Близько опівночі 39-річна айтівиця Вікторія Александрова помітила, що до її акаунту в “Дії” приєднався новий пристрій — у застосунку надійшло відповідне сповіщення. Те, що відбулося далі, шокує. Жінка, яка ніколи не мала справи з мікрокредитами, раптом стала боржницею.
“Вночі я одразу звернула увагу, що приєднався не мій пристрій, — це був теж айфон, але з іншою версією iOS, — розповідає “Експресу” львів’янка Вікторія Александрова. — Вхід було здійснено через BankID із використанням ОТП Банку. Мене це насторожило, але поки я намагалася усвідомити, що відбувається, мені стали надходити сповіщення в “Дії”, що різні компанії типу “швидких кредитів” уже перевіряють мою кредитну історію...”
Вікторія одразу звернулася в службу підтримки “Дії” в одному з месенджерів. “Мені порекомендували видалити пристрій за допомогою спеціальної кнопки, — пояснює айтівиця. — Але я працюю в IT уже 10 років і добре знаю, як функціонує система. Видалити можна лише останню сесію, але зловмисники можуть авторизуватися повторно. Так і сталося — я “викидала” шахраїв, а вони авторизовувалися знову. В “Дії” запевняли, що якщо пристрій видалено, то він має бути позначений сірим кольором. Я пояснювала, що він дійсно позначений сірим, але в цей час шахраї вже подавали заявки на кредити! А ще мені порадили стежити за своїм банком і телефоном. Це ж геніально! Адже телефон у мене в руках, а банк для входу в “Дію” — це monobank. У мене склалося враження, що Служба підтримки не мала наміру мені допомагати. До банку вночі, звісно, дзвонити не було сенсу. Тоді я почала аналізувати, з яких компаній надходять запити в “Дію” на мою кредитну історію, і писати всім, що це не я подала заявку на кредит, а шахраї. Хоча я все одно розуміла, що на ранок прокинуся з купою кредитів”.
Частина мікрофінансових організацій таки відреагувала на повідомлення Вікторії.
“Але іншим було байдуже, хто оплачуватиме кредити, тож вони таки видали їх шахраям, — продовжує Вікторія. — На моє ім’я взято щонайменше п’ять кредитів. Сума одного мені невідома, а по інших загалом 7600 гривень. Проте по кожному кредиту додатково нараховуються відсотки — в середньому 150 гривень на день. Тому сума заборгованості постійно зростає”.
Наступного дня жінка звернулася до банку, де їй одразу заблокували Banking ID і почали шукати розв’язок проблеми. “У 2022 році в ОТП Банку в мене був відкритий рахунок ФОП, на який я отримувала зарплату, — каже вона. — Також зауважу, що на той час я мала два номери телефону: один актуальний, другий резервний. Коли моя бухгалтерка відкривала для мене рахунок ФОП в банку, оформила його на мій актуальний номер. Але паралельно, про що я навіть не знала, мені відкрили бонусний рахунок, здається, Travel-карту, і для неї бухгалтерка вказала мій резервний номер. Я навіть не підозрювала, що у мене в цьому банку є ще якийсь рахунок і він не закритий”.
Шахраї цим скористалися. Використовуючи резервний номер, на який був оформлений бонусний рахунок, вони увійшли до акаунту Вікторії у банку, створили там віртуальну картку, а далі — Banking ID, за допомогою якого увійшли до її “Дії”.
“Тим часом в управлінні кіберполіції мені порадили змінити паспорт, перевести номери телефонів на контракт, зібрати інформацію у банку та мікрофінансових організаціях і прийти з цим до них. А це не вони мали б цим займатися? У поліції під час відкриття справи мене взагалі визначили як свідка, а не як потерпілу, тож тепер треба домагатися перекваліфікації. Довелося найняти адвоката, — розповідає Вікторія. — А представники “Дії” продовжували запевняти, що застосунок не має жодного відношення до кредитів. Під моїм дописом у соцмережах одразу набігли боти-захисники. Причому хейтили мене в різних соцмережах з акаунтів із однаковими іменами та прізвищами. Зокрема, стверджували, що моя інформація не відповідає дійсності, і що “Дію” неможливо зламати. В “Дії” також запевнили, що моїми даними не скористалися і жодної активності не проводилося.
Але ж шахраї без мого дозволу увійшли до моєї “Дії”, і, ймовірно, отримали доступ до частини даних, наприклад, до ідентифікаційного номера фізичної особи, закордонного паспорта, даних по ФОПу, податках... Так, навіть якщо шахраї зайшли через зламаний акаунт у банку, то на етапі “Дії” мав бути механізм, який їх зупинить”.
Нещодавно Вікторія почала записувати відео в одній із соцмереж, і за добу її ролики зібрали 75 тисяч переглядів. Дуже багато людей почали писати про подібні ситуації.
“У когось це сталося місяць тому, в когось рік тому, — каже вона. — Але в кожному випадку шахраї за допомогою BankID (і це були різні банки) підключалися до “Дії” з інших пристроїв. Дехто навіть зізнався, що вже оплатив ці кредити, бо злякався штрафів і відсотків”.
Що цікаво, на сайтах мікрофінансових організацій багато інформації про “Кредит онлайн через “Дію”. “Замість традиційної процедури з відправленням сканкопій документів тепер ви можете скористатися сервісом “Дія”, що дозволяє верифікувати свою особу через державний сервіс”, — йдеться на сайті однієї мікрофінансової установи.
“Про аналогічні випадки я писав ще в 2021 році та на початку 2022-го. Але проблема залишається незмінною — неправильно побудована, з грубими помилками архітектура “Дії”, — зазначає Костянтин Корсун, експерт із кібербезпеки, ексзаступник керівника відділу боротьби з комп’ютерною злочинністю при департаменті контррозвідки СБУ. — Державний сервіс електронних документів повинен був мати власну систему ідентифікації — супернадійну, суперзахищену, з найвищим ступенем довіри, яку він контролює самостійно! Але “діджиталізатори” переклали відповідальність за ідентифікацію громадян на банківську систему, яка має власну ідентифікаційну модель. Вона непогана, але її рівень довіри нижчий, адже банки ризикують лише власними грошима. У їхній системі ризики шахрайства закладені ще під час побудови архітектури й компенсуються зі спеціальних страхових фондів.
Плюс у банках іноді працюють не найчесніші люди, і там постійно відбуваються витоки інформації. Можливо, це сталося і у випадку Вікторії. Якщо банк пропустив шахрая, йому створили банківський акаунт — все: він стає легальним користувачем, отримує Banking ID й автоматично заходить у “Дію”. Це відбувалося на очах у Вікторії, але нічого не можна було зробити. Хоча сама “Дія” анонсувала: якщо ви помітили стороннє підключення, ось вам спеціальна кнопка “видалити”. Але на практиці це не спрацювало. Загалом архітектура “Дії” має величезні прогалини, які, на жаль, стають причиною подібних шахрайств. Тому такі випадки будуть повторюватися”.
