40 тисяч кредитів за день - і знов "при чому тут Дія?"
Чесно скажу – я вже втомився перевіряти та публікувати історії про «ліві кредити», до яких «Дія не причетна».
Ось тут ще одна людина детально розказала свою сумну історію.
За один день кредитів на 40 тисяч.
Звісно, у коменти прийшов представник Дії та все заперечував. Нехай і більш коректно, ніж отой їхній душевнохворий, але суть все та ж: #ПричомуТутДія???
«Заміна переговорника» не вирішує проблеми у даному випадку.
Ще раз повторю, для тих, хто на бронепоїзді: так, дійсно, Дія сама не видає кредити в банках.
Але шахраям цього і не потрібно, і їм немає потреби її хакати «в лоб».
Думаю, послідовність маніпуляцій приблизно така: викрадають/хакають смартфон, з нього ж заходять у банківський акаунт жертви, переводять усі гроші на свої картки та проводять інші махінації.
Але це лише початок. Потім отримують доступ до BankID цього ж банку - їх банки генерують для своїх клієнтів автоматично, без запита користувача (це окремий пздц). А маючи цей BankID, контроль над телефоном та, відповідно, банківським акаунтом - можна легко зайти в Дію жертви. Єдине питання – як злочинці вираховують пін-код на вхід в Дію. Можливо, підглядають перед тим як викрасти. Можливо, якось брутфорсять (хтозна яке там обмеження на кількість спроб і чи можна його обійти якоюсь емуляцією). Можливо, якось витягають з пам’яті самого апарату, у залежності від моделі. Не маю уявлення.
Важливий сам факт: вкравши телефон, або угнавши фінансовий номер, злочинці якось таки отримують доступ до акаунту жертви в Дії. Не певен, що можуть вони пошарити документи чи підписати щось – не перевіряв. Але точно можуть зайти в Дія-акаунт жертви. І, судячи з кількості випадків, це відносно нескладно: або викравши апарат, або хакнувши його віддалено (ось свіжий приклад)
А далі, якщо у жертви вже є акаунти в інших банках – шахрай, (повністю контролюючи телефон жертви) може залогінитися в них, а потім перевести гроші на свою картку.
Якщо у жертви немає відкритих рахунків в інших банках – злодій може відкрити їх сам через Дію, від імені легального користувача. Дія сама популяризує як це можна зробити.
Не всі банки суворо дотримуються інструкцій НБУ щодо відео-ідентифікації, тому, мабуть, шахраї знають як це обійти.
Усе деталі, методи та інструменти такого типу шахрайства мала б з’ясувати поліція, в результаті швидкого, професійного та ефективного розслідування.
Не смійтеся, якщо б подібна ситуація сталася з родичем поліцейського генерала – повірте, розслідування було б саме таким, а шахраїв миттєво знайшли б, протягом доби. Знайшлися б і ресурси, і час, і бажання, і «інструменти». Та і загалом, це не складна для розслідування ситуація.
Але для «маленького українця» поліція подібні випадки навіть не намагається розслідувати. Про що написав і автор цього допису, а також усі попередні жертви схожих афер, з якими я спілкувався.
Я не знайомий з Іван Буян, і не спілкувався з ним особисто (як я це роблю завжди, перевіряючи інформацію). Зараз у мене банально немає на це часу. Ще з минулим випадком не до кінця розібрався. А нові історії продовжують надходити.
Але я спостерігаю стрімке збільшення випадків шахрайств з використанням BankID та «швидких онлайн-кредитів».
Замість вжити швидких ефективних заходів зупинити цю злочинну хвилю (поки вона не перетворилася на цунамі), представники МЦТ ходять по коментах та повторюють одне й те саме: «це фейк», «цього не може бути тому що не може бути ніколи», «це спецоперація кремля, не розгойдуйте човен», «жертва сама винна, Дія тут ні до чого».
Та плювати людям на вашу Дію, за великим рахунком. Лише купка фахівців кричить що вона не є безпечною не не вірно спроектованою. Більшість (у тому числі виборців ПрЗедента) хвилює власний гаманець. І якщо швидко не вжити кардинальних заходів – люди можуть вийти на вулицю.
Які б це могли бути заходи?
Ось кілька просто невідкладних:
Ініціювати заборону видачі кредитів онлайн, у тому числі банками.
Заборонити BankID як метод ідентифікації в Дії.
Вимкнути функцію клонування документів в Дії.
Найняти авторитетну західну кібербезпекову компанію на проведення повного аудиту/оцінки безпеки усієї екосистеми Дія (в режимі White-box) та виправити усі виявлені вразливості високого та критичного рівня. Після цього опублікувати звіт про оцінку та визнати свої помилки. Повірте, така стратегія буде значно більш вигідною, ніж інфантильне заперечення фактів.
А поки «дієві» думають над цими та іншими пропозиціями від різних експертів, я дозволю собі дати кілька порад як перечекати цей період у відносній безпеці. Але одразу попереджаю: навіть усі вони разом не гарантують повного захисту.
Отже.
В усіх випадках, з якими я стикався, жертви користувалися смартфонами з ОS Android. У професійних кібербезпекових колах відомо, що ця операційна система менш захищена, ніж , приміром, iOS. Знаю, порада перейти на iOS не всім до смаку, але штош.
Обов’язково поставити на смій смартфон пароль довжиною не менше 6 символів, чим він довше та складніше – тим безпечніше.
Не розблоковуйте свій телефон та/або Дію у присутності інших людей або камер спостереження. Хоча б поверніться спиною до джерела потенційного витоку або прикрийте рукою екран.
За можливості – взагалі не встановлювати та не користуватися додатком Дія. Це далеко не завжди рятує, але трохи зменшує ризики. Наприклад, якщо телефон вкрали, злочинець може не зайти в ваш Дія-акаунт.
Пильнувати свій смартфон, не залишати його у неконтрольованому середовищі, класти у внутрішні кишені, не давати його в руки стороннім особам, навіть знайомим.
Нікому та ніколи не надавати доступ до своїх банківських рахунків. Включно з найближчими людьми.
Не ходити по підозрілим сайтам, не користуватися соцмережами російського походження (включно з Telegam), не натискати посилання, які прийшли від невідомо кого (та навіть і від знайомих). Посилання спочатку слід скопіювати (не відкриваючи), та вставити на Virustotal
Протягом кількох секунд усі відомі у Світі антивіруси перевірять цей лінк – чи він вже не засвітився раніше як підозрілий або шкідливий. Якщо після перевірки буде нуль (типу 0/93)- тоді можна обережно відкривати, - але обережно, не вводити свої дані, не натискати якісь кнопки, не погоджуватися з чимось, не надавати згоду на доступ до камери/мікрофону/телефонної книги, тощо.
Скрізь, де це можливо, використовувати у якості другого фактору Google Authenticator замість SMS. Або ще краще - апаратні токени (це для просунутих).
Користуватися месенджерами лише з наскрізним шифруванням: Signal, Facebook Messenger, Threema, Wire, Slack. Та навіть Viber можна для не дуже конфіденційного спілкування. Ніяких смс, ніяких дзвінків відкритим усім вітрам GSM-зв’язком.
Постійно користуватися VPN, навіть у домашній мережі.
Раз на тиждень робити резервні копії на зовнішній диск, або у хмару (у зашифрованому вигляді).
А ще дуже раджу кожному вимагати від «дієвих» нарешті серйозно зайнятися кібербезпекою та переосмислити її роль. Будь-якими доступними способами.
Нещодавно один перший заступник міністра обіцяв подати на мене в суд за «брехню про Дію». Повістки я поки що не отримав, але жоден зі своїх дописів не видаляв, не видаляю та не планую видаляти. Тому що переконаний у своїй правоті. Тому що у середньо-строковій перспективі популізм та невігластво не мають жодного шансу проти правди та професіоналізму. А розсудить нас історія, як завжди.
The path of the righteous man is beset on all sides by the iniquities of the selfish and the tyranny of evil men.
«Шлях праведника важкий, бо перешкоджають йому себелюби і тирани зі злих людей». Джулс.
Ezekiel. Глава 25, вірш 17
