Злоумышленникам хватило двух часов, чтобы провернуть аферу. Фокус выяснил у экспертов по кибербезопасности, как мошенникам удалось получить данные е-паспорта Ирины Илык.
Жительница Львова Ирина Илык написала в Facebook о том, как стала жертвой мошенников, которые от ее имени открыли счет в банке и взяли несколько кредитов у разных компаний — "Манивео", "Быстрозайм", "Форза". О том, что она теперь должна выплатить по кредитам несколько тысяч гривен, Ирина узнала, получив пуш-уведомление от сервиса "Дія".
История кражи цифровой личности Ирины Илык
По словам Ирины, все началось 06 января 2022 года в 13-00: "мой телефон деактивировали, сразу после этого на "Дія" начали приходить запросы от УКБИ (Украинское бюро кредитных историй, — ред.) касательно моей кредитной истории. В 14:08 мой номер телефона был мной восстановлен в отделении "Киевстара" и привязан к моему паспорту. После восстановления номера мне пришло сообщение от "Маневео", я перезвонили туда и мне подтвердили, что на имя открыт кредит на сумму 1500 грн. Я сразу поехала в отделение полиции на Мартовича (сейчас там ремонт, поэтому никого я не застала) сразу не отходя от отделения полиции я позвонила по телефону 112, мое заявление приняли и посоветовали обратиться в действующее отделение полиции на Романовича,18. Я приехала туда, мы начали оформлять заявление (в участке мне посоветовали позвонить по телефону в киберполицию)", — написала пострадавшая.
Позже Илык узнала, что 06 января в 11:57 в компанию "Киевстар" поступило обращение о восстановлении ее SIM-карты, которое было сделано по телефону. В итоге, оператор перевыпустил карту — таким образом все данные Ирины Илык, привязанные к "симке" оказались в руках у мошенников.
"Откуда локационно поступивший звонок мне не сообщили, поскольку эту информацию предоставить не могут, посоветовали обратиться в полицию", — прокомментировала Ирина.
После этого Ирина связалась с "Манивео", чтобы уточнить определенные детали, и ей сообщили, что сумма кредита составляет уже 6200 грн. Седьмого января женщина получила уведомление о кредитах, оформленных на ее имя в "Быстрозайме" и "Форза", а 10 января ей подтвердили, что взяты кредиты на ее имя.
"По факту сумма моего кредита за то время в "Манивео" составляла уже 11 200 грн", — сообщила Ирина.
Илык сообщила УКБИ о том, что были совершены мошеннические действия и попросила деактивировать возможности предоставления информации для кредиторов и установить статус "Контроль" и опцию "Фриз", которая уведомляет заинтересованные стороны о том, что она не желает получать кредиты. Параллельно женщина обратилась в киберполицию.
В отличие от "Киевстара", компания "Манивео" предоставила Илык некоторые данные: ей сообщили номер телефона, с которого поступило обращение о предоставлении кредита на ее имя, а также несколько цифр банковской карты, на которую были перечислены взятые средства. Ирина утверждает, что у нее нет такого счета, но он оформлен на ее имя, банк при этом не известен.
"По состоянию на данный момент (10 января, — ред.) кто-то от моего имени набрал солидную сумму по всем возможным "предприятиям", я вообще не понимаю как так можно, но этого я уже никогда не узнаю. Поэтому, будьте осторожны, привязывайте свой телефон к паспорту!", — подытожила Илык.
Мнение экспертов по кибербезопасности касательно кейса Ирины Илык
Фокус обратился за комментарием к специалисту по кибербезопасности Андрею Барановичу. Он считает, что мошенники прибегли к так называемому SIM-свопингу, т.е. подмене SIM-карты.
"Мошенники узнали номер телефона Ирины, а затем обратились к мобильному оператору, выдав себя за нее, и попросили перевыпустить SIM-карту. Это дало им возможность получить доступ к кодам безопасности и всем данным, привязанным к SIM-карте жертвы", — рассказал Андрей.
По его словам, существует множество способов узнать, что конкретный номер телефона принадлежит конкретному человеку. Например, злоумышленники могут узнать ваш номер, получив доступ к телефонной книге тех людей, которым вы часто звоните, могут прибегнуть к методам социальной инженерии, заставив вас позвонить по определенному номеру, могут оформить "липовую" доверенность от имени жертвы, подкупить сотрудников отделений мобильных операторов. Когда SIM-карта перевыпущена, то у жертвы номер блокируется (как в случае Илык), а у мошенников — активируется.
"Обычно, при SIM-свопинге мошенники выводят деньги с текущих счетов жертвы, но вот этот случай — уникален, потому что они открыли отдельный, новый счет в стороннем банке на имя жертвы и на него зачисляли средства, взятые в кредит, а еще и потому, что они воспользовались сервисом "Дія". Пока доподлинно не известно, что случилось, но у меня есть версия: мошенники воспользовались "Дія", чтобы открыть счет в "левом" банке на имя жертвы и на него принимать кредиты от ее имени", — полагает Баранович.
Константин Корсун, эксперт по кибербезопасности, считает, что безопасность "Дія" сводится к безопасности SIM-карты
"В основе системы защиты "Дія" находится BankID, а BankID, в свою очередь, основан на номере мобильного. И получается такая пирамидка: SIM-карта (низкий уровень защиты) – BankID (средний уровень защиты) – цифровой паспорт (наивысший уровень защиты). Все это слеплено в единую систему, уровень безопасности которой оcnавляет желать лучшего", — написал Константин в своем Facebook.
"Несмотря на то, что в сервисе "Дія" деактивирована функция, позволяющая оформить кредит, некоторые банки, например, "Альфа Банк", позволяют гражданам открывать удаленно при помощи "Дія". Личное присутствие в отделении банка не требуется, поэтому завладев информацией о личности жертвы, через ее "Дія", мошенники могут открыть счета на ее имя и прогонять украденные деньги, чтобы запутать следы", — говорит Баранович. "Верификация у мобильных операторов при восстановлении номера, надежность BankID оставляют желать лучшего, а повсеместное использование BankID в качестве идентификатора совместно с "Дія" открывает дополнительные возможности для мошенничества, ведь можно при помощи BankID зайти в "Дія" и получить все документы человека".
Фокус запросил комментарии у Ирины Илык, Минцифры, "Киевстара" и киберполиции. Следите за нашими новостями.