2 липня 2021, 12:23 Читать на русском

Шахраї в «Дія». Через додаток на українку оформили кредит

В Україні поширюється новий спосіб шахрайства. Шахраї оформили кредит за допомогою програми «Дiя», а колектори вимагали повернути суму боргу з відсотками 12 тис. грн за користування кредитними коштами. Про це розповів експерт з кібербезпеки Костянтин Корсун на своїй сторінці в фейсбук.

В Україні поширюється новий спосіб шахрайства.
Фото: korrespondent.net

Цифровий апокаліпсис

«Цифровий апокаліпсис в Україні оголошується відкритим. Громадянка України Людмила Ж. (це реальна людина, всі контактні дані і копії документів є) нібито „взяла кредит“ через додаток „Дія“. Звичайно, вона цей кредит не брала. Звичайно, вона навіть не зареєстрована в „Дії“. Звичайно, на момент оформлення шахрайського кредиту у неї не було навіть ID-карти (а був старий паперовий паспорт-книжечка)», — пише Корсун.

Без підтвердження

Громадянка звернулася зі скаргою до кредитної установи, що надала кредит, але там відповіли, що «у Товариства відсутні достатні підстави вважати, що кредитний договір з Товариством замість Людмили укладено іншою особою».

Постраждала також написала заяву до поліції і кіберполіції, але результатів це не дало.

Що кажуть в «Дія» та НБУ

Далі вона звернулася до «Дія» і до Національного банку. У Дії їй відповіли, що додаток добре захищений і отримати кредит з його допомогою неможливо, а Нацбанк відповів, що «у Нацбанку відсутні повноваження з розслідування та підтвердження або спростування фактів протиправного утворення кредитної заборгованості певних позичальників небанківських фінансових установ в результаті вчинення шахрайських дій іншими особами (особою) і надходженню загроз з вимогою погашення такої заборгованості».

«НБУ, замість допомоги, чемно повідомляє потерпілому, що загальна сума заборгованості станом на 7 червня 2021 становила 11 677,50 грн, яка складається з: 2 430,00 грн — тіло кредиту; 9 247,50 — відсотки, нараховані за користування кредитом», — додав Корсун.

«Все держслужбовці начебто „розбираються“, але питання залишається невирішеним, при цьому колектори продовжують вимагати повернути неіснуючий кредит», — зазначає Корсун.

Що робити в такій ситуації

«Теоретично, можна писати відкриті листи і підписувати петиції. Але це недієвий інструмент. Влада просто ігнорує +25 000 підписантів будь-якої петиції. Численні попередження професійної спільноти кібербезпеки також не помічаються, а проти особливо активних і наполегливих фабрикують кримінальні розслідування», — говорить експерт.

За його словами, зараз немає готових порад, як протидіяти всьому цьому.

Коментарі - 112

+
0
lamal
lamal
2 липня 2021, 12:29
#
Красіво (
+
0
Короткий  и непровокационный
Короткий и непровокационный
2 липня 2021, 12:46
#
Цифровым апокалипсисом окажется внук бабушки!
+
+121
yarg
yarg
2 липня 2021, 12:52
#
Расскажете это когда на вас кредит оформят.
то что дию взламают говорилось еще год назад. Но зелепукам же распил-откатинг важнее был.
+
0
Alex Noner
Alex Noner
2 липня 2021, 14:09
#
А может она сама слила кому-то свои данные?
не могу этого утверждать, но некоторые крайне безответственно относятся к своей персональной информации…
+
+15
Memphis84
Memphis84
2 липня 2021, 14:23
#
Не факт, что взломали дию, возможно просто оформили кредит, а чтобы скрыть следы сказали, что через дию. У них что, скриншот из дии есть?
+
0
AleksandrBank
AleksandrBank
2 липня 2021, 12:46
#
Офигеть. Правовая держава.
+
+40
braintest
braintest
2 липня 2021, 12:54
#
В Дія можно аутентифицироваться с помошью или ЕЦП или bank-id. Возможно, пострадавшая давала кому-то свои аутентификационные данные и эим воспользовались.

Я наслышан о том как люди пренебрегают безопасностью своих почтовых ящиков, телефонов, после чего попадают вот в такие ситуации.

Сейчас просто необходимо использовать двухфакторную аутентификацию, где можно. А было бы ещё лучше — принудить банки и госучреждения на законодательном уровне внедрить 2FA.
+
+19
yarg
yarg
2 липня 2021, 13:02
#
А вы видели банки без двухфакторной идентификации? это кто например?
+
0
braintest
braintest
2 липня 2021, 13:20
#
Я умею ввиду 2fa не по номеру телефона, а OTP, типа google authenticator или ещё лучше u2f ключ.
Стоит такой ключ, всего-ничего 820 грн., и его свободно можно купить, например такой «ePass FIDO U2 °F FIDO2 NFC USB-A K9B»
+
+14
yarg
yarg
2 липня 2021, 16:04
#
От этих систем уже все отказались. Почему — не знаю, но что есть-то есть. Видимо причины были.
+
0
Короткий  и непровокационный
Короткий и непровокационный
2 липня 2021, 13:07
#
ЕЦП или bank-id — причём там дату выдачи последнего ключа можно посмотреть и если не ошибаюсь IP адрес.
+
0
Ka6aH4uk
Ka6aH4uk
2 липня 2021, 12:56
#
Із поста Костянтина в Фейсбуці: «Розказала мені ще купу фактів як шахраї намагалися угнати її фінансовий номер та добавити свій, зареєструвати в інших кредитних та банківських установах, відкрити рахунки у інших банках, замінити її дані своїми, та інші детективні подробиці.»
Тобто на неї влаштували справжнє полювання кіберзлочинці? Плюс Дію вона собі ніколи не встановлювала…
+
0
yarg
yarg
2 липня 2021, 13:02
#
Зарегистрировали ее в дие и пытались пооткрывать счета, пополучать кредиты и т. п. Где-то получилось, где-то нет.
по ходу оказалось что государство к Дие никакого отношения не имеет и не контролирует ее работу — это частная лавочка…
+
+5
Ka6aH4uk
Ka6aH4uk
2 липня 2021, 13:07
#
А від самої Дії була офіційна відповідь щодо даного інциденту? Можливо дійсно ця людина не дотримувалась правил інформаційної безпеки і шахраї якось отримали необхідні дані…
+
0
SievaNiklas
SievaNiklas
2 липня 2021, 14:44
#
«…У Дії їй відповіли, що додаток добре захищений і отримати кредит з його допомогою неможливо…»
+
+11
Alvares
Alvares
2 липня 2021, 13:07
#
Главное, что по ковиду мы ниже рашки… да Сашок…
+
+258
AlexanderS1
AlexanderS1
2 липня 2021, 13:08
#
Аин уже расписал как все вышло https://ain.ua/2021/07/01/kejs-kredit-cherez-diia/
Если коротко: украли ее телефонный номер. Угнали почту. Получили доступ к банку через телефон и почту. Пытались взять кредит в альфабанке, но его не подтвердили. В моно кредит дали, но после обращения клиентки, признали мошенническим и закрыли. Далее через BankID авторизировались в дие и взяли кредит в Милоан. Милоан выдал кредит с нарушением норм, так как был обязан требовать фото-подтверждение личности, чего они ни сделали. Сейчас после шумихи кредит признали недействительным и закрыли.
+
0
Ka6aH4uk
Ka6aH4uk
2 липня 2021, 13:11
#
Спасибо за ответ. А если б не было шумихи думаете не закрыли бы ?)
+
+52
yarg
yarg
2 липня 2021, 13:13
#
Нет конечно.
там история длинная и морозились все — капитально.
+
0
Ka6aH4uk
Ka6aH4uk
2 липня 2021, 13:19
#
Но в етой статье четко написано как ето произошло, тут был взал пошти и кредитная контора грубо нарушила правила НБУ:
«Сначала украли ее телефонный номер.
Получили доступ к ее банковскому аккаунту, подтвердив вход с личной почты.
Далее с помощью скомпрометированного доступа к BankID авторизировались в „Дія“.
„Но и такая серия краж идентичности и „взломов“ не могла бы завершиться получением кредита с помощью цифрового паспорта, если бы финансовое учреждение грубо не нарушило правила, установленные НБУ. В правилах этого финучреждения указано подтверждения личности человека с помощью фото, чего, очевидно, не было сделано“, — подчеркивают в Минцифры.»

Как сообщили AIN.UA в Минцифры, сразу после этого случая еще в апреле министерство отсоединило все кредитные учреждения от «Дія» и обратилось к НБУ с просьбой осуществить внеплановую проверку таких учреждений с предоставлением подтверждения их нарушений.
+
+15
yarg
yarg
2 липня 2021, 15:20
#
Нет никаких «правил НБУ»
тупые отмазки Минцифры — просто смешны. Устроили распил-откат на недоделанной «Дие», а теперь лепят горбатого к стене.
+
+36
marcher145
marcher145
2 липня 2021, 15:50
#
Почему так много кипиша?.. стандартная мошенническая схема, ровно также происходит и с бумажными документами, почему Вы не выступаете за депаспортизацию, почему нет призывов сжечь бумажные паспорта и другие документы и т. д.

стандартный цикл прогресса/разработки, везде есть баги, везде есть ошибки, со временем количество их уменьшается…
+
+15
yarg
yarg
2 липня 2021, 15:59
#
Как вам сказать…
схема отличается от стандартной тем, что у вас никто ничего не ворует.
просто от вашего имени создают учетку в дии и на нее берут кредиты и совершают много чего другого.
А вы узнаете об этом — когда вас уже арестовывают. И доказать что это все делали не вы — возможности нет — все дают отписки «наша система защищена, отстаньте срочно».
+
+10
marcher145
marcher145
2 липня 2021, 16:17
#
То есть слова украли мобильный номер, почту и т. д. использовали в переносном значении… это наверно метафора…

ну если серьезно, с точки зрения передачи информации, что в обычной версии украли идентификаторы личности, что в данном случае, разницы особой нет, разница в носителе…

и ровно так же с бумажной версией, люди частенько не знаю что на них взяли кредит, только в не цифровой версии все происходит более массово…

повторюсь с вопросом, нужно сжечь паспорта? к тому же насколько я слышал государственный идентификаторы человека, это печать сатаны...)

с такой логикой можно дойти до «собираем консервы и оружие и переселяемся в канализацию»…
+
0
yarg
yarg
2 липня 2021, 16:36
#
Безусловно метафора.

если я у вам украду е-мейл (иначе говоря — узнаю пароль к нему) — вы заметите это толкьо если я сменю пароль. А если нет — вы и не заметите ничего.

чем поможет для решения этой проблемы сжигание паспорта — я не понимаю.
+
+14
SievaNiklas
SievaNiklas
2 липня 2021, 20:14
#
Їх кількість не зменшується. Звідки така інформація? Сучасні розробки такого типу і масштабу постійно модернізуюся і збільшуюся. При будь-якій модернізації можуть бути допущені помилки. І їх кількість буде пропорційна оновленням при інших рівних. Все ж таки, це — не «Блокнот» в Windows, який запилили і забули. А щодо паспортів: це некоректне порівняння. Ви ніколи не думали: чому гарно, що не існує єдиної бази даних паперових паспортів, приблизно такої ж як і ІННів? І чому базу ІННів стабільно раз на кілька років тирять, а дані по паспортах це штучний товар? Я до чого це все: коли державні службовці розповідають про «діджижилізацію» вони забувають так само яро розповідати про кіберзлочинність і безпеку персональних даних. Право на яку, до речі, скасували депутати законом № 555-IX «Про внесення змін до Закону України „Про захист населення від інфекційних хвороб“ щодо запобігання поширення коронавірусної хвороби (COVID-19)». Це перше. А друге: при розробці такого масштабного проекту чиновники забули прислухатися до думки експертного середовища у сфері інформаційної безпеки. А саме: «відкритий код» і «постійний незалежний зовнішній аудит». Це як Telegram і Signal… Вгадайте в якому з месенджерів сидять спеціалісти з безпеки, а в якому усі інші.
+
+15
yarg
yarg
2 липня 2021, 20:30
#
Усі дані - давно вкрадено. Потрібно виходти з цього. І потрібно робити так, щоб розголошення будь-яких персональних даних — не могло призвести до негативних наслідків для людини.
щоб всі бажаючі знали мій мейл. але перший хто послав на ньго спам — дарував мені новенький БМВ щоб не сісти. Приблизно так.
+
+26
braintest
braintest
2 липня 2021, 13:16
#
Ну вот все и прояснилось, а то тут уже многие пишут про зраду.
После утери номера, просто необходимо было убрать эти номера со всех банковских аккаунтов.
Сейчас телефон это практически как карта в банке.
+
0
BlackDog36
BlackDog36
2 липня 2021, 14:43
#
Цікаво!
Дякую за інфо.
+
+18
Sinogorn
Sinogorn
2 липня 2021, 17:05
#
Хм… они серьёзно? Эта вся цепочка требует как усилий, так и ресурсов. За ради 2 000 грн, никто столько действий не будет делать)) При наличии ее номера, легче было просто с карты снять деньги и возможно бы даже и больше. А не оформлять кредит и еще на такую маленькую сумму)) Это разве что через дию вытащили ее паспорт (паспортные данные) и в Миолане оформили кредит просто дав данные без копии паспорта. А судя по случаям, которых не мало, такие МФО не брезгуют и выдают кредит даже на основании просто данных паспорта.
+
+10
Короткий  и непровокационный
Короткий и непровокационный
2 липня 2021, 13:13
#
Корсун:"І не важливо, чи людина реєструвалася у Дії, чи замінила паспорт-книжечку на пластик з чіпом, і що взагалі думає про жижиталізацію та чи любить партію та уряд. І чи голосувала за зелених пройдисвітів."
Он точно нормальный? Какое отношение к делу имеет его политическая ориентация?
+
+13
zzel
zzel
2 липня 2021, 13:19
#
Если купили билет в цирк, то уже смотрите до конца. Даже если клоуны оказались не смешными
+
+13
Ka6aH4uk
Ka6aH4uk
2 липня 2021, 13:21
#
Видно що дана особа топить за Петю і йому все рівно де це писати))
+
+3
Qwerty1999
Qwerty1999
2 липня 2021, 13:28
#
Короткий и непровокационный
«Какое отношение к делу имеет его политическая ориентация?»

Как знать, возможно при другом президенте, отличном от Зеленского,
не было бы «Дії» в её сегодняшнем виде от слова вообще,
либо был бы какой-то другой вариант диджитализации всей страны…
+
+1
Короткий  и непровокационный
Короткий и непровокационный
2 липня 2021, 13:32
#
Существует фразеологизм: «История не терпит сослагательного наклонения». Имеется в виду то, что при оценке исторических процессов некорректно употреблять фразы наподобие: «Если бы А. Македонский не дошёл до Индии, то он бы…»
+
0
ikmorische
ikmorische
2 липня 2021, 15:54
#
Учитывая что Дию презентовали в 19 м и Зеля стал президентом в 19м — значит работы над ней велись ещё до его президенства.
в общем не стоит в этом вопросе сразу обвинять Зелю) Пороха тоже не стоит, идея то не плохая на самом деле.
+
0
Qwerty1999
Qwerty1999
2 липня 2021, 21:18
#
Ikmorische

В 19-м было целых 365 дней…
Идея диджитализации с созданием специального министерства
цифровой трансформации Украины была предложена
исключительно командой кандидата в президенты Зеленского…

Кстати, в Кабмине Гройсмана не было министерства цифровой трансформации Украины…
+
+29
mary27
mary27
2 липня 2021, 13:16
#
Я давно говорила, «Дия» — дыра, мне не верили)

Как тебе такое «государство в смартфоне», Илон Маск?)
+
+49
Qwerty1999
Qwerty1999
2 липня 2021, 13:33
#
Mary27
«Я давно говорила, „Дия“ — дыра, мне не верили)»

Говорить вы умеете хорошо,
а вот с пониманием прочитанных
текстов у вас реальные проблемы…

У потерпевшей «угнали» мобильный телефонный номер,
который был на предоплате, да к тому же числился
финансовым в Альфа-банке.

Вот отсюда всё и пошло…
А в «Дію» мошенники зашли по BankID от Альфа-банка…
+
0
mary27
mary27
2 липня 2021, 18:12
#
Да ну?
В роли поддельных документов что выступило — «Дия».
Значит, в ней все дело.
Они не по «банк-айди» кредиты брали)
+
0
Qwerty1999
Qwerty1999
2 липня 2021, 21:30
#
Mary27
«Да ну?»

Вот вам и «да ну»…
Пишите о «Дие» и даже не знаете как она работает…

Вход в «Дию» по BankID — стандартный вариант регистрации в «Дия».
Сервис берёт инн-код клиента банка из данных, которые банк передаёт через
BankID и затем по этому инн-коду подтягивается паспорт, права, справка с инн-кодом и прочие доки.

Ну, а BankID — это обычно логин + пароль для входа в интернет-банкинг
того или иного украинского банка, который подключен к системе BankID.

Никакой дурак не ламает систему «Дия»…
+
+61
Qwerty1999
Qwerty1999
2 липня 2021, 13:23
#
Основная «дыра в безопасности» всех банков и «Дії» в том числе — связана именно с номером мобильного телефона, который у подавляющего числа граждан страны на предоплате да к тому же ещё и числится финансовым в одном из банков…

Поэтому это не проблема «Дії» или конкретных банков — это проблема сохранения номера мобильного телефона, который является финансовым в тех же банках минимум на зарплатных проектах…

Проблема решается несколькими способами…
1. Самый простой и самый дорогой по финансам — перевод номера телефона на контракт…
2. Более простые варианты, не требующие финансовых вложений — привязка номера к паспорту
с обязательным запретом удалённой замены сим-карты.

Казалось бы — всё очень просто, но подавляющее большинство игнорирует
такие простые превентивные варианты защиты, ну, а когда мошенники уже
«угнали» номер и набрались кредитов — тогда кричат «караул» и пишут гневные
письма во все возможные инстанции…
+
0
zzel
zzel
2 липня 2021, 13:26
#
Даже это не спасёт от кражи телефона. А потеря телефона не должна означать утрату всех сбережений за жизнь и получение миллионных долгов. Обычное перекладываете ответственности клоунами
+
+13
Qwerty1999
Qwerty1999
2 липня 2021, 13:58
#
Zzel
«Даже это не спасёт от кражи телефона.»

Допустим, у вас украли смартфон с мобильным финансовым номером на контракте.
Через минуту после кражи вы имеете полное право заблокировать свой контрактный номер и мошенник не сможет при помощи украденного, но заблокированного номера получить доступ к вашим финансам.

Если же не умеете хранить свой смартфон
и кидаете его где попало — повесьте его на шею вместо бейджа…
+
0
mary27
mary27
6 липня 2021, 9:02
#
По моде первой половины 2000х?)
+
0
Короткий  и непровокационный
Короткий и непровокационный
2 липня 2021, 13:47
#
Причём привязать номер можно удалённо с помощью ЭЦП.
С помощью системы «Мой Киевстар» (с ЭЦП):
Зайти в веб-версию «Мой Киевстар».
Выбрать номер для регистрации в профиле и перейти на закладку «Пользователь».
Выбрать метод регистрации «С помощью ЭЦП».
Загрузить ключ ЭЦП и ввести пароль к нему.
Заполнить шаблон электронной формы.
Проверить, правильные ли данные указаны, и подтвердить регистрацию.
+
0
Qwerty1999
Qwerty1999
2 липня 2021, 14:01
#
Короткий и непровокационный
«Причём привязать номер можно удалённо с помощью ЭЦП.»

Если номер на припейде, то о ЕЦП от Киевстар не может быть и речи.
А ведь кроме Киевстара, есть ещё и Водафон и Лайфселл и Интертелеком с Тримобом.
Для генерации ЕЦП нужен паспорт и инн-код, т. е. контрактное подключение…
+
0
ikmorische
ikmorische
2 липня 2021, 16:03
#
Я думаю он имел введу что если у вас уже есть ЭЦП, то можно привязаться в киевстаре, а не получить в киевстаре эту самую ЭЦП.
+
0
mary27
mary27
6 липня 2021, 9:02
#
Услугу «Мобайл АйДи» перестали подключать новым абонентам — страшно непопулярная и дорогая.
Вообще, мертворожденная услуга.
Телефон с такой сим надо дома держать, лучше в сейфе.
+
+29
mary27
mary27
2 липня 2021, 18:14
#
Чушь.
Главное — в нашем недогосударстве дали кривому застосунку «Дия» права документа.

А про телефон — допустим, украдут у меня номер.
И что, паспорт-то у меня.

С «Дией» — если ее взломали, то все, гражданин должен готовиться становиться бомжом)
+
0
SievaNiklas
SievaNiklas
2 липня 2021, 20:31
#
А давайте усі номери телефонів прив‘яжемо до паспортів? А ще можна саджати людей за ґрати за перепост у соц. мережі чи, наприклад, ввести кудись війська… Є вже такі держави. Наявність (не)анонімності клієнта передплаченого номеру перед оператором — це його право і вибір. І, тим більше, перед державними службовцями. Про факти махінацій, шахрайства і порушення права на приватність і перших, і других вже давно усім відомо. Ось мені цікаво: а чи аналізував хтось при проектуванні цих систем (Дія, BankID і т.д.) ризики акаунтів з передплаченими номерами і контрактними? Якщо «так» — де ця аналітика? Чи може різниця в ризику мізерна і саме тому передплачені номери дозволено використовувати в банку?
+
+4
Qwerty1999
Qwerty1999
3 липня 2021, 6:05
#
SievaNiklas
«А давайте...»

Если у клиента должен быть выбор, в какой способ использовать свой номер мобильного телефона — анонимная предоплата или привязка к паспорту, а тем более контрактное подключение, то и у мошенников должен быть выбор — каких клиентов обворовывать на ура, а каких обходить стороной…
Например, когда около десяти лет назад у меня украли мобильный телефон с финансовым номером от Приват24, мошенники не смогли зайти в Приват24 из-за ограничений доступа по IP-адресу. Контрактный номер заблокировал не сразу, а только на следующее утро, а кредитный лимит не пострадал ни на копейку.
+
0
SievaNiklas
SievaNiklas
5 липня 2021, 12:51
#
Загалом — згодний з Вами. Для мене — оператор і державні службовці зовсім не є безпечними людьми. Ці хлопці та дівчатка «на ура» торгують записами телефонних розмов, текстом смс-ок тощо. Тому не бачу нічого безпечного й у контракті.
От, якщо заморочитись, можна зробити окремий номер конкретно під фінанси й інші важливі речі, не носити його з собою і не світити… Однак, це зовсім не зручно. Напевно, основна проблема у тому, що звичайний повсякденний номер телефону клієнта у банках — є ключем до всього. При цьому, коли хочеш в касі зняти більше $1 тис. зі своєї ж картки питають паспорт. Якось не пропорційно виходить.
+
0
Qwerty1999
Qwerty1999
5 липня 2021, 16:17
#
SievaNiklas
«Для мене — оператор і державні службовці зовсім не є безпечними людьми. Ці хлопці та дівчатка „на ура“ торгують записами телефонних розмов, текстом смс-ок тощо.»


Самое удивительное в том, что сотрудники Привата, Ощада и Укрэксима
не являются госслужащими по определению…
Та что ваш пассаж на счёт «державні службовці» их однозначно не касается,
а вот огульно обвинять всех сотрудников банка в торговле персональными данными без наличия реальных фактов — это больше смахивает на клевету или банальное враньё…
И зачем оно вам — не понимаю…

«коли хочеш в касі зняти більше $1 тис. зі своєї ж картки питають паспорт»

Это требование прописано в нормативных документах
Финмониторинга и НБУ — банки лишь строго выполняют эти требования…

+
0
SievaNiklas
SievaNiklas
5 липня 2021, 16:24
#
Я мав на увазі не співробітників банку, а співробітників МВС й інших державних органів
+
0
Ghostua
Ghostua
2 липня 2021, 13:24
#
Где-то кто-то что-то не договаривает, ради 2500 грн взламывать «Дія» странно.
+
0
Ka6aH4uk
Ka6aH4uk
2 липня 2021, 13:27
#
Уважно почитайте статью, взлому самої Дії не було, був взлом аккаунта пошти і телефону і дальше кредитна організація видала гроші із грубим порушенням правил НБУ: https://ain.ua/2021/07/01/kejs-kredit-cherez-diia/
+
0
yarg
yarg
2 липня 2021, 15:18
#
Взлом — это подключение пользователя, А под видом пользователя Б.
а именно это и произошло.
+
0
ikmorische
ikmorische
2 липня 2021, 16:13
#
Вы не правы) а если в коде программы удаляется код который должен проверять подписку, то она взломана или нет? если да, то какой пользователь вместо какого?

отдать свои логины/пароли + канал MFA, а потом говорить что защита плохая, это как купить пистолет для самообороны, а когда на вас нападут — отдать его нападающему
+
0
yarg
yarg
2 липня 2021, 16:32
#
Тоже взломана. кто сказл что вариантов взлома — 1 и все?
вход, а под видом Б, отключение верификации вообще, есть много видов взлома.
вы уверены что кто-то отдавал свои пароли? Такой информации нет. Есть информация — человек не регистрировался в Дии и никаких паролей там не имел. вместо него под его именем там зарегистрировались другие люди. И система это позволила. Это серьезнейший недостаток для таких систем. Позоридло, иначе говоря.
Это все равно что кто-то пошел в паспортный стол и получил официально и красиво паспорт на ваше имя и с вашей фотографией.
+
0
ikmorische
ikmorische
2 липня 2021, 16:56
#
«Это все равно что кто-то пошел в паспортный стол и получил официально и красиво паспорт на ваше имя и с вашей фотографией» вбейте в гугл что-то вроде «помощь с востановлением паспорта» или «оформить загранку» и увидите сколько людей без вас могут сделать вам паспорт))))

а по поводу взлома, ясно же уже сказали — идентифицировались через BankID от альфа банка, как получили доступ к альфе имея только номер сказать сложно.

но вот что вы еще ждете от защиты Дии? она должна просить вас сделать селфи с котом на голе и нейронка это будет проверять?))

есть предложения?
+
+15
yarg
yarg
2 липня 2021, 17:09
#
В гугле много чего есть. но 99% этого — мошенничество из серии «дайте предоплату и мы сделаем вам паспорт», а 1% -тупой переклей фотограций с потеками краски. Что ловит потом первый же участковый.
Я заглядывал на форумы где это все «продвигали» и насмотрелся этих историй.

Если в госулдарственной системе вся безопасность сводится к «а мы доверяем альфабанку, он же не кинет» — это серьезнейший баг. Отключать это позорище и расследовать деятельность разработчиков. Двоих расстрелять. для острастки.
Если они не знают что делать — не нужно создавать таких систем. Или нужно иметь возможность блокировки. Например я вношу в специальный реестр инфо — «я не беру кредитов, не продаю имущества онлайн и т. п.». После этого любая такая операция автоматом считается мошеннической.
+
0
ikmorische
ikmorische
2 липня 2021, 17:26
#
Моя жена меняла фамилию через контору «дайте денег и мы дадим вам паспорт» и норм, всё везде подтягивается.
банк айди это не разработка альфы, а правительственная программа, это как ЭЦП, если кто-то получит доступ к вашей ЭЦП это тоже будет проблема ЭЦП?

«я не беру кредитов, не продаю имущества онлайн и т. п.»
согласен, это не плохая идея, вот только имея доступ к ключам эти настройки можно поменять :(
+
+15
yarg
yarg
2 липня 2021, 17:41
#
Повторюсь — историй с пасопртами за деньги масса. как заканчиваются — я написал. хвастатся этим — ну как рассказывать «я всегда пьяным за руль сажусь — и никто меня не ловил еще».

Если правительственная программа имеет дыры в безопасности — это повод исправлять их, а не надстраивать над этой системой другие системы, 100% доверяющие первой и расширяющие возможности багоюза.
+
0
mary27
mary27
2 липня 2021, 18:15
#
Ой, да не важно, каким путем взломали, важен результат.
Завтра вашу квартиру так продадут, и вас сдадут в аренду — тоже скажете «взлома не было»?)
+
0
Qwerty1999
Qwerty1999
2 липня 2021, 21:05
#
Mary27
«Ой, да не важно, каким путем взломали, важен результат.»

Раз вам всё неважно, тогда незачем переживать за продажу моих квартир.
Мой финансовый номер на контракте и он не может быть переоформлен посторонними, как это происходит ежедневно с номерами на припейде.

Но вам же пофиг на реальные факты,
главное быть уверенной в своей непогрешимости.
+
0
mary27
mary27
5 липня 2021, 22:12
#
Странно, ни одного контрактного номера, и ни один не увели.
Что я делаю не так?)
+
0
Qwerty1999
Qwerty1999
10 липня 2021, 21:44
#
Mary27
«Что я делаю не так?)»

Как знать, возможно, ваши финансы
(дебетовые карты и отсутствие
кредитных карт с приличным лимитом
)
никому не интересны даже на форуме Минфина…

Вот никто и не зарится на такое счастье…
+
0
mary27
mary27
10 липня 2021, 21:47
#
Видите как — не даю себя ограбить.
Ни ворам, ни банкам)

Только родному государству можно.
+
0
Qwerty1999
Qwerty1999
10 липня 2021, 22:07
#
А что с тех дебетовых карт можно
взять — сущие копейки…

Вот вы никому в этом плане и не интересны.
+
0
Qwerty1999
Qwerty1999
3 липня 2021, 6:16
#
Yarg
«Взлом»

Если в сервисе «Дия» вводится действующий логин и пароль — это не взлом, а обычный вход в систему.
А где и в какой способ мошенник достал актуальные логины и пароли — значит он взломал какую-то другую систему.
В данном случае, почтовый сервис укрнет и затем интернет-банкинг Альфа-банка.
+
0
mary27
mary27
6 липня 2021, 9:00
#
Это говорит об аьсолютно несерьещной идентификации в «Дийе».
Как следствие — застосунок удалить, данные стереть.
Разработчиков — посадить с конфискацией.
Как соучастников преступлений.
+
+39
Qwerty1999
Qwerty1999
2 липня 2021, 13:38
#
Константин Корсун
«сейчас нет готовых советов, как противодействовать всему этому.»

Готовый советберегите свой мобильный номер телефона от переоформления мошенниками

Варианты защиты описал ранее в своём комментарии от 2 июля 2021, 13:23

P. S. Что это за эксперт по кибербезопасности,
который не знает элементарных способов защиты.
Позорище да и только…
+
0
mary27
mary27
2 липня 2021, 18:17
#
Позорище — это «защищенный» «документ», который оформили безведома человека на него.
И последовавшие отписки)
+
0
Dsd
Dsd
2 липня 2021, 13:46
#
Номера телефонов даже пользователям не принадлежат. Это собственность мобильных операторов. не знаю как на контракте, но на припейде, если год не пользоваться — блокируется, потом снова в продажу поступает, цифры же не резиновые.
+
+10
Qwerty1999
Qwerty1999
2 липня 2021, 14:12
#
Dsd
«Номера телефонов даже пользователям не принадлежат.»

Ну и что с этого…

Своим контрактным номером телефона пользуюсь более 20 лет
и мой мобильный оператор от такого использования номерного
ресурса только в прибыли…
Ну, а мои финансы под надёжной защитой…
+
0
Dsd
Dsd
2 липня 2021, 16:12
#
Только он не ваш, а оператора. Пользуйтесь на здоровье
+
0
ikmorische
ikmorische
2 липня 2021, 16:24
#
Чтобы вы понимали ваши бумажные деньги не ваши, а государственные :)
если вы намеренно повредите купюру — вас можно привлечь к ответсвенности за порчу гос имущества.

но это же не мешает всем говорить что это его деньги? :)
+
0
ikmorische
ikmorische
2 липня 2021, 16:15
#
Одним из своих номеров пользуюсь чуть менее 20и лет и даже без контракта)
не понимаю что не так с мобильными номерами :)
+
0
Qwerty1999
Qwerty1999
2 липня 2021, 21:09
#
Ikmorische

Когда мошенники посчитают необходимым
переоформить ваш номер на припейде,
тогда и узнаете разницу…

А пока радуйтесь, что до вашего номера
у мошенников ещё не дошли руки…
+
0
ikmorische
ikmorische
3 липня 2021, 11:27
#
У меня два номера, один для людей, второй для фин учреждений, чтобы кому-то узнать фин номер — ему нужно будет получиить доступ к базе какого-то из фин учреждений, а если уже такое случится то скорее всего номера телефонов их будут интересовать в последнюю очередь.
да и не перевыпускают просто так номера, я когда-то менял карточку (ну 20 лет карте, она уже просто не влазила в новый телефон) и там худо-бедно да проверили мой ли это номер
+
0
Qwerty1999
Qwerty1999
3 липня 2021, 12:04
#
Водафон

Восстановление сим-карты в случае утери

Шаг 1
Купите специальный стартовый пакет для восстановления и замены SIM-карты

Шаг 2
После получения стартового пакета для восстановления и замены SIM-карты, позвоните по телефону:
222 (бесплатно с номера Vodafone Украина) или
0 800 400 222 (бесплатно со всех сетей в Украине)
далее:
назовите номер, который нужно восстановить;
предоставьте ответ оператору на один из вопросов:
— PUK-код (8 цифр, которые указаны на пластиковом держателе от старой SIM-карты);
— IMEI устройства, в котором находилась старая SIM-карта;
— два номера, с которыми вы чаще всего общались в течении последних 30 дней (за исключением коротких номеров и номеров, которые начинаются с 0800/900…);
сообщите оператору серийный номер вашей новой SIM-карты (цифры, указанные на новом стартовом пакете или на пластиковом держателе под штрихкодом).

Киевстар

1. купите стартовый пакет Киевстар
Чтобы заменить SIM-карту самостоятельно, воспользуйтесь стартовым пакетом Smart SIM.
2. вставьте новую SIM-карту в телефон и отправьте запрос *111# для активации номера
3. отправьте запрос *245*380ХХXXXXXXX*YYYYYY#, где
380ХХXXXXXXX — номер телефона старой SIM-карты,
YYYYYY — 19 цифр ICC-кода или 8 цифр PUK1 вашей старой SIM-карты
4. заявка на замену SIM-карты будет выполнена через 7 часов, вы узнаете об этом из SMS-сообщения.

Пока заявка выполняется, вы получите 100 нетарифицируемых минут на звонки в сети Киевстар.
+
0
mary27
mary27
5 липня 2021, 22:11
#
Забыто, что есть USSD, отключающие возможность дистанционного восстановления сим.
+
0
Qwerty1999
Qwerty1999
10 липня 2021, 21:47
#
А кто об этом функционале вообще знает?
+
0
Ukr2020
Ukr2020
2 липня 2021, 14:28
#
Оце так! Хакнули дію, і взяли кредит аж на 2400 грн. Оце якиїсь какер підсуєтився, взламав дію, зробив ід паспорт, ецп чи банк ід на жінку і в кінцевому результаті вирішив взяти собі кредит на 2400 грн. щоб просто підісрати жінці з відсотками
+
0
yarg
yarg
2 липня 2021, 15:19
#
Откуда вы знаете что такой случай один?
+
0
Dobrofey
Dobrofey
2 липня 2021, 14:29
#
«До чего дошел прогресс…» (с)
Ужос какой-то, выходит просто завладев хотя бы на время телефоном жертвы, можно на нее кредитов навешать без ее ведома? С какой это поры номер мобильного стал равняться подписи?
+
0
Qwerty1999
Qwerty1999
2 липня 2021, 15:30
#
Номер мобильного в большинстве банков — является логином к интернет-банкингу.
Пароль обычно приходит в смс-ке на мобильный…

Заполучив финансовый мобильный номер телефона и сменив пароль к интернет-банкингу мошенник получает реальный BankID (логин+пароль), с которым можно законно зарегистрироваться в «Дія»…
+
0
ikmorische
ikmorische
2 липня 2021, 16:19
#
Та ну не, не может быть что «введи номер и я пришлю тебе одноразовый пароль» это очевидная дыра в безопасности, не верю что какие-то банки так работают
+
0
Qwerty1999
Qwerty1999
2 липня 2021, 17:30
#
Ikmorische
«не может быть»

Ну так расскажите, как должны работать банки,
когда клиент на странице ввода логина и пароля
нажимает пимпочку «забыл пароль»…

Неужели предлагать с паспортом
и кодом прийти в отделение банка?!

Кстати, автор пишет, что до переоформления
финансового номера был взломан почтовый ящик на укр.нет.
+
+19
ikmorische
ikmorische
3 липня 2021, 11:29
#
На мой взгляд в таком случае банк должен убедиться что человек на другой стороне владелец счета. Разные там глупые вопросы по типу «секретный ответ», «девичья фамилия матери» и т. п.
+
0
tarick
tarick
2 липня 2021, 14:37
#
Чушь какая-то, в Дии фотографию не переклеишь.
Что-то мне кажется, что мошенничеством занимается контора, которая якобы выдала кредит.
+
0
yarg
yarg
2 липня 2021, 15:57
#
А зачем переклеивать? ее что — кто-то с оригиналом сверяет?
+
0
tarick
tarick
2 липня 2021, 16:23
#
Ну вот если не сверяют — значит грубо нарушили правила выдачи кредитов. должны списать и извиниться
+
+25
yarg
yarg
2 липня 2021, 16:33
#
Причем здесь кредиты? люди зарегистрировались в Дии под ее именем.
хорошо -0 кредит взяли. А могли бы ее квартиру продать. и бегала бы она по адвокатам и получала отписки — «наша система работает правильно, это вы сами ее продали».
или ««…У Дії їй відповіли, що додаток добре захищений і продати квартиру з його допомогою неможливо…»»
+
+10
tarick
tarick
2 липня 2021, 16:56
#
Случайно плюс нажал, не согласен вообще.
с тем же успехом ушлые ФК могут выдать кредит левому челу на чью-то ксерокопию паспорта.
+
0
yarg
yarg
2 липня 2021, 17:10
#
И это происходит постоянно. Вы не слышали таких историй?

но ситуация с Дией — имеет отличия. повторять их мне надоело уже…
+
0
tarick
tarick
2 липня 2021, 17:29
#
Я считаю, что это не вопрос к «Дии», а вопрос к таким конторам.
+
+15
yarg
yarg
2 липня 2021, 17:42
#
А конторы теперь говорят — «мы получаем данные из Дии» и 100% доверяем им.
+
+10
Maximal
Maximal
2 липня 2021, 17:13
#
МФО делают, что угодно. Нарушили процедуру, закон — им плевать. Никакой ответственности они не понесут. Никто их не контролирует. А виновата будет жертва мошенничества и склько куда не обращайся, никто не поможет
+
+40
Maximal
Maximal
2 липня 2021, 17:24
#
У меня такая же история прошла с Алекс Кредит. Просто прислали смс, что я взял кредит. Подумал, мошенники, но решил проверить кредитную историю и вижу запрос от этой МФО. Пришлось ломится во всех каналах в поддержку. Оказалось, что по моим данным заявку на кредит оформила какая-то женщина, как такое возможно вообще не понятно, на все вопросы — никакого ответа. Поддержка просто сказала, что все ок, кредитов нет, ваши данные удалили. Но когда я начал оспаривать запрос моей кредитной истории, так как по закону, смотреть и редактировать мою кредитную историю можно только с моего личного согласия и действия Алекс Кредит были незаконными, представители Алекс Кредит сразу поменяли пластинку и оказалось, что кредит все-таки оформлял лично я и соответсвенно давал разрешение, а в кредите мне просто отказали, никакого мошенничества и нарушения закона. И ничего доказать так и нельзя. Могу написать статью об этой ситуации, если редакции Минфина будет интресно
+
+18
Qwerty1999
Qwerty1999
2 липня 2021, 17:33
#
Напишите статью в своём блоге, а если Минфин заинтересуется,
то выложит ссылку на статью на главной странице сайта…
Если не заинтересуется, мы всё равно прочитаем…
+
0
letosghost
letosghost
3 липня 2021, 1:41
#
Шановні противники дії, є для вас кілька цікавих аргументів для роздумів. У статті я згоден з тим що вина в лежить на трьох сторонах. Перша це сама жінка, друга це мілоан і третя це НБУ. Поясню чому так. Номер телефону це свого роду ключ від замка (квартиры, машины, чи банківської скриньки) і якщо ви його не берегли чи комусь передавали або залишили зліпок і хтось зробив його дублікат і коли вас не було відкрив вашу квартиру і обчистив її це ж через вашу необережність. Альфа банк тут як майстер ключів якому дали ключ і попросили виготовити дублікат. Він тут ніпричому і його вини 0. Він виконує тупо свою роботу. Потім ваш вам повернули, а дублікатом відкрили квартиру. Номер хоч і не дублюється, він переноситься на новий чіп сімки, а старий (який у вас фізично) блокується. І варто для цього лише вам кілька дзвінків зробити щоб мати можливість надати інфу і легально замінити сімку якщо ви настільки безпечний що номер не контрактный, чи припейдовський без підключення функції віддаленої заборони заміни сімки і прив’язки до паспорта. Щоб лише вы фізично з паспортом могли її відновити у випадку втрати. Мілоан винен що не дотримався вимог безпеки (селфі), якщо у вас в квартирі вкрали паперовий паспорт його фото ще легше використати ніж фото з дії. Ці шараги видають всім гроші майже по фото 3-ох розгорток паспорта і похєр хто його власник. Вони своє повернуть. А НБУ вина в тому що вони наче й регулятор але перевірки у них квартальні. Тобто все можна підчистити до неї. А по друге що за
+
+12
letosghost
letosghost
3 липня 2021, 1:54
#
Продовжу. По-друге що за порушення Такого роду НБУ дає письмове попередження чи штрафує на копійочні суми для таких організацій. Ну на крайняк це тимчасово відкликає ліцензію на проведення певних видів фінансової діяльності з встановленими термінами ліквідації порушення компанії (ну компанія сама закрыла кредит виправила порушення ніби і далі дали відновили ліцензію і працює. І так по 100раз. Якби за порушення норм НБУ забирало ліцензію на будь який вид фінансової діяльності без права її подальшого відновлення, а на керівництво і кінцевих бенефіціарів відкривало кримінальне провадження за статтею (шахрайство), як такі шараги люблять лякати бідолах, які попали в їхню павутину і звинувачуються у тих же гріхах, якими на них діють і всім похєр, одним лєнь вїжджати вв тєму і розбиратись, а іншим дуже вигідно що першим лєнь. Така то о хєрня малята
+
+15
SievaNiklas
SievaNiklas
3 липня 2021, 2:13
#
Тобто, Дія знову не при чому? Нє вінаватая я? А чому власне? Якщо це проблема BankID то нехай реєстрація буде лише для MobileID (який вже усі монополісти повідключали, до речі) чи за ЕЦП податкової й іншими, більш-безпечними способами. Чи справа не в BankID? Я не знаю як там в Альфі, і в інших російських банках, але я зтикався з банками де паролі від банкінґу так просто не дістати. І ніхто їх смс-ками не надсилає. Ну, в нормальних банках. І це питання не лише до НБУ, це колективна відповідальність усіх сторін інциденту. Адже, чому в Дії можна зареєструватися через поганий сервіс інтернет-банкінґу? Як так сталося, що Альфу підключили, якщо вони роздають паролі клієнтів на право і на ліво? Ось це, власне, усі критики закидають Міндіджитал. Ну або пані тримала в телефоні файлик з усіма паролями і тоді, справді, ніхто не винен окрім неї й мфо…
+
0
Qwerty1999
Qwerty1999
3 липня 2021, 6:28
#
SievaNiklas

Ну так и предьявляйте претензии к Альфе, у которой по номеру телефона клиента удалось сменить пароль доступа к интернет-банкингу мошенникам…
Можете предъявлять также претензии к почтовому сервису укр. нет, у которого на раз увели клиентский почтовый ящик, а также к мобильному оператору, который позволил мошенникам завладеть клиентским мобильным номером.
С таким подходом — виноваты все, кроме собственно клиента…
Хотя именно его беспечность привела к этому…
+
0
letosghost
letosghost
3 липня 2021, 9:40
#
Про що я й кажу. Безліч людей установлюють додатки і навіть не читають умов конфіденційності і не знають про можливості безпеки. В багатьох вхід без подвійної аутентифікації. Та що там говорити, я працюю з сервісних обслуговуванням електроніки і в 70% клієнтів телефон захищений просто графічним ключем в формі букви z (або дзеркально). І в більшості з них не встановлено навіть вхід в додатки по пін чи біометрії (блокування додатків-в настройках смартфону). Якщо його підключити під 6ти значним кодом (на любий додаток в смартфоні) і додатково після його підтвердження додаток запускається і запитує свій внутрішній код входу (який звісно повинен відрізнятися), то вже вас в рази складніше хакнути. Дбайливо ставтесь до безпеки і максимально її використовуйте. Майте з 10−20 різних паролів на сервісах які пов’язані і подвійно аутентифікуйте і все буде ок. 100% захисту не існує зовсім ніде, але ризики коласольно зменшуються
+
+15
SievaNiklas
SievaNiklas
5 липня 2021, 1:00
#
До всіх крім Дії. В ВКантактє потрібно реєструватись під справжнім ім‘ям, прив‘язуючи телефон. Може, будемо ідентифікуватися в Дії через цей сервіс? Чи це небезпечно? Якщо в Альфи є проблема з наданням зловмиснику доступу до BankID — відповідальність і банку і НБУ. А хто відповідальний що в Дії доступний вхід через центр ключів Альфа Банку в такому випадку?
+
+4
Qwerty1999
Qwerty1999
5 липня 2021, 8:59
#
SievaNiklas
«Якщо в Альфи є проблема з наданням зловмиснику доступу до BankID — відповідальність і банку і НБУ.»

Я уверен, что вы абсолютно правы…
Если мошенник, завладевший почтовым ящиком клиента банка, а также финансовым номером мобильного телефона клиента банка смог сменить пароль доступа к интернет-банкингу Альфы, то за такую дыру в ИТ-безопасности Альфа-банк должен быть отключен от BankID и затем лишён банковской лицензии…
Ну, а у НБУ необходимо заменить предправления Шевченко, как не справившегося со своей работой регулятора…
+
0
letosghost
letosghost
3 липня 2021, 2:21
#
Запам"ятайте номер підв'язаний під документи і з забороною дистанційного відновлення (на контракті автоматично вже включено) Це як сигналізація, відеонагляд, датчики руху і конс'єрж з охоронцем квартири для вашого номеру. Обійти можна і реально, но лише одиницям і то які є професіоналами високого преміум рівня і більшість для них не викликає інтересу. Такі полюють на саму крупну рыбу. А дія це всього лише тумбочка з вашим паперовим паспортом у квартирі. І тупо казати що у всьому винна ваша тумбочка, яка погано виконує свою функцію і не являється бронесейфом. Це тумбочка. З крутого і якісного матеріалу і хорошими відсіками куди можна багато чого помістити і зручно. І свої функції вона виконує дуже добре. Просто тумбочка не розрахована на те щоб захищатися коли в квартиру хтось заходить і узнавати хазяїн це ключом відкрив двері чи хто інший. Може зломатися і не відчиняти дверку. Треба берегти квартиру вперше від злому. А щоб її вберегти найперше потрібно берегти ключ від неї і ставити якісні хороші замки та двері. І чим дія гірша книжки поясніть тепер? Дія це зручність, швидкість та практичність. Зрештою вас ніхто не заставляє міняти свою книжку (окрім новых отримувачів в 16р. І 25 та 45р)І тим більше реєструватись в ній (книжку не додає). Загранку і банківські карты теж можна не виготовляти. Носіть з собою книжку, готівку і тд. Но справа в тому що ваші дані всерівно легко буде узнати. Щоб бути анонімом вам потрібно не користуватися соц мережами і більшістю додатків, банками і тд
+
0
mary27
mary27
5 липня 2021, 22:10
#
«Дия» — это не тумбочка.
Это номер в цифровом концлагере, через который нас лишат имущества и гражданских прав.
+
0
Qwerty1999
Qwerty1999
3 липня 2021, 12:37
#
Подборка статеек на Хабре о диджитализации в России…

Мошенники переоформили квартиру в Москве
с помощью поддельной цифровой подписи
https://habr.com/ru/news/t/452292/

Мошенники и ЭЦП — всё очень плохо
https://habr.com/ru/post/453596/

Воруем ЭЦП, используя Man-In-The-Disk
https://habr.com/ru/post/460993/

Специальная публикация для фанатов совка…

В Казахстане запретили комментирование на сайтах
без авторизации по ЭЦП или номеру телефона
https://habr.com/ru/post/356254/
Щоб залишити коментар, потрібно увійти або зареєструватися