Минцифры: «Дия» не могла стала причиной масштабного мошенничества, жертвами которого стали 40 украинцев
В Кривом Роге Киберполиция задержала женщину, которая незаконно оформляла онлайн кредиты на других граждан в разных финансовых и микрокредитных организациях. По предварительным данным, потерпевшими от мошенничества стали 40 человек, чей суммарный ущерб составил около 300 тысяч гривен.
Тридцатилетняя подозреваемая использовала комплексные методы социальной инженерии, чтобы получать необходимую информацию для оформления кредитов. Далее, путем подделки паспортов и изменения финансовых номеров потерпевших, она получала доступ к онлайн банкингу граждан, что и давала ей доступ и возможность распоряжаться деньгами со счетов потерпевших.
Особую пикантность новости придает информация о том, что оформляя один из кредитов, мошенница использовала мобильное приложение "Дия", которое разрабатывается и активно пропагандируется Министерством Цифровой трансформации Украины, в качестве безопасного средства цифровой идентификации граждан.
Данный факт вызвал столь широкий общественный резнанс и обсуждения в кругах специалистов по кибербезопасности, что чиновникам пришлось собрать совместный брифинг Киберполиции, Минцифры и Нацбанка для того, чтобы пролить свет на ситуацию.
Раскрывая подробности преступной схемы, которую использовала мошенница, Иван Тимошенко, начальник противодействия киберпреступлениям в городе Киеве Департамента киберполиции Национальной полиции Украины сообщил:
"В рамках расследования, установлен один способ, когда фигурантка использовала подачу поддельных документов для открытия виртуальной карты в банке. В результате осуществленной валидатором банковского учреждения некачественной идентификации и верификации, фигуранткой был получен доступ к онлайн-банкингу. Далее, выдав себя за клиентку банка, она инициировала подачу данных через Bank ID, вошла в мобильное приложение "Дия" и стала пользоватся Bank ID, с целью оформления кредита в микрофинансовых учреждениях.
Изучение этого вопроса показало, что именно приложение "Дия" не использовалась для верификации во время этого оформления онлайн кредита, поскольку, получение кредита онлайн с использованием цифровых документов "Дия" без участия их владельца, при условии соблюдения законодательства, в целом, невозможно".
Отвечая на вопросы журналистов, Иван Тимошенко сообщил, что на адрес Департамента киберполиции поступило около 1,5 тысячи обращений граждан о фактах незаконного оформления на них онлайн-кредитов мошенниками.
Взявший слово первый заместитель министра Цифровой трансформации Алексей Выскуб, заявил, что "Дия" не имеет отношение к аферам с кредитами, поскольку она спроектирована таким образом, что что цифровые документы не могут быть использованы без их владельца, согласно требований законодательства.
"Хотелось бы повторить один месседж относительно "Дии". Хотя было много хайпа на этой теме, еще раз подчеркну, что атаки осуществляется не через "Дию". Это подтвердило расследование Киберполиции. Хочу привести такой пример, почему мы считаем, что цифровой паспорт является намного более безопасным. В разных ситуациях мы оставляли бумажную копию паспорта в банке и других учреждениях, и никто из нас никогда не понимал, где и как эти копии бумажных паспортов потом используются.
Много этих копий - на руках злоумышленников. Множество таких документов можно приобрести в сети интернет. Если мы говорим про предоставление электронной копии цифрового паспорта, то такая электронная копия всегда подписывается электронной подписью (ЭЦП), оставляя четкую метку времени. То есть, мы четко понимаем когда именно была предоставлена эта копия, время, дата. Кроме того, на электронной копии оставляется специальная метка, в которой указывается кому именно была предоставлена эта копия. Например, если вы пользовались услугами банка и предъявили туда цифровой паспорт, то в такой копии навсегда останется, что вы предоставили копию в таком-то отделении такого-то банка. Эта копия не может быть потом переиспользована. И если случится утечка информации (а так, к сожалению, бывает) то всегда по таким меткам мы сможем отследить откуда вообще произошла утечка".
Главным проблемным местом в защите процесса цифровой идентификации пользователя, представитель Минцифры назвал широко распространенную в Украине практику анонимного подключения к операторам мобильной связи, на условиях предоплаты.
"Чаще всего злоумышленники используют восстановление сим-карты, когда вашу карту восстанавливают на другого пользователя, и это дает возможность сразу получить доступ ко всем сервисам, которые у вас есть в телефоне, а со временем, безусловно, попробовать восстановить доступ к мобильному или интернет-банкингу. Это уже зависит от уровня защищенности вашего банка его антифрод системы. К сожалению, в Украине 90% сим-карт - это припейд. То есть, это, фактически, не идентифицированные владельцы. Напротив этой сим-карты у мобильного оператора нет фамилии владельца, нет паспорта и понятно, что восстановление такой сим-карты (при условной утрате или краже) происходит по более простым алгоритмам и процедурам, поскольку мобильный оператор реального владельца номера не знает. И это используют мошенники.
Сейчас, совместно с Киберполицией мы будем проверять регламент на восстановление сим-карт и то, как его придерживаются некоторые мобильные операторы, добиваться усиления этих правил. Например, мне известен кейс, что была восстановлена даже сим-карта контрактного абонента по поддельному паспортому. Аферы имеют место, и мы должны раз и навсегда поставить точку".
Еще одним узким местом безопасности, являются сами банки. Многие аферисты используют изменение финансового номера клиента для "восстановления" доступа к мобильному банкингу. Зная об этой проблеме, НБУ уже ввел новые требования относительно идентификации Bank ID, которые должны минимизировать возможности незаконного доступа.
Заместитель главы национального банка Украины Алексей Шабан: "То, над чем мы постоянно работаем - это за защита системы Bank ID и требования к работе мобильного интернет-банкинга. В этом году мы приняли постановление о утверждении изменений к системе Bank ID и оно вступило в силу. Главное требование к входу Bank ID это двухфакторная аутентификация. Мы провели проверку всех банков, которые подключены к этой системе и могу заверить что все банки-идентификаторы, которые предоставляют информацию через систему Bank ID - выполнили все требования и являются безопасными.
Информация, которая идет через систему Bank ID, шифруется ключами электронной цифровой подписи или печати банка. Самое главное, что эта процедура передачи данных может быть инициирована и согласована только владельцам этих данных".
"В прошлом году, благодаря изменениям в законе про финмониторинг, было предложено восемь новых модели удаленной идентификации., - сообщил А. шабан. - И каждое финансовое учреждение, которое использует удаленные методы идентификации клиента для открытия счетов, привлечения клиентов и так далее, имеет право выбрать одну из этих моделей. Но при этом, каждая финансовая компания и банк должны понимать, что использовать эти модели нужно только в полном соблюдении всех требований всех требований, которые к этой модели установлены Национальным банком. Потому что каждая из этих моделей содержит в себе некоторые предохранители. Которыми, к сожалению, некоторые компании пренебрегают. Среди этих предохранителей - видео верификация, фото фиксация и так далее. Только соблюдение всех этих требований финансовыми компаниями гарантирует, что риски удаленных методов идентификации будут минимизированы.
Напоследок, спикеры отметили, что критически важным является вопрос культуры кибербезопасности населения, который необходимо повышать за счет различных образовательных проектов и дали ряд советов, как защитить себя от цифровых мошенников.
Главные советы: перейти на контракт и защитить свою сим-карту или просто идентифицировать свой препейд номер. Это сделает практически невозможным для мошенников дублировать вашу сим карту.
Второе - нужно очень осторожно относиться к своим персональным данным. Необходимо понимать, что копии бумажных документов, в связке с вашим финансовым номером являются лакомым кусочком для мошенников, поэтому выкладывать их в социальные сети или хранить в незащищенном виде - крайне опасно. И главное если вы общаетесь с банком будьте уверены что вы общаетесь именно с банком, в который вы позвонили сами по телефону, взятому с официального сайта, а не из смс или электронного письма.