Весной этого года мошенники сумели оформить кредит киевлянке через «Дія», при том, что сама пользователь даже не была зарегистрирована в этой системе.
Позднее появились версии, как действительно могли провернуть схему и получить кредит. Свою версию представил эксперт по кибербезопасности, экс-глава CERT-UA Константин Корсун, который первым написал об этом случае мошенничества.
Эксперт детально описал схему того, как мошенники, в теории, могли использовать «Дія» для выдачи кредита. AIN.UA приводит его основные тезисы.
Важно: материал ниже — не призыв к действую. Более того, описанные действия — противозаконны и уголовнонаказуемы.
По словам эксперта, мошенническая схема могла выглядеть так: Мошенник находит (крадет или покупает) качественные копии или сканы настоящих документов (паспорта, налогового номера, загранпаспорта).
Затем он распечатывает полученные копии документов в максимальном качестве, клеит их на что-то, похожее на обложку паспорта. Также он или она меняет фото человека в реальной копии паспорта на свое. Либо же гримирует кого-то, чтобы тот выглядел похожим на оригинальное фото украденного документа. Затем мошенник ищет сайты тех банков, которые позволяют открыть счет онлайн, без личного визита в отделение (НБУ разрешил подобное в 2020 году, после начала пандемии).
Обычно удаленно счет открывают с помощью видеозвонка и предоставленных сканов документов. Как отмечает Корсун, во время видеозвонка оператор банка не может достаточно точно оценить: один и тот же человек на фото и на экране, или нет. После того, как банк удаленно открыл мошеннику счет по поддельным документам, тот автоматически получает доступ к мобильному или интернет-банкингу. А это значит, что мошенник может запросить у банка соответствующую ЭЦП или BankID, которую признает система id.gov.ua.
С таким BankID можно авторизоваться в приложении «Дія». Теперь мошенник может получить кредит с идентификацией через «Дія». Он может получать услуги госорганов, перевозчиков, авиакомпаний, страховых компаний, магазинов, интернет-провайдеров и других учреждений, которые работают с «Дія» (список партнеров есть на сайте сервиса). По словам Корсуна, то, что схема — возможна, подтверждают и сообщения Киберполиции о задержании в конце марта мошенников, которые перекупали у коллекторов и МФО данные граждан, в частности, сканы их документов, и затем оформляли на них онлайн-кредиты.
Как отмечает эксперт, такая схема будет работать, если:
жертва не зарегистрирована в «Дія»; скан-копии документов — настоящие; жертва не является клиентом одного из банков, принимающих «Дія»; жертва не отслеживает свою кредитную историю (к примеру, «ПриватБанк» рекомендует своим клиентам такие способы проверки). Корсун также отмечает, что в таких схемах может использоваться и возможность входа в «Дія» одновременно с нескольких устройств. Ведь если у жертвы нет аккаунта в этом сервисе, она даже не заметит, что случилось.
А если есть — в «Дія» можно авторизоваться с нескольких устройств. Причем владелец аккаунта может получать предупреждения о таких сторонних авторизациях, но не может их ограничивать (как, к примеру, можно делать в Facebook или Google-аккаунте). Ранее возможность логиниться в «Дія» с нескольких устройств описывал телеком-эксперт Роман Химич.
Напомним, ранее в Министерстве цифровой трансформации заявили, что сразу после этого случая еще в апреле Министерство отсоединило все кредитные учреждения от «Дія». Кроме того, в Министерстве сообщили, что выдача кредита киевлянке проходила с большим числом нарушений собственных правил кредитной организации.
Россия продемонстрировала возможность ядерного удара по Украине, - Defense Express
Зеленский подписал закон о лишении госнаград за пропаганду страны-агрессора
США сильнее Путина: Зеленский раскрыл ключ к завершению войны в Украине
В Киеве усилят меры безопасности и выставят дополнительные блокпосты
Смотрите также беседу политического эксперта Юрия Романенко с юристом и правозащитником Геннадием Друзенко о провале украинизации в стиле "Порошенко и Вятровича":