.
там история длинная и морозились все — капитально.

+
0: Ka6aH4uk; 2 липня 2021, 13:19; #

Но в етой статье четко написано как ето произошло, тут был взал пошти и кредитная контора грубо нарушила правила НБУ:
«Сначала украли ее телефонный номер.
Получили доступ к ее банковскому аккаунту, подтвердив вход с личной почты.
Далее с помощью скомпрометированного доступа к BankID авторизировались в „Дія“.
„Но и такая серия краж идентичности и „взломов“ не могла бы завершиться получением кредита с помощью цифрового паспорта, если бы финансовое учреждение грубо не нарушило правила, установленные НБУ. В правилах этого финучреждения указано подтверждения личности человека с помощью фото, чего, очевидно, не было сделано“, — подчеркивают в Минцифры.»

Как сообщили AIN.UA в Минцифры, сразу после этого случая еще в апреле министерство отсоединило все кредитные учреждения от «Дія» и обратилось к НБУ с просьбой осуществить внеплановую проверку таких учреждений с предоставлением подтверждения их нарушений.

+
+15: yarg; 2 липня 2021, 15:20; #

Нет никаких «правил НБУ»
тупые отмазки Минцифры — просто смешны. Устроили распил-откат на недоделанной «Дие», а теперь лепят горбатого к стене.

+
+36: marcher145; 2 липня 2021, 15:50; #

Почему так много кипиша?.. стандартная мошенническая схема, ровно также происходит и с бумажными документами, почему Вы не выступаете за депаспортизацию, почему нет призывов сжечь бумажные паспорта и другие документы и т. д.

стандартный цикл прогресса/разработки, везде есть баги, везде есть ошибки, со временем количество их уменьшается…

+
+15: yarg; 2 липня 2021, 15:59; #

Как вам сказать…
схема отличается от стандартной тем, что у вас никто ничего не ворует.
просто от вашего имени создают учетку в дии и на нее берут кредиты и совершают много чего другого.
А вы узнаете об этом — когда вас уже арестовывают. И доказать что это все делали не вы — возможности нет — все дают отписки «наша система защищена, отстаньте срочно».

+
+10: marcher145; 2 липня 2021, 16:17; #

То есть слова украли мобильный номер, почту и т. д. использовали в переносном значении… это наверно метафора…

ну если серьезно, с точки зрения передачи информации, что в обычной версии украли идентификаторы личности, что в данном случае, разницы особой нет, разница в носителе…

и ровно так же с бумажной версией, люди частенько не знаю что на них взяли кредит, только в не цифровой версии все происходит более массово…

повторюсь с вопросом, нужно сжечь паспорта? к тому же насколько я слышал государственный идентификаторы человека, это печать сатаны...)

с такой логикой можно дойти до «собираем консервы и оружие и переселяемся в канализацию»…

+
0: yarg; 2 липня 2021, 16:36; #

Безусловно метафора.

если я у вам украду е-мейл (иначе говоря — узнаю пароль к нему) — вы заметите это толкьо если я сменю пароль. А если нет — вы и не заметите ничего.

чем поможет для решения этой проблемы сжигание паспорта — я не понимаю.

+
+14: SievaNiklas; 2 липня 2021, 20:14; #

Їх кількість не зменшується. Звідки така інформація? Сучасні розробки такого типу і масштабу постійно модернізуюся і збільшуюся. При будь-якій модернізації можуть бути допущені помилки. І їх кількість буде пропорційна оновленням при інших рівних. Все ж таки, це — не «Блокнот» в Windows, який запилили і забули. А щодо паспортів: це некоректне порівняння. Ви ніколи не думали: чому гарно, що не існує єдиної бази даних паперових паспортів, приблизно такої ж як і ІННів? І чому базу ІННів стабільно раз на кілька років тирять, а дані по паспортах це штучний товар? Я до чого це все: коли державні службовці розповідають про «діджижилізацію» вони забувають так само яро розповідати про кіберзлочинність і безпеку персональних даних. Право на яку, до речі, скасували депутати законом № 555-IX «Про внесення змін до Закону України „Про захист населення від інфекційних хвороб“ щодо запобігання поширення коронавірусної хвороби (COVID-19)». Це перше. А друге: при розробці такого масштабного проекту чиновники забули прислухатися до думки експертного середовища у сфері інформаційної безпеки. А саме: «відкритий код» і «постійний незалежний зовнішній аудит». Це як Telegram і Signal… Вгадайте в якому з месенджерів сидять спеціалісти з безпеки, а в якому усі інші.

+
+15: yarg; 2 липня 2021, 20:30; #

Усі дані - давно вкрадено. Потрібно виходти з цього. І потрібно робити так, щоб розголошення будь-яких персональних даних — не могло призвести до негативних наслідків для людини.
щоб всі бажаючі знали мій мейл. але перший хто послав на ньго спам — дарував мені новенький БМВ щоб не сісти. Приблизно так.

+
+26: braintest; 2 липня 2021, 13:16; #

Ну вот все и прояснилось, а то тут уже многие пишут про зраду.
После утери номера, просто необходимо было убрать эти номера со всех банковских аккаунтов.
Сейчас телефон это практически как карта в банке.

+
0: Qwerty1999; 25 жовтня 2021, 17:58; #

Фейковая «Дія».
В соцсетях появились объявления
о продаже фейкового сервиса «Дія».

Для того, чтобы к своей фотографии
«прилепить» чужое ФИО и чужой инн-код,
надо заплатить мошенникам всего 150−200 гривен.

А дальше приходите в банк, показываете экран фейкового
приложения «ДИЯ» с реальными ФИО и инн-кодом жертвы
и своим фото и оформляете на чужое ФИО
банковскую кредитную карту, например Хамелеон от Альфа-банка,
указав уже свой финансовый номер, который должен быть на припейде…

+
0: BlackDog36; 2 липня 2021, 14:43; #

Цікаво!
Дякую за інфо.

+
+18: Sinogorn; 2 липня 2021, 17:05; #

Хм… они серьёзно? Эта вся цепочка требует как усилий, так и ресурсов. За ради 2 000 грн, никто столько действий не будет делать)) При наличии ее номера, легче было просто с карты снять деньги и возможно бы даже и больше. А не оформлять кредит и еще на такую маленькую сумму)) Это разве что через дию вытащили ее паспорт (паспортные данные) и в Миолане оформили кредит просто дав данные без копии паспорта. А судя по случаям, которых не мало, такие МФО не брезгуют и выдают кредит даже на основании просто данных паспорта.

+
+10: Короткий и непровокационный; 2 липня 2021, 13:13; #

Корсун:"І не важливо, чи людина реєструвалася у Дії, чи замінила паспорт-книжечку на пластик з чіпом, і що взагалі думає про жижиталізацію та чи любить партію та уряд. І чи голосувала за зелених пройдисвітів."
Он точно нормальный? Какое отношение к делу имеет его политическая ориентация?

+
+13: zzel; 2 липня 2021, 13:19; #

Если купили билет в цирк, то уже смотрите до конца. Даже если клоуны оказались не смешными

+
+13: Ka6aH4uk; 2 липня 2021, 13:21; #

Видно що дана особа топить за Петю і йому все рівно де це писати))

+
+3: Qwerty1999; 2 липня 2021, 13:28; #

Короткий и непровокационный
«Какое отношение к делу имеет его политическая ориентация?»

Как знать, возможно при другом президенте, отличном от Зеленского,
не было бы «Дії» в её сегодняшнем виде от слова вообще,
либо был бы какой-то другой вариант диджитализации всей страны…

+
+1: Короткий и непровокационный; 2 липня 2021, 13:32; #

Существует фразеологизм: «История не терпит сослагательного наклонения». Имеется в виду то, что при оценке исторических процессов некорректно употреблять фразы наподобие: «Если бы А. Македонский не дошёл до Индии, то он бы…»

+
0: ikmorische; 2 липня 2021, 15:54; #

Учитывая что Дию презентовали в 19 м и Зеля стал президентом в 19м — значит работы над ней велись ещё до его президенства.
в общем не стоит в этом вопросе сразу обвинять Зелю) Пороха тоже не стоит, идея то не плохая на самом деле.

+
0: Qwerty1999; 2 липня 2021, 21:18; #

Ikmorische

В 19-м было целых 365 дней…
Идея диджитализации с созданием специального министерства
цифровой трансформации Украины была предложена
исключительно командой кандидата в президенты Зеленского…

Кстати, в Кабмине Гройсмана не было министерства цифровой трансформации Украины…

+
+29: mary27; 2 липня 2021, 13:16; #

Я давно говорила, «Дия» — дыра, мне не верили)

Как тебе такое «государство в смартфоне», Илон Маск?)

+
+49: Qwerty1999; 2 липня 2021, 13:33; #

Mary27
«Я давно говорила, „Дия“ — дыра, мне не верили)»

Говорить вы умеете хорошо,
а вот с пониманием прочитанных
текстов у вас реальные проблемы…

У потерпевшей «угнали» мобильный телефонный номер,
который был на предоплате, да к тому же числился
финансовым в Альфа-банке.

Вот отсюда всё и пошло…
А в «Дію» мошенники зашли по BankID от Альфа-банка…

+
0: mary27; 2 липня 2021, 18:12; #

Да ну?
В роли поддельных документов что выступило — «Дия».
Значит, в ней все дело.
Они не по «банк-айди» кредиты брали)

+
0: Qwerty1999; 2 липня 2021, 21:30; #

Mary27
«Да ну?»

Вот вам и «да ну»…
Пишите о «Дие» и даже не знаете как она работает…

Вход в «Дию» по BankID — стандартный вариант регистрации в «Дия».
Сервис берёт инн-код клиента банка из данных, которые банк передаёт через
BankID и затем по этому инн-коду подтягивается паспорт, права, справка с инн-кодом и прочие доки.

Ну, а BankID — это обычно логин + пароль для входа в интернет-банкинг
того или иного украинского банка, который подключен к системе BankID.

Никакой дурак не ламает систему «Дия»…

+
+61: Qwerty1999; 2 липня 2021, 13:23; #

Основная «дыра в безопасности» всех банков и «Дії» в том числе — связана именно с номером мобильного телефона, который у подавляющего числа граждан страны на предоплате да к тому же ещё и числится финансовым в одном из банков…

Поэтому это не проблема «Дії» или конкретных банков — это проблема сохранения номера мобильного телефона, который является финансовым в тех же банках минимум на зарплатных проектах…

Проблема решается несколькими способами…
1. Самый простой и самый дорогой по финансам — перевод номера телефона на контракт…
2. Более простые варианты, не требующие финансовых вложений — привязка номера к паспорту
с обязательным запретом удалённой замены сим-карты.

Казалось бы — всё очень просто, но подавляющее большинство игнорирует
такие простые превентивные варианты защиты, ну, а когда мошенники уже
«угнали» номер и набрались кредитов — тогда кричат «караул» и пишут гневные
письма во все возможные инстанции…

+
0: zzel; 2 липня 2021, 13:26; #

Даже это не спасёт от кражи телефона. А потеря телефона не должна означать утрату всех сбережений за жизнь и получение миллионных долгов. Обычное перекладываете ответственности клоунами

+
+13: Qwerty1999; 2 липня 2021, 13:58; #

Zzel
«Даже это не спасёт от кражи телефона.»

Допустим, у вас украли смартфон с мобильным финансовым номером на контракте.
Через минуту после кражи вы имеете полное право заблокировать свой контрактный номер и мошенник не сможет при помощи украденного, но заблокированного номера получить доступ к вашим финансам.

Если же не умеете хранить свой смартфон
и кидаете его где попало — повесьте его на шею вместо бейджа…

+
0: mary27; 6 липня 2021, 9:02; #

По моде первой половины 2000х?)

+
0: Короткий и непровокационный; 2 липня 2021, 13:47; #

Причём привязать номер можно удалённо с помощью ЭЦП.
С помощью системы «Мой Киевстар» (с ЭЦП):
Зайти в веб-версию «Мой Киевстар».
Выбрать номер для регистрации в профиле и перейти на закладку «Пользователь».
Выбрать метод регистрации «С помощью ЭЦП».
Загрузить ключ ЭЦП и ввести пароль к нему.
Заполнить шаблон электронной формы.
Проверить, правильные ли данные указаны, и подтвердить регистрацию.

+
0: Qwerty1999; 2 липня 2021, 14:01; #

Короткий и непровокационный
«Причём привязать номер можно удалённо с помощью ЭЦП.»

Если номер на припейде, то о ЕЦП от Киевстар не может быть и речи.
А ведь кроме Киевстара, есть ещё и Водафон и Лайфселл и Интертелеком с Тримобом.
Для генерации ЕЦП нужен паспорт и инн-код, т. е. контрактное подключение…

+
0: ikmorische; 2 липня 2021, 16:03; #

Я думаю он имел введу что если у вас уже есть ЭЦП, то можно привязаться в киевстаре, а не получить в киевстаре эту самую ЭЦП.

+
0: mary27; 6 липня 2021, 9:02; #

Услугу «Мобайл АйДи» перестали подключать новым абонентам — страшно непопулярная и дорогая.
Вообще, мертворожденная услуга.
Телефон с такой сим надо дома держать, лучше в сейфе.

+
+29: mary27; 2 липня 2021, 18:14; #

Чушь.
Главное — в нашем недогосударстве дали кривому застосунку «Дия» права документа.

А про телефон — допустим, украдут у меня номер.
И что, паспорт-то у меня.

С «Дией» — если ее взломали, то все, гражданин должен готовиться становиться бомжом)

+
0: SievaNiklas; 2 липня 2021, 20:31; #

А давайте усі номери телефонів прив‘яжемо до паспортів? А ще можна саджати людей за ґрати за перепост у соц. мережі чи, наприклад, ввести кудись війська… Є вже такі держави. Наявність (не)анонімності клієнта передплаченого номеру перед оператором — це його право і вибір. І, тим більше, перед державними службовцями. Про факти махінацій, шахрайства і порушення права на приватність і перших, і других вже давно усім відомо. Ось мені цікаво: а чи аналізував хтось при проектуванні цих систем (Дія, BankID і т.д.) ризики акаунтів з передплаченими номерами і контрактними? Якщо «так» — де ця аналітика? Чи може різниця в ризику мізерна і саме тому передплачені номери дозволено використовувати в банку?

+
+4: Qwerty1999; 3 липня 2021, 6:05; #

SievaNiklas
«А давайте...»

Если у клиента должен быть выбор, в какой способ использовать свой номер мобильного телефона — анонимная предоплата или привязка к паспорту, а тем более контрактное подключение, то и у мошенников должен быть выбор — каких клиентов обворовывать на ура, а каких обходить стороной…
Например, когда около десяти лет назад у меня украли мобильный телефон с финансовым номером от Приват24, мошенники не смогли зайти в Приват24 из-за ограничений доступа по IP-адресу. Контрактный номер заблокировал не сразу, а только на следующее утро, а кредитный лимит не пострадал ни на копейку.

+
0: SievaNiklas; 5 липня 2021, 12:51; #

Загалом — згодний з Вами. Для мене — оператор і державні службовці зовсім не є безпечними людьми. Ці хлопці та дівчатка «на ура» торгують записами телефонних розмов, текстом смс-ок тощо. Тому не бачу нічого безпечного й у контракті.
От, якщо заморочитись, можна зробити окремий номер конкретно під фінанси й інші важливі речі, не носити його з собою і не світити… Однак, це зовсім не зручно. Напевно, основна проблема у тому, що звичайний повсякденний номер телефону клієнта у банках — є ключем до всього. При цьому, коли хочеш в касі зняти більше $1 тис. зі своєї ж картки питають паспорт. Якось не пропорційно виходить.

+
0: Qwerty1999; 5 липня 2021, 16:17; #

SievaNiklas
«Для мене — оператор і державні службовці зовсім не є безпечними людьми. Ці хлопці та дівчатка „на ура“ торгують записами телефонних розмов, текстом смс-ок тощо.»

Самое удивительное в том, что сотрудники Привата, Ощада и Укрэксима
не являются госслужащими по определению…
Та что ваш пассаж на счёт «державні службовці» их однозначно не касается,
а вот огульно обвинять всех сотрудников банка в торговле персональными данными без наличия реальных фактов — это больше смахивает на клевету или банальное враньё…
И зачем оно вам — не понимаю…

«коли хочеш в касі зняти більше $1 тис. зі своєї ж картки питають паспорт»

Это требование прописано в нормативных документах
Финмониторинга и НБУ — банки лишь строго выполняют эти требования…

+
0: SievaNiklas; 5 липня 2021, 16:24; #

Я мав на увазі не співробітників банку, а співробітників МВС й інших державних органів

+
0: Ghostua; 2 липня 2021, 13:24; #

Где-то кто-то что-то не договаривает, ради 2500 грн взламывать «Дія» странно.

+
0: Ka6aH4uk; 2 липня 2021, 13:27; #

Уважно почитайте статью, взлому самої Дії не було, був взлом аккаунта пошти і телефону і дальше кредитна організація видала гроші із грубим порушенням правил НБУ: https://ain.ua/2021/07/01/kejs-kredit-cherez-diia/

+
0: yarg; 2 липня 2021, 15:18; #

Взлом — это подключение пользователя, А под видом пользователя Б.
а именно это и произошло.

+
0: ikmorische; 2 липня 2021, 16:13; #

Вы не правы) а если в коде программы удаляется код который должен проверять подписку, то она взломана или нет? если да, то какой пользователь вместо какого?

отдать свои логины/пароли + канал MFA, а потом говорить что защита плохая, это как купить пистолет для самообороны, а когда на вас нападут — отдать его нападающему

+
0: yarg; 2 липня 2021, 16:32; #

Тоже взломана. кто сказл что вариантов взлома — 1 и все?
вход, а под видом Б, отключение верификации вообще, есть много видов взлома.
вы уверены что кто-то отдавал свои пароли? Такой информации нет. Есть информация — человек не регистрировался в Дии и никаких паролей там не имел. вместо него под его именем там зарегистрировались другие люди. И система это позволила. Это серьезнейший недостаток для таких систем. Позоридло, иначе говоря.
Это все равно что кто-то пошел в паспортный стол и получил официально и красиво паспорт на ваше имя и с вашей фотографией.

+
0: ikmorische; 2 липня 2021, 16:56; #

«Это все равно что кто-то пошел в паспортный стол и получил официально и красиво паспорт на ваше имя и с вашей фотографией» вбейте в гугл что-то вроде «помощь с востановлением паспорта» или «оформить загранку» и увидите сколько людей без вас могут сделать вам паспорт))))

а по поводу взлома, ясно же уже сказали — идентифицировались через BankID от альфа банка, как получили доступ к альфе имея только номер сказать сложно.

но вот что вы еще ждете от защиты Дии? она должна просить вас сделать селфи с котом на голе и нейронка это будет проверять?))

есть предложения?

+
+15: yarg; 2 липня 2021, 17:09; #

В гугле много чего есть. но 99% этого — мошенничество из серии «дайте предоплату и мы сделаем вам паспорт», а 1% -тупой переклей фотограций с потеками краски. Что ловит потом первый же участковый.
Я заглядывал на форумы где это все «продвигали» и насмотрелся этих историй.

Если в госулдарственной системе вся безопасность сводится к «а мы доверяем альфабанку, он же не кинет» — это серьезнейший баг. Отключать это позорище и расследовать деятельность разработчиков. Двоих расстрелять. для острастки.
Если они не знают что делать — не нужно создавать таких систем. Или нужно иметь возможность блокировки. Например я вношу в специальный реестр инфо — «я не беру кредитов, не продаю имущества онлайн и т. п.». После этого любая такая операция автоматом считается мошеннической.

+
0: ikmorische; 2 липня 2021, 17:26; #

Моя жена меняла фамилию через контору «дайте денег и мы дадим вам паспорт» и норм, всё везде подтягивается.
банк айди это не разработка альфы, а правительственная программа, это как ЭЦП, если кто-то получит доступ к вашей ЭЦП это тоже будет проблема ЭЦП?

«я не беру кредитов, не продаю имущества онлайн и т. п.»
согласен, это не плохая идея, вот только имея доступ к ключам эти настройки можно поменять :(

+
+15: yarg; 2 липня 2021, 17:41; #

Повторюсь — историй с пасопртами за деньги масса. как заканчиваются — я написал. хвастатся этим — ну как рассказывать «я всегда пьяным за руль сажусь — и никто меня не ловил еще».

Если правительственная программа имеет дыры в безопасности — это повод исправлять их, а не надстраивать над этой системой другие системы, 100% доверяющие первой и расширяющие возможности багоюза.

+
0: mary27; 2 липня 2021, 18:15; #

Ой, да не важно, каким путем взломали, важен результат.
Завтра вашу квартиру так продадут, и вас сдадут в аренду — тоже скажете «взлома не было»?)

+
0: Qwerty1999; 2 липня 2021, 21:05; #

Mary27
«Ой, да не важно, каким путем взломали, важен результат.»

Раз вам всё неважно, тогда незачем переживать за продажу моих квартир.
Мой финансовый номер на контракте и он не может быть переоформлен посторонними, как это происходит ежедневно с номерами на припейде.

Но вам же пофиг на реальные факты,
главное быть уверенной в своей непогрешимости.

+
0: mary27; 5 липня 2021, 22:12; #

Странно, ни одного контрактного номера, и ни один не увели.
Что я делаю не так?)

+
0: Qwerty1999; 10 липня 2021, 21:44; #

Mary27
«Что я делаю не так?)»

Как знать, возможно, ваши финансы
(дебетовые карты и отсутствие
кредитных карт с приличным лимитом)
никому не интересны даже на форуме Минфина…

Вот никто и не зарится на такое счастье…

+
0: mary27; 10 липня 2021, 21:47; #

Видите как — не даю себя ограбить.
Ни ворам, ни банкам)

Только родному государству можно.

+
0: Qwerty1999; 10 липня 2021, 22:07; #

А что с тех дебетовых карт можно
взять — сущие копейки…

Вот вы никому в этом плане и не интересны.

+
0: Qwerty1999; 3 липня 2021, 6:16; #

Yarg
«Взлом»

Если в сервисе «Дия» вводится действующий логин и пароль — это не взлом, а обычный вход в систему.
А где и в какой способ мошенник достал актуальные логины и пароли — значит он взломал какую-то другую систему.
В данном случае, почтовый сервис укрнет и затем интернет-банкинг Альфа-банка.

+
0: mary27; 6 липня 2021, 9:00; #

Это говорит об аьсолютно несерьещной идентификации в «Дийе».
Как следствие — застосунок удалить, данные стереть.
Разработчиков — посадить с конфискацией.
Как соучастников преступлений.

+
+39: Qwerty1999; 2 липня 2021, 13:38; #

Константин Корсун
«сейчас нет готовых советов, как противодействовать всему этому.»

Готовый совет — берегите свой мобильный номер телефона от переоформления мошенниками…

Варианты защиты описал ранее в своём комментарии от 2 июля 2021, 13:23

P. S. Что это за эксперт по кибербезопасности,
который не знает элементарных способов защиты.
Позорище да и только…

+
0: mary27; 2 липня 2021, 18:17; #

Позорище — это «защищенный» «документ», который оформили безведома человека на него.
И последовавшие отписки)

+
0: Dsd; 2 липня 2021, 13:46; #

Номера телефонов даже пользователям не принадлежат. Это собственность мобильных операторов. не знаю как на контракте, но на припейде, если год не пользоваться — блокируется, потом снова в продажу поступает, цифры же не резиновые.

+
+10: Qwerty1999; 2 липня 2021, 14:12; #

Dsd
«Номера телефонов даже пользователям не принадлежат.»

Ну и что с этого…

Своим контрактным номером телефона пользуюсь более 20 лет
и мой мобильный оператор от такого использования номерного
ресурса только в прибыли…
Ну, а мои финансы под надёжной защитой…

+
0: Dsd; 2 липня 2021, 16:12; #

Только он не ваш, а оператора. Пользуйтесь на здоровье

+
0: ikmorische; 2 липня 2021, 16:24; #

Чтобы вы понимали ваши бумажные деньги не ваши, а государственные :)
если вы намеренно повредите купюру — вас можно привлечь к ответсвенности за порчу гос имущества.

но это же не мешает всем говорить что это его деньги? :)

+
0: ikmorische; 2 липня 2021, 16:15; #

Одним из своих номеров пользуюсь чуть менее 20и лет и даже без контракта)
не понимаю что не так с мобильными номерами :)

+
0: Qwerty1999; 2 липня 2021, 21:09; #

Ikmorische

Когда мошенники посчитают необходимым
переоформить ваш номер на припейде,
тогда и узнаете разницу…

А пока радуйтесь, что до вашего номера
у мошенников ещё не дошли руки…

+
0: ikmorische; 3 липня 2021, 11:27; #

У меня два номера, один для людей, второй для фин учреждений, чтобы кому-то узнать фин номер — ему нужно будет получиить доступ к базе какого-то из фин учреждений, а если уже такое случится то скорее всего номера телефонов их будут интересовать в последнюю очередь.
да и не перевыпускают просто так номера, я когда-то менял карточку (ну 20 лет карте, она уже просто не влазила в новый телефон) и там худо-бедно да проверили мой ли это номер

+
0: Qwerty1999; 3 липня 2021, 12:04; #

Водафон

Восстановление сим-карты в случае утери

Шаг 1
Купите специальный стартовый пакет для восстановления и замены SIM-карты

Шаг 2
После получения стартового пакета для восстановления и замены SIM-карты, позвоните по телефону:
222 (бесплатно с номера Vodafone Украина) или
0 800 400 222 (бесплатно со всех сетей в Украине)
далее:
назовите номер, который нужно восстановить;
предоставьте ответ оператору на один из вопросов:
— PUK-код (8 цифр, которые указаны на пластиковом держателе от старой SIM-карты);
— IMEI устройства, в котором находилась старая SIM-карта;
— два номера, с которыми вы чаще всего общались в течении последних 30 дней (за исключением коротких номеров и номеров, которые начинаются с 0800/900…);
сообщите оператору серийный номер вашей новой SIM-карты (цифры, указанные на новом стартовом пакете или на пластиковом держателе под штрихкодом).

Киевстар

1. купите стартовый пакет Киевстар
Чтобы заменить SIM-карту самостоятельно, воспользуйтесь стартовым пакетом Smart SIM.
2. вставьте новую SIM-карту в телефон и отправьте запрос *111# для активации номера
3. отправьте запрос *245*380ХХXXXXXXX*YYYYYY#, где
380ХХXXXXXXX — номер телефона старой SIM-карты,
YYYYYY — 19 цифр ICC-кода или 8 цифр PUK1 вашей старой SIM-карты
4. заявка на замену SIM-карты будет выполнена через 7 часов, вы узнаете об этом из SMS-сообщения.

Пока заявка выполняется, вы получите 100 нетарифицируемых минут на звонки в сети Киевстар.

+
0: mary27; 5 липня 2021, 22:11; #

Забыто, что есть USSD, отключающие возможность дистанционного восстановления сим.

+
0: Qwerty1999; 10 липня 2021, 21:47; #

А кто об этом функционале вообще знает?

+
0: Ukr2020; 2 липня 2021, 14:28; #

Оце так! Хакнули дію, і взяли кредит аж на 2400 грн. Оце якиїсь какер підсуєтився, взламав дію, зробив ід паспорт, ецп чи банк ід на жінку і в кінцевому результаті вирішив взяти собі кредит на 2400 грн. щоб просто підісрати жінці з відсотками

+
0: yarg; 2 липня 2021, 15:19; #

Откуда вы знаете что такой случай один?

+
0: Dobrofey; 2 липня 2021, 14:29; #

«До чего дошел прогресс…» (с)
Ужос какой-то, выходит просто завладев хотя бы на время телефоном жертвы, можно на нее кредитов навешать без ее ведома? С какой это поры номер мобильного стал равняться подписи?

+
0: Qwerty1999; 2 липня 2021, 15:30; #

Номер мобильного в большинстве банков — является логином к интернет-банкингу.
Пароль обычно приходит в смс-ке на мобильный…

Заполучив финансовый мобильный номер телефона и сменив пароль к интернет-банкингу мошенник получает реальный BankID (логин+пароль), с которым можно законно зарегистрироваться в «Дія»…

+
0: ikmorische; 2 липня 2021, 16:19; #

Та ну не, не может быть что «введи номер и я пришлю тебе одноразовый пароль» это очевидная дыра в безопасности, не верю что какие-то банки так работают

+
0: Qwerty1999; 2 липня 2021, 17:30; #

Ikmorische
«не может быть»

Ну так расскажите, как должны работать банки,
когда клиент на странице ввода логина и пароля
нажимает пимпочку «забыл пароль»…

Неужели предлагать с паспортом
и кодом прийти в отделение банка?!

Кстати, автор пишет, что до переоформления
финансового номера был взломан почтовый ящик на укр.нет.

+
+19: ikmorische; 3 липня 2021, 11:29; #

На мой взгляд в таком случае банк должен убедиться что человек на другой стороне владелец счета. Разные там глупые вопросы по типу «секретный ответ», «девичья фамилия матери» и т. п.

+
0: tarick; 2 липня 2021, 14:37; #

Чушь какая-то, в Дии фотографию не переклеишь.
Что-то мне кажется, что мошенничеством занимается контора, которая якобы выдала кредит.

+
0: yarg; 2 липня 2021, 15:57; #

А зачем переклеивать? ее что — кто-то с оригиналом сверяет?

+
0: tarick; 2 липня 2021, 16:23; #

Ну вот если не сверяют — значит грубо нарушили правила выдачи кредитов. должны списать и извиниться

+
+25: yarg; 2 липня 2021, 16:33; #

Причем здесь кредиты? люди зарегистрировались в Дии под ее именем.
хорошо -0 кредит взяли. А могли бы ее квартиру продать. и бегала бы она по адвокатам и получала отписки — «наша система работает правильно, это вы сами ее продали».
или ««…У Дії їй відповіли, що додаток добре захищений і продати квартиру з його допомогою неможливо…»»

+
+10: tarick; 2 липня 2021, 16:56; #

Случайно плюс нажал, не согласен вообще.
с тем же успехом ушлые ФК могут выдать кредит левому челу на чью-то ксерокопию паспорта.

+
0: yarg; 2 липня 2021, 17:10; #

И это происходит постоянно. Вы не слышали таких историй?

но ситуация с Дией — имеет отличия. повторять их мне надоело уже…

+
0: tarick; 2 липня 2021, 17:29; #

Я считаю, что это не вопрос к «Дии», а вопрос к таким конторам.

+
+15: yarg; 2 липня 2021, 17:42; #

А конторы теперь говорят — «мы получаем данные из Дии» и 100% доверяем им.

+
0: Qwerty1999; 25 жовтня 2021, 18:09; #

Tarick
«в Дии фотографию не переклеишь.»

Сервис «переклейки» фотографий в фейковой «Дие»…

https://minfin.com.ua/2021/10/25/74182718/

+
+10: Maximal; 2 липня 2021, 17:13; #

МФО делают, что угодно. Нарушили процедуру, закон — им плевать. Никакой ответственности они не понесут. Никто их не контролирует. А виновата будет жертва мошенничества и склько куда не обращайся, никто не поможет

+
+40: Maximal; 2 липня 2021, 17:24; #

У меня такая же история прошла с Алекс Кредит. Просто прислали смс, что я взял кредит. Подумал, мошенники, но решил проверить кредитную историю и вижу запрос от этой МФО. Пришлось ломится во всех каналах в поддержку. Оказалось, что по моим данным заявку на кредит оформила какая-то женщина, как такое возможно вообще не понятно, на все вопросы — никакого ответа. Поддержка просто сказала, что все ок, кредитов нет, ваши данные удалили. Но когда я начал оспаривать запрос моей кредитной истории, так как по закону, смотреть и редактировать мою кредитную историю можно только с моего личного согласия и действия Алекс Кредит были незаконными, представители Алекс Кредит сразу поменяли пластинку и оказалось, что кредит все-таки оформлял лично я и соответсвенно давал разрешение, а в кредите мне просто отказали, никакого мошенничества и нарушения закона. И ничего доказать так и нельзя. Могу написать статью об этой ситуации, если редакции Минфина будет интресно

+
+18: Qwerty1999; 2 липня 2021, 17:33; #

Напишите статью в своём блоге, а если Минфин заинтересуется,
то выложит ссылку на статью на главной странице сайта…
Если не заинтересуется, мы всё равно прочитаем…

+
0: letosghost; 3 липня 2021, 1:41; #

Шановні противники дії, є для вас кілька цікавих аргументів для роздумів. У статті я згоден з тим що вина в лежить на трьох сторонах. Перша це сама жінка, друга це мілоан і третя це НБУ. Поясню чому так. Номер телефону це свого роду ключ від замка (квартиры, машины, чи банківської скриньки) і якщо ви його не берегли чи комусь передавали або залишили зліпок і хтось зробив його дублікат і коли вас не було відкрив вашу квартиру і обчистив її це ж через вашу необережність. Альфа банк тут як майстер ключів якому дали ключ і попросили виготовити дублікат. Він тут ніпричому і його вини 0. Він виконує тупо свою роботу. Потім ваш вам повернули, а дублікатом відкрили квартиру. Номер хоч і не дублюється, він переноситься на новий чіп сімки, а старий (який у вас фізично) блокується. І варто для цього лише вам кілька дзвінків зробити щоб мати можливість надати інфу і легально замінити сімку якщо ви настільки безпечний що номер не контрактный, чи припейдовський без підключення функції віддаленої заборони заміни сімки і прив’язки до паспорта. Щоб лише вы фізично з паспортом могли її відновити у випадку втрати. Мілоан винен що не дотримався вимог безпеки (селфі), якщо у вас в квартирі вкрали паперовий паспорт його фото ще легше використати ніж фото з дії. Ці шараги видають всім гроші майже по фото 3-ох розгорток паспорта і похєр хто його власник. Вони своє повернуть. А НБУ вина в тому що вони наче й регулятор але перевірки у них квартальні. Тобто все можна підчистити до неї. А по друге що за

+
+12: letosghost; 3 липня 2021, 1:54; #

Продовжу. По-друге що за порушення Такого роду НБУ дає письмове попередження чи штрафує на копійочні суми для таких організацій. Ну на крайняк це тимчасово відкликає ліцензію на проведення певних видів фінансової діяльності з встановленими термінами ліквідації порушення компанії (ну компанія сама закрыла кредит виправила порушення ніби і далі дали відновили ліцензію і працює. І так по 100раз. Якби за порушення норм НБУ забирало ліцензію на будь який вид фінансової діяльності без права її подальшого відновлення, а на керівництво і кінцевих бенефіціарів відкривало кримінальне провадження за статтею (шахрайство), як такі шараги люблять лякати бідолах, які попали в їхню павутину і звинувачуються у тих же гріхах, якими на них діють і всім похєр, одним лєнь вїжджати вв тєму і розбиратись, а іншим дуже вигідно що першим лєнь. Така то о хєрня малята

+
+15: SievaNiklas; 3 липня 2021, 2:13; #

Тобто, Дія знову не при чому? Нє вінаватая я? А чому власне? Якщо це проблема BankID то нехай реєстрація буде лише для MobileID (який вже усі монополісти повідключали, до речі) чи за ЕЦП податкової й іншими, більш-безпечними способами. Чи справа не в BankID? Я не знаю як там в Альфі, і в інших російських банках, але я зтикався з банками де паролі від банкінґу так просто не дістати. І ніхто їх смс-ками не надсилає. Ну, в нормальних банках. І це питання не лише до НБУ, це колективна відповідальність усіх сторін інциденту. Адже, чому в Дії можна зареєструватися через поганий сервіс інтернет-банкінґу? Як так сталося, що Альфу підключили, якщо вони роздають паролі клієнтів на право і на ліво? Ось це, власне, усі критики закидають Міндіджитал. Ну або пані тримала в телефоні файлик з усіма паролями і тоді, справді, ніхто не винен окрім неї й мфо…

+
0: Qwerty1999; 3 липня 2021, 6:28; #

SievaNiklas

Ну так и предьявляйте претензии к Альфе, у которой по номеру телефона клиента удалось сменить пароль доступа к интернет-банкингу мошенникам…
Можете предъявлять также претензии к почтовому сервису укр. нет, у которого на раз увели клиентский почтовый ящик, а также к мобильному оператору, который позволил мошенникам завладеть клиентским мобильным номером.
С таким подходом — виноваты все, кроме собственно клиента…
Хотя именно его беспечность привела к этому…

+
0: letosghost; 3 липня 2021, 9:40; #

Про що я й кажу. Безліч людей установлюють додатки і навіть не читають умов конфіденційності і не знають про можливості безпеки. В багатьох вхід без подвійної аутентифікації. Та що там говорити, я працюю з сервісних обслуговуванням електроніки і в 70% клієнтів телефон захищений просто графічним ключем в формі букви z (або дзеркально). І в більшості з них не встановлено навіть вхід в додатки по пін чи біометрії (блокування додатків-в настройках смартфону). Якщо його підключити під 6ти значним кодом (на любий додаток в смартфоні) і додатково після його підтвердження додаток запускається і запитує свій внутрішній код входу (який звісно повинен відрізнятися), то вже вас в рази складніше хакнути. Дбайливо ставтесь до безпеки і максимально її використовуйте. Майте з 10−20 різних паролів на сервісах які пов’язані і подвійно аутентифікуйте і все буде ок. 100% захисту не існує зовсім ніде, але ризики коласольно зменшуються

+
+15: SievaNiklas; 5 липня 2021, 1:00; #

До всіх крім Дії. В ВКантактє потрібно реєструватись під справжнім ім‘ям, прив‘язуючи телефон. Може, будемо ідентифікуватися в Дії через цей сервіс? Чи це небезпечно? Якщо в Альфи є проблема з наданням зловмиснику доступу до BankID — відповідальність і банку і НБУ. А хто відповідальний що в Дії доступний вхід через центр ключів Альфа Банку в такому випадку?

+
+4: Qwerty1999; 5 липня 2021, 8:59; #

SievaNiklas
«Якщо в Альфи є проблема з наданням зловмиснику доступу до BankID — відповідальність і банку і НБУ.»

Я уверен, что вы абсолютно правы…
Если мошенник, завладевший почтовым ящиком клиента банка, а также финансовым номером мобильного телефона клиента банка смог сменить пароль доступа к интернет-банкингу Альфы, то за такую дыру в ИТ-безопасности Альфа-банк должен быть отключен от BankID и затем лишён банковской лицензии…
Ну, а у НБУ необходимо заменить предправления Шевченко, как не справившегося со своей работой регулятора…

+
0: letosghost; 3 липня 2021, 2:21; #

Запам"ятайте номер підв'язаний під документи і з забороною дистанційного відновлення (на контракті автоматично вже включено) Це як сигналізація, відеонагляд, датчики руху і конс'єрж з охоронцем квартири для вашого номеру. Обійти можна і реально, но лише одиницям і то які є професіоналами високого преміум рівня і більшість для них не викликає інтересу. Такі полюють на саму крупну рыбу. А дія це всього лише тумбочка з вашим паперовим паспортом у квартирі. І тупо казати що у всьому винна ваша тумбочка, яка погано виконує свою функцію і не являється бронесейфом. Це тумбочка. З крутого і якісного матеріалу і хорошими відсіками куди можна багато чого помістити і зручно. І свої функції вона виконує дуже добре. Просто тумбочка не розрахована на те щоб захищатися коли в квартиру хтось заходить і узнавати хазяїн це ключом відкрив двері чи хто інший. Може зломатися і не відчиняти дверку. Треба берегти квартиру вперше від злому. А щоб її вберегти найперше потрібно берегти ключ від неї і ставити якісні хороші замки та двері. І чим дія гірша книжки поясніть тепер? Дія це зручність, швидкість та практичність. Зрештою вас ніхто не заставляє міняти свою книжку (окрім новых отримувачів в 16р. І 25 та 45р)І тим більше реєструватись в ній (книжку не додає). Загранку і банківські карты теж можна не виготовляти. Носіть з собою книжку, готівку і тд. Но справа в тому що ваші дані всерівно легко буде узнати. Щоб бути анонімом вам потрібно не користуватися соц мережами і більшістю додатків, банками і тд

+
0: mary27; 5 липня 2021, 22:10; #

«Дия» — это не тумбочка.
Это номер в цифровом концлагере, через который нас лишат имущества и гражданских прав.

+
0: Qwerty1999; 3 липня 2021, 12:37; #

Подборка статеек на Хабре о диджитализации в России…

Мошенники переоформили квартиру в Москве
с помощью поддельной цифровой подписи
https://habr.com/ru/news/t/452292/

Мошенники и ЭЦП — всё очень плохо
https://habr.com/ru/post/453596/

Воруем ЭЦП, используя Man-In-The-Disk
https://habr.com/ru/post/460993/

Специальная публикация для фанатов совка…

В Казахстане запретили комментирование на сайтах
без авторизации по ЭЦП или номеру телефона
https://habr.com/ru/post/356254/

Щоб залишити коментар, потрібно увійти або зареєструватися

Не зареєстровані на Мінфіні? Придумайте логін і пароль для управління підпискою. (Я вже зареєстрований)

тільки латинські літери та цифри

логін вже існує введіть логін логін повинен містити 3-15 символів логін повинен містити літери

Введіть пароль

√

Новини по темі

Всі новини

Шахраї в «Дія». Через додаток на українку оформили кредит

Цифровий апокаліпсис

Без підтвердження

Що робити в такій ситуації

Коментарі - 115

Заявка успешно отправлена