Тиждень тому мешканка Львова повідомила правоохоронців, що зловмисники оформили кілька мікрокредитів на її ім’я без її відома. Про це вона дізналася, отримавши повідомлення від сервісу “Дія”. Як це сталося, з’ясовують правоохоронні органи, але самій пані Ірині вдалося встановити, що шахраї замовили перевипуск SIM-карти і таким чином заволоділи її номером телефону та всіма даними, які були прив’язані до нього. От як цей інцидент прокоментували у компанії “Київстар”.
Зловмисник, який звернувся до магазину компанії за послугою заміни анонімної SIM-карти, надав фахівцеві докладну інформацію щодо користування номером телефону, як того вимагають чинні процедури компанії. Тому в співробітника, який здійснив заміну SIM-картки (переведення номера телефону на нову SIM-карту), не було підстав відмовити в наданні послуги, і заміна була виконана відповідно до чинного законодавства та внутрішніх процедур”, — ідеться в коментарі, наданому пресслужбою мобільного оператора.
У компанії висловлюють глибоке занепокоєння щодо цього випадку мобільного шахрайства.
Ми сподіваємося, що органи охорони правопорядку розслідують цей випадок і готові в межаз чинного законодавства надавати їм для цього необхідну інформацію та технічну підтримку”, — запевнив “Київстар”.
Проте справа про шахрайство щодо громадянки України досі залишається не проясненою, незважаючи на отримані коментарі від Мінцифри та компанії “Київстар”. От як прокоментував ситуацію експерто у галузі кібербезпеки Андрій Баранович, котрий вважає, що все трапилося “завдяки” тому, що аферистам вдалося перезапустити SIM-карту львівянки, а вже після цього вони отримали доступ до її BankID.
BankID влаштований дуже просто — логін, пароль і код, що надсилається банком через SMS для ідентифікації клієнта, який хоче скористатися послугами інтернет-банкінгу. У разі Ірини Ілик BankID викрали, перевипустивши SIM-карту й отримавши доступ до даних, що зберігаються на ній”, — пояснює Баранович.
Однак експерт вважає, що не тільки BankID був скомпрометований. За його словами, якби все зводилося лише до викрадення BankID, то шахраї мали б можливість обікрасти поточні рахунки жінки, але не змогли б без її відома відкрити рахунок у сторонньому банку. Сама ж пані Ірина стверджує, що все так і було. Нагадаємо, що у своєму повідомленні вона вказала, що в компанії, де на її ім’я було оформлено мікрокредит, їй повідомили номер банківської картки, на яку було зараховано кредитні кошти.
Інформацію мені повідомила компанія “Швидкозайм” телефоном: карта на ваше ім’я, останні цифри 2811″, — розповіла вона.
При цьому вона стверджує, що вона не має ні рахунку, ні карти з таким номером.
Постраждала запевняє, що не відкривала рахунок у сторонньому банку. І я схильний їй вірити. У такому разі, це зробили шахраї. І проблема в тому, що відкрити рахунок у банку, не надавши паспорт, неможливо, зате можна це зробити за допомогою сервісу “Дія”, — каже Андрій Баранович. — І на скріншоті, зробленому Іриною, видно, що шахраї заходили до “Дії” після того, як SIM-карта та BankID були ними викрадені”.
Експерт із кібербезпеки вважає, що саме цей факт — вхід у “Дію” в той час, коли жінка ще не мала доступу до свого номера, — і дає підстави сумніватися в тому, що сама “Дія” не була скомпрометована.
Справді, відкрити рахунок за допомогою “Дії” дистанційно можливо, наприклад, в “Альфа-Банку”. Під час реєстрації банк запитує в “Дії” дозвіл на шеринг документів і на фотоверифікацію (просить зробити селфі для ідентифікації людини з фото на е-документах, отриманих від “Дії”). Після цієї процедури в додатку “Дія” відображається запит на кредитну історію від банку, в якому ви відкриваєте рахунок, у цьому випадку — від “Альфа-Банку”.
За повідомленням пані Ірини, на її телефоні відображалися запити на кредитні історії від Українського бюро кредитних історій і від “Монобанку” на збільшення кредитного ліміту на її карті. Проте запит від стороннього банку не надходив.
У Міністерстві цифрової трансформації України заявляють, що афера вдалася через те, що була скомпрометований BankID.
За допомогою скомпрометованого BankID зловмисник авторизувався в “Дії”, що й було зафіксовано в додатку та відображалось у розділі “Активні сесії”. Також у цьому розділі відображається час підключення пристрою та те, які документи були підписані в межах певної сесії”, — прокоментували в міністерстві.
Нагадаємо, що подібна афера щодо громадянки Людмили Ж. була здійснена в середині 2021 року. Тоді шахраї оформили кредит на її ім’я, незважаючи на те, що жінка не була зареєстрована в додатку “Дія” і навіть не мала ID-картки, а користувалася паспортом-книжкою.