Шахраї, ймовірно, використали "Дію", щоб набрати кредитів на чуже ім'я, жертва дізналася про це також через "Дію"
Зловмисникам вистачило дві години, щоб провернути аферу.
Фокус з'ясував в експертів з кібербезпеки, як шахраям вдалося отримати дані е-паспорта Ірини Ілик.
Мешканка Львова Ірина Ілик написала у Facebook про те, як стала жертвою шахраїв, які від її імені відкрили рахунок у банку та взяли кілька кредитів у різних компаній — "Манівео", "Швидка позика", "Форза". Про те, що вона тепер має виплатити за кредитами кілька тисяч гривень, Ірина дізналася, отримавши пуш-повідомлення від сервісу "Дія".
Історія крадіжки цифрової особи Ірини Ілик
За словами Ірини, все почалося 06 січня 2022 року о 13:00: "мій телефон деактивували, одразу після цього на "Дію" почали приходити запити від УКБІ (Українське бюро кредитних історій, — ред.) про мою кредитну історію. О 14: 08 мій номер телефону був відновлений у відділенні "Київстар" і прив'язаний до мого паспорта. Після віднови номера мені прийшло повідомлення від "Манівео", я перетелефонувала туди, і мені підтвердили, що на ім'я відкрито кредит на суму 1500 грн. Я одразу поїхала у відділення поліції на Мартовича (зараз там ремонт, тому нікого я не застала) одразу, не відходячи від відділення поліції, я зателефонувала 112, мою заяву прийняли та порадили звернутися до чинного відділення поліції на Романовича, 18. Я приїхала туди, ми почали оформляти заяву (у відділку мені порадили зателефонувати до кіберполіції)", — написала постраждала.
Пізніше Ілик дізналася, що 06 січня об 11:57 до компанії "Київстар" надійшло звернення щодо відновлення її SIM-картки, яка була зроблена телефоном. У підсумку оператор перевипустив карту — таким чином усі дані Ірини Ілик, прив'язані до "сімки", опинилися в руках у шахраїв.
"Звідки локаційно дзвінок, мені не повідомили, оскільки цю інформацію надати не можуть, порадили звернутися в поліцію", — прокоментувала Ірина.
Після цього Ірина зв'язалася з "Манівео", щоб уточнити певні деталі, і їй повідомили, що сума кредиту становить уже 6200 грн. 7 січня жінка отримала повідомлення про кредити, оформлені на її ім'я в "Швидкопозиці" та "Форза", а 10 січня їй підтвердили, що взяті кредити на її ім'я.
"За фактом сума мого кредиту за той час у "Манівео" становила вже 11 200 грн", — повідомила Ірина.
Ілик повідомила УКБІ про те, що були скоєні шахрайські дії та попросила деактивувати можливості надання інформації для кредиторів та встановити статус "Контроль" та опцію "Фріз", яка повідомляє зацікавлені сторони про те, що вона не бажає отримувати кредити. Паралельно жінка звернулася до кіберполіції.
На відміну від "Київстару", компанія "Манівео" надала Ілик деякі дані: їй повідомили номер телефону, з якого надійшло звернення про надання кредиту на її ім'я, а також кілька цифр банківської картки, на яку було перераховано взяті кошти. Ірина стверджує, що вона не має такого рахунку, але вона оформлена на її ім'я, банк при цьому не відомий.
"Станом на поточний момент (10 січня, — ред.) хтось від мого імені набрав солідну суму за всіма можливими "підприємствами", я взагалі не розумію, як так можна, але цього я вже ніколи не дізнаюся. Тому, будьте обережні, прив'язуйте свій телефон до паспорта!", — підсумувала Ілик.
Думка експертів з кібербезпеки щодо кейсу Ірини Ілик
Фокус звернувся за коментарем до фахівця з кібербезпеки Андрія Барановича. Він вважає, що шахраї вдалися до званого SIM-свопінгу, тобто заміни SIM-картки.
"Шахраї дізналися номер телефону Ірини, а потім звернулися до мобільного оператора, видавши себе за неї, і попросили перевипустити SIM-карту. Це дало їм можливість отримати доступ до кодів безпеки та всіх даних, прив'язаних до SIM-картки жертви", — розповів Андрій.
За його словами, існує безліч способів дізнатися, що конкретний номер телефону належить конкретній людині. Наприклад, зловмисники можуть дізнатися ваш номер, отримавши доступ до телефонної книги тих людей, яким ви часто телефонуєте, можуть вдатися до методів соціальної інженерії, змусивши вас зателефонувати за певним номером, можуть оформити "липову" довіреність від імені жертви, підкупити працівників відділень мобільних операторів. Коли SIM-карта перевипущена, у жертви номер блокується (як у випадку Ілик), а в шахраїв активується.
"Зазвичай, при SIM-свопінгу шахраї виводять гроші з поточних рахунків жертви, але цей випадок унікальний, тому що вони відкрили окремий, новий рахунок у сторонньому банку на ім'я жертви й на нього зараховували кошти, взяті в кредит, а ще й тому, що вони скористалися сервісом "Дія". Поки достеменно невідомо, що трапилося, але я маю версію: шахраї скористалися "Дією", щоб відкрити рахунок у "лівому" банку на ім'я жертви і на нього брали кредити від її імені", — вважає Баранович.
Костянтин Корсун, експерт з кібербезпеки, вважає, що безпека "Дії" зводиться до безпеки SIM-картки
"В основі системи захисту "Дії" BankID, а BankID своєю чергою заснований на номері мобільного. І виходить така пірамідка: SIM-картка (низький рівень захисту) – BankID (середній рівень захисту) – цифровий паспорт (найвищий рівень захисту)). Усе це зліплено в єдину систему, рівень безпеки якої залишає бажати кращого", — написав Костянтин у своєму Facebook.
"Попри те, що у сервісі "Дія" деактивована функція, що дозволяє оформити кредит, деякі банки, наприклад, "Альфа Банк", дозволяють громадянам відкривати віддалено за допомогою "Дії". Особиста присутність у відділенні банку не потрібна, тому заволодівши інформацією про особи жертви, через її "Дію", шахраї можуть відкрити рахунки на її ім'я та проганяти вкрадені гроші, щоб заплутати сліди", — каже Баранович. "Верифікація в мобільних операторів при відновленні номера, надійність BankID залишають бажати кращого, а повсюдне використання BankID як ідентифікатор спільно з "Дія" відкриває додаткові можливості для шахрайства, адже можна за допомогою BankID зайти в "Дію" і отримати всі документи людини".