Львів’янка у соцмережах поділилась історією про те, що їй нібито зламали акаунт у застосунку “Дія” та набрали через нього кредити. Founder і CPO у KARAKUM Soft Вікторія Александрова повідомила, що помітила, як до її акаунту посеред ночі приєднався новий пристрій. Після цього він почав подавати заяви на кредит. Тепер вона ― «позичальниця» у низці фінансових установ та мікрокредитних організацій, хоча сама фахівчиня ніяких кредитів не оформлювала.
Як розповіла Вікторія dev.ua, сторонні особи залогінилися у додатку «Дія» через bank-ID у OTP-банку, використавши для цього сторонній пристрій та фінансовий номер. Цікаво, що, за словами Вікторії, вона навіть не мала відкритих рахунків у цій фінустанові. Незважаючи на це, шахраям вдалося оформили онлайн величезну кількість кредитів на її ім’я.
«Мені зламали Дію і набрали кредитів! Сьогодні вночі. Причому я бачила, як приєднався новий пристрій, бачила як подає заявки, і розуміла, що мене чекає», — написала айтівиця в LinkedIn, виклавши скріншоти залогінених пристроїв, кредитних заявок, поданих шахраями, та переписки з технічною підтримкою «Дії».
“Розуміла, що мене чекає. Почала звертатись в Дію – вони порадили видалити пристрій через відповідну кнопку (яка не видаляє пристрої) та… дивитись за своїм телефоном. Сьогодні до них писала – взагалі ігнор. А кількість взятих на мене кредитів росте з кожною годиною. Найгірше – щоб це зупинити, потрібно видалити той другий пристрій з мого акаунту?”.
Надалі жінка написала заяву до поліції і звернулась до ОТП банку, де у неї відкрито рахунок.
“Так от, його зламали і кілька днів тому створили акаунт в додатку ОТП і там же віртуальну карту. Номер, який привʼязали – колишній мій номер, який не активний вже мінімум півтора року. Але до Дії привʼязано інший номер. Тому навіть не уявляю, як вони могли додати свій девайс до моєї Дії. Всі рахунки і акаунти в ОТП заблоковано після мого ранкового звернення, тому гроші через них не вивести”.
Жінка додала, що також заморозила кредитну історію і очікує, щоб “Дія” видалила девайс шахраїв з її акаунту.
Згодом жінку запросили на зустріч представники відділу безпеки ОТП банку, аби зрозуміти, як така ситуація могла статись, і що їм потрібно виправити. Також на зустрічі обговорювалось питання, як шахраям, які й досі мають доступ до “Дії” жінки, обмежити будь-які послуги.
Натомість представники застосунку “Дія” заперечують повідомлення жінки про злам Дії.
На ситуацію відреагували у Мінцифри, наголосивши, що застосунок користувачки ніхто не зламував і не оформляв на ім’я жінки кредити.
“Зловмисники отримали доступ до BankID потерпілої, за допомогою якого оформлювали кредити. Вони також використали BankID, щоб увійти в Дію, але передати копію цифрового паспорта чи оформити кредит через Дію без власника й цифрового підпису неможливо”.
У міністерстві наголосили, що “Дія” оперативно допомогла виявити проблему, оскільки завдяки сповіщенням з застосунку жінка дізналась, що її даними заволоділи шахраї та намагались оформити кредит.
Також у Мінцифри запевнили, що постійно працюють над ще більшим захистом застосунку й українців. Водночас у відомстві закликали громадян нікому не передавати свої паролі, смартфони та банківські картки.
“Мінцифра вкотре наголошує, що Дія – це найбезпечніший український державний IT-продукт. Вона не зберігає персональні дані, а лише відображає інформацію, яка вже є про вас у реєстрах”.
У міністерстві додали, що Дія базується на законодавчо закріплених процедурах і запроєктована так, що цифровий паспорт громадянина не може бути використаний без його волі.
“Наголошуємо, що ця ситуація потребує втручання кіберполіції задля розслідування деталей злочину. Радимо бути пильними, а ми, зі свого боку, продовжуємо впроваджувати інструменти, які допомагають зробити цей процес ще надійнішим”.
Як спрацювала схема: версія потерпілої
«Я дзвонила в OTP-банк, через який вони авторизувалися. Виявилося, що в них на мене відкрили фейковий акаунт, де половина даних про мене — фейкові. І в банку це не перевірили! Шахраї використали моє ім’я і прізвище, дату народження, і мій номер телефону, по якому ми говоримо. Яким чином — незрозуміло, поки не уявляю, як. Всі інші дані не співпадають», — повідомила Александрова.
В якості девайса при авторизації, зі слів айтівиці, шахраями теж був використаний іPhone, але з іншою версією іOS.
При цьому Вікторія Александрова додала, що ніколи не втрачала свої пристрої з потенційним доступом до «Дії» та bank-ID, і в неї ніколи в житті не крали телефон.
«Я майже 10 років в ІТ і, зрозуміло, дуже добре знаю, що не можна надавати свої дані у відповідь на різного роду повідомлення чи підтверджувати доступ у підозрілих додатках. У мене з цим строго, але нинішня ситуація така, що вимагає втручання надавачів послуг. Але поки ні про яку підтримку не йдеться».
З її слів, Вікторії порадили піти незвичним шляхом: звернутися в кредитне бюро і попросити, щоб її внесли у «чорний список».
«Якщо мене внесуть в „чорний список“, то, принаймні, далі не будуть видаватися на мене кредити. Це дуже дивна ситуація — добровільно внести себе в „чорний список“. Але мені прилітають з шаленою швидкістю „апрувнуті“ кредити», — розповіла айтівиця.
Вона вже також звернулася до частини установ, де шахраї намагалися отримати кредити. З її слів, деякі відреагували на її звернення, відмовивши у таких кредитах, але хтось просто порадив звертатися до поліції і суду.
«Півночі писала до тих контор, які видають кредити. Хтось відзвонився і сказав, що вони заблокували і не видали, а хтось — що це моя проблема і якщо хочу її вирішити — то тільки через поліцію і суд», — резюмувала Александрова.
Дещо пізніше Вікторія доповнила, що написала заяву в поліцію і чекає її реєстрації в базі, після чого планує поїхати з нею OPT-банк.
«Також мені телефонували з кредитних спілок і зазначили, що шахраї використали давній номер, який неактивний вже півтора роки», — зазначила вона. Водночас, зі слів айтівиці, цей номер не привʼязаний до «Дії» чи її банківських рахунків.
