Часи «кредитів через Дію», коли шахраї оформлювали на жертву кредити без її відома, повертаються – Костянтин Корсун
Часи «кредитів через Дію», коли шахраї оформлювали на жертву кредити без її відома, повертаються – Костянтин Корсун
Про це написав один з найвідоміших в Україні експертів з кібербезпеки Костянтин Корсун. Він пояснює цю помилку на прикладі Вікторії (Sasha Aleksandrova), через "Дію" якої шахраї набрали кредити в одному сумновідомому угорському банку. Шахраї створили їй акаунт у цьому банку і через нього авторизувалися у "Дії". А далі вже почали швидко подавати заявки на інші кредити.
"Пані одразу звернулася до техпідтримки Дії (ага, у Телеграмі, а де ж ще?). Спочатку їй порадили видалити «лівий» пристрій. Але він чомусь не видалявся. Тим часом кількість кредитів стрімко зростала. А техпідтримка Дії тим часом повністю відморозилася. Проблеми індіанців вождя не колишуть. Не знаю, чи вирішилася вже проблема пані Вікторії, але для більшості попередніх жертв (про кілька подібних випадків я писав у 2021-2022 роках) – все завершилося погано. Крім самої першої, «іміджевої» жертви, коли зусиллями особисто Федорова, Кіберполіції та СБУ ситуацію було вирішено «вручну». А сьогодні сталося насправді те, про що ми з колегами писали ще на початку лютого 2022 року: реалізувався головний дефект архітектури Дії «розмежування інструментів ідентифікації за рівнями довіри». Це – коли ти свою відповідальність перекладаєш на іншого, простіше кажучи.
Державний сервіс електронних документів повинен був мати власну систему ідентифікації – супер-надійну, супер-безпечну, з найвищим ступенем довіри. Замість цього жижиталізатори переклали відповідальність за ідентифікацію громадян – на банківську систему з її власною системою ідентифікації. Яка непогана, але нижчого рівня, з меншим ступенем довіри. Тому що банки, у разі чого, ризикують лише власними грошима, а фінансові ризики були закладені при побудові системи й покриваються з передбачених для таких випадків фондів. Забезпечення реалізації функцій офіційної державної ідентифікації у цю систему не закладалося, як і відповідних ризиків зловживань та витоку персональних даних. А це вже не матеріальні інтереси, а національні, національної безпеки, які банки не могли і не повинні були закладати та упереджувати.
Як на мене, Дію треба просто заборонити – на час перевірки незалежною міжнародною комісією ступеня її небезпечності для суспільства. Якщо ти дозволив хлопчикам погратися з небезпечними іграшками – май мужність якнайшвидше визнати свою помилку, щоб вона не призвела до ще більш руйнівних наслідків. Якщо злочинці змогли зайти в Дію жертви через один банк, зможуть і через інші. Тому що помилковий принцип залишається незмінним. І ліві кредити можуть тепер виявитися у багатьох громадян", – написав Костянтин Корсун.
Нагадаємо, у січні 2022 року ми писали, як за допомогою "Дії" на людину було оформлено купу кредитів.
У 2021 році ми писали що розробників «Дії» із Мінцифри запідозрили у співпраці з росіянами: оминути ФСБ нема жодних шансів.
А американське видання "USA Today" з посиланням на судові документи писало про злам російськими хакерами ГРУ порталу ДІЯ у січні 2022 року і викрадення даних 13,5 мільйонів користувачів.
Розуміти, що довіряти владі не можна. Знати, що "Дія" – це інструмент контролю владою усіх рухів українців. Будьте обережні, не ставте собі на телефон цю "Дію"!
Ось, що вчора написала Sasha Aleksandrova, на яку через "Дію" шахраї взяли кредит: "Чи таки Дія при чому, чи ні при чому? День 4. Присвячується всім, хто запевняє, що Дія тут ні при чому. Коли пішов розголос ситуації, до мене почали звертатись люди з аналогічною ситуацією. І у всіх них також через різні банки зламувались акаунти і через BankID долучались нові девайси. Чому? Бо саме цей спосіб значно полегшує отримання кредитів. В кожної спілки швидких кредитів є вибір: долучати документи мануально або через Дію. Звісно, у шахраїв нема фізичних документів, а тому вони зламують Дію і з її допомогою надавач кредитів отримує всю потрібну інформацію, просто в пару кліків".
Що таке злам акаунта? Якщо коротко, це – спосіб інтернет-шахрайства, в результаті якого зловмисники крадуть твій пароль та отримують доступ до твого профілю, нагадує вона. "То чи отримали шахраї доступ до мого профілю? Отримали. Чи увійшли до нього? Увійшли! А значить це був злам! Так, йому передував ще злам банківського акаунту, але і те, і те є зламом".