Весной 2021 года мошенники сумели оформить кредит киевлянке через «Дія», при том, что сама пользователь даже не была зарегистрирована в этой системе. Детально об этом истории можно прочесть по ссылке ниже.

Позже появились версии, как действительно могли провернуть схему и получить кредит. Свою версию представил эксперт по кибербезопасности, экс-глава CERT-UA Константин Корсун, который первым написал об этом случае мошенничества. Он детально описал схему того, как мошенники, в теории, могли использовать «Дія» для выдачи кредита. AIN.UA приводит его основные тезисы.

Важно: материал ниже — не призыв к действию. Более того, описанные действия — противозаконны и уголовно наказуемы.


По словам эксперта, мошенническая схема могла выглядеть так:

  1. Мошенник находит (крадет или покупает) качественные копии или сканы настоящих документов (паспорта, налогового номера, загранпаспорта).
  2. Затем он распечатывает полученные копии документов в максимальном качестве, клеит их на что-то, похожее на обложку паспорта. Также он или она меняет фото человека в реальной копии паспорта на свое. Либо же гримирует кого-то, чтобы тот выглядел похожим на оригинальное фото украденного документа.
  3. Затем мошенник ищет сайты тех банков, которые позволяют открыть счет онлайн, без личного визита в отделение (НБУ разрешил подобное в 2020 году, после начала пандемии). Обычно удаленно счет открывают с помощью видеозвонка и предоставленных сканов документов. Как отмечает Корсун, во время видеозвонка оператор банка не может достаточно точно оценить: один и тот же человек на фото и на экране, или нет.
  4. После того, как банк удаленно открыл мошеннику счет по поддельным документам, тот автоматически получает доступ к мобильному или интернет-банкингу. А это значит, что мошенник может запросить у банка соответствующую ЭЦП или BankID, которую признает система id.gov.ua. С таким BankID можно авторизоваться в приложении «Дія».
  5. Теперь мошенник может получить кредит с идентификацией через «Дія». Он может получать услуги госорганов, перевозчиков, авиакомпаний, страховых компаний, магазинов, интернет-провайдеров и других учреждений, которые работают с «Дія» (список партнеров есть на сайте сервиса).

По словам Корсуна, то, что схема — возможна, подтверждают и сообщения Киберполиции о задержании в конце марта мошенников, которые перекупали у коллекторов и МФО данные граждан, в частности, сканы их документов, и затем оформляли на них онлайн-кредиты.

Как отмечает эксперт, такая схема будет работать, если:

  • жертва не зарегистрирована в «Дія»;
  • скан-копии документов — настоящие;
  • жертва не является клиентом одного из банков, принимающих «Дія»;
  • жертва не отслеживает свою кредитную историю (к примеру, «ПриватБанк» рекомендует своим клиентам такие способы проверки).

Корсун также отмечает, что в таких схемах может использоваться и возможность входа в «Дія» одновременно с нескольких устройств. Ведь если у жертвы нет аккаунта в этом сервисе, она даже не заметит, что случилось. А если есть — в «Дія» можно авторизоваться с нескольких устройств. Причем владелец аккаунта может получать предупреждения о таких сторонних авторизациях, но не может их ограничивать (как, к примеру, можно делать в Facebook или Google-аккаунте). Ранее возможность логиниться в «Дія» с нескольких устройств описывал телеком-эксперт Роман Химич.

В Минцифры опровергают заявление о том, что подключенные сторонние аккаунты нельзя контролировать: по данным ведомства, можно отключить все активные сессии устройств, подключенных к «Дія», и затем снова авторизоваться только на тех устройствах, которые принадлежат пользователю.


Напомним, ранее в Минцифры заявили, что сразу после этого случая еще в апреле Министерство отсоединило все кредитные учреждения от «Дія». Кроме того, в Министерстве сообщили, что выдача кредита киевлянке проходила с большим числом нарушений собственных правил кредитной организации.


Update: В Минцифры прокомментировали сообщение Корсуна:

«Мы максимально защитили приложение от того, чтобы мошенник не смог получить кредит с использованием «Дія», потому что клиент обязательно проходит процедуру верификации. Верификация происходит в отделении банка только при присутствии лица. Сотрудник аналогично ситуации с обычными бумажными документами идентифицирует клиента, сравнивая фото в электронных документах с лицом, которое их предоставило.

Если онлайн — при обязательном условии выполнения финансовыми учреждениями дополнительных процедур проверки лица, предусмотренных нормами НБУ.

Пользователю нужно авторизоваться в «Дія» и подтвердить вход с помощью одной из технологий (PhotoID, сравнение лица с фото в реестре ГМС), BankID от НБУ или с помощью NFC-чипа ID-карты.

Как происходит идентификация клиента в финучреждениях:

  • Постановление НБУ №65 для банков;
  • Постановление НБУ №107 для других финансовых учреждений.

При офлайн-верификации с использованием цифровых документов сотрудник банка аналогично с обычными бумажными документами устанавливает лицо клиента, сравнивая предоставленные документы (и проверяя их валидность) и лица, которое предоставило документы.

При онлайн-верификации субъекты финмониторинга могут использовать цифровые документы клиента в разных методах:

  • Фотоверификация: клиент предоставляет копию цифрового документа и проходит фотофиксацию с распознаванием лица (не наложена ли маска, эффекты и другие проверки). Сотрудник банка/учреждения накладывает свою электронную подпись на результаты проверки.
  • КЭП клиента: клиент предоставляет копию цифрового документа, также происходит накладывание КЭП клиента на копию идентификационного документа или опросник клиента.
  • Видеоверификация: клиент предоставляет копию цифрового документа и проходит видеособеседование с сотрудндиком банка, тот задает вопросы, проверяя заявителя. Сотрудник банка накладывает свою электронную подпись на результаты проверки.

Отметим, что сейчас мошенники берут множество кредитов с помощью бумажных копий документов, без привлечения «Дія», в Киберполицию поступает до 70 обращений за неделю. И если сотрудник любого банка или другого финансового учреждения решит, например, выдать кредит с грубым нарушением законодательства, то ни «Дія», ни любой другой инструмент не помешают ему это сделать. Но за такие действия предусмотрена жесткая ответственность.

По «Дія» действительно имеем 1 прецедент, в котором финучреждение нарушило нормы законодательства и НБУ. Но мы оперативно отреагировали и с Киберполицией за неделю-две детально презентуем всю ситуацию. После этого нарушения мы отключили все финучреждения до проверки НБУ».

Также сообщение Корсуна прокомментировал первый заместитель министра Александр Выскуб: