Весной 2021 года украинке начали названивать коллекторы. Оказалось, на нее оформили мошеннический кредит с использованием приложения «Дія». Людмила обращалась во все инстанции: в компании “Милоан”, которая выдала кредит, утверждали, что все законно, а в НБУ ответили, что случай – не в их компетенции. В службе поддержки «Дія» заверили, что взять кредит через приложение невозможно, оно надежно защищено – и начали разбирательство. Около двух недель назад звонки коллекторов прекратились.
Как мошенники получили доступ к документам женщины, чем закончилась эта история и как обезопасить себя от мошенников — разбиралась редактор AIN.UA.
Что случилось
Свою историю Людмила пересказала в разговоре с редактором AIN.UA. Все началось с того, что ей взломали электронную почту на ukr.net. Женщина сразу обратила на это внимание и поменяла все пароли. Однако оказалось, что это – не самое страшное: мошенники получили доступ к номеру ее телефона, к которому была привязана зарплатная карточка “Альфа-банка”. Тут начались проблемы.
Сначала мошенники попытались взять на женщину кредит в “Альфа-банке”, но банк не одобрил заявку. Тогда на Людмилу оформили карту monobank и получили кредит уже на нее. Людмила обратилась в службу поддержки банка, кредит признали мошенническим и без лишних проблем закрыли. Но спустя какое-то время женщину начали доставать коллекторы кредитной организации “Милоан”. Оказалось, что мошенники взяли на Людмилу кредит. И хотя сама сумма была небольшая – всего 2700 грн, проценты по нему набежали значительные. Сумма задолженности составила почти 12 000 грн.
Людмила попыталась убедить “Милоан” в том, что кредит она не брала, но компания настаивала на выплате. В официальном письме Людмиле сообщили, что авторизация личности заемщика осуществлялась через приложение «Дія» с соблюдением всех мер предосторожности, а договор подписан с использованием КЭП «Дія». Напомним, «Дія.Підпис» можно оформить только с верификацией по селфи в реальном времени – мошенники не могли бы получить ключ без помощи самой Людмилы.
Женщина обратилась в службу поддержки «Дія», но получила стандартный ответ о том, что приложение хорошо защищено и получить кредит с его помощью невозможно. Тогда она написала обращение в НБУ, на которое в ведомстве ответили, что данный кейс вообще не входит в перечень его полномочий.
Людмила написала заявление в Киберполицию. Что еще предпринять, чтобы снять с себя кредит, она не знала. Тем временем коллекторы названивали ее мужу, родителям и требовали вернуть долг.
Кейс получил общественный резонанс благодаря публикации экс-главы CERT-UA Константина Корсуна. В своем посте на Facebook он коротко описал проблему Людмилы и раскритиковал реакцию компетентных органов, задействованных в инциденте:
“Все госслужащие вроде бы «разбираются», но вопрос остается нерешенным, зато коллекторы продолжают требовать вернуть несуществующий кредит. На законных – подчеркиваю – основаниях. НБУ, вместо помощи, вежливо сообщает пострадавшей, що общая сумма задолженности по состоянию на 07.06.2021 составляет 11 677,50 грн, из которых: 2 430,00 грн – тело кредита; 9 247,50 – проценты, насчитанные за пользование кредитом, – написал Корсун.
– (…) И даже если этот пока единственный случай смогут как-то запомнить – что будет, когда мошенники поставят процесс на автоматизированный поток и таких случаев станет по тысяче в день? Весь чиновничий аппарат просто физически не сможет с этим справиться, даже если захочет”.
Виновата кредитная компания
В Минцифре AIN.UA сообщили, что сразу после обращения Людмилы в службу поддержки, инициировали внутреннее расследование данного случая. И хотя первый ответ, который поступил женщине, больше похож на формальную отписку, представители ведомства потом неоднократно пытались связаться с ней по телефону и в Facebook, но сообщения и пропущенные звонки Людмила увидела только в день написания статьи – когда заглянула в папку “Запросы на переписку” по просьбе редактора AIN.UA.
В Минцифре сообщили, что кредит Людмиле «выдали» с грубыми нарушениями со стороны “Милоан”. Его уже закрыли – женщина больше ничего не должна компании. Более того, Минцифра отключила от «Дія» все микрофинансовые организации – чтобы такие случаи не повторялись.
“При рассмотрении обращения гражданки, пострадавшей от мошеннических действий, Департаментом киберполиции инициировано открытие уголовного производства по ст. 190 УК (мошенничество). Финансовое учреждение «Тенго» прекратило звонки к заявительнице и закрыла кредитное обязательство. Также выгружаются данные о создании заявки на кредит с целью идентификации причастных лиц”, – сообщили AIN.UA в Минцифры.
В ведомстве также составили подробные разъяснения того, как этот кейс вообще стал возможным.
Как мошенники взяли кредит через «Дія»
«Дія» спроектирована таким образом, что цифровой паспорт гражданина не может быть использован без его воли. Но если работник банка или МФО решит предоставить кредит с грубым нарушением действующего законодательства, он сделает это как с «Дія», так и с копиями бумажных документов. За такие действия предусмотрена жесткая ответственность, тем не менее они происходят в Украине регулярно.
В случае с Людмилой, алгоритм мошеннических действий был таким:
- Сначала украли ее телефонный номер.
- Получили доступ к ее банковскому аккаунту, подтвердив вход с личной почты.
- Далее с помощью скомпрометированного доступа к BankID авторизировались в «Дія».
“Но и такая серия краж идентичности и “взломов” не могла бы завершиться получением кредита с помощью цифрового паспорта, если бы финансовое учреждение грубо не нарушило правила, установленные НБУ. В правилах этого финучреждения указано подтверждения личности человека с помощью фото, чего, очевидно, не было сделано”, – подчеркивают в Минцифры.
Редакция AIN.UA пытался связаться с компанией “Милоан” и ее дочерним сервисом “Тенго”, но на момент публикации не получила ответа.
Как сообщили AIN.UA в Минцифры, сразу после этого случая еще в апреле министерство отсоединило все кредитные учреждения от «Дія» и обратилось к НБУ с просьбой осуществить внеплановую проверку таких учреждений с предоставлением подтверждения их нарушений.
“К сожалению, сегодня еще происходят тысячи подобных кейсов с копиями бумажных документов. По таким документам отследить действия мошенников почти невозможно – в отличие от цифровых, когда каждая транзакция сохраняется и доступна пользователю”, – отмечают в Минцифры.
Как украинцам защититься от мошенников
По данным мобильных операторов, стало больше видов мошенничества, которые используют мобильный номер телефона абонента. Как это происходит? Мошенники получают доступ к номерам через услугу дистанционной замены SIM-карты. Свой номер можно защитить, если установить определенные ограничения на это. Инструкции можно найти на сайте оператора или на AIN.UA (инструкции для Vodafone, lifecell и “Киевстар”).
“Не верьте, когда вам говорят, что вы победили в акции, в которой даже не участвовали. Не переводите никому денег – близкий человек вам позвонит, а не будет писать SMS. Не переходите по ссылкам – там может быть вредоносное программное обеспечение. Сразу обращайтесь к своему оператору и проверяйте звонки и SMS, которые вызывают у вас подозрение. Не забывайте об элементарных правилах кибергигиены, чтобы уберечь себя и своих родных от мошенников”, – рекомендуют в Минцифра.