МЕГА дыра в ГосУслугах или Как мошенники взяли кучу Кредитов и Займов в МФО, на моё имя, и даже ТРИ циферки не спросили?
Заявления от меня и от одной из МФО сейчас лежат в полиции, и кажется, скоро, хоть одно из них доберётся до суда.
Номерной список его предполагаемых действий, с комментариями из личной истории.
1.Мошенник получает доступ к паспортным данным (без разницы как и где, в моём случае наиболее вероятно: Доверенность на ребёнка, Копия в отеле, Заявка на кредит или что угодно ещё)
2. Он должен пробить или уже знать мой номер телефона. (Это легко, т. к. они почти всегда соседи на одном листе)
3. Узнаёт какой у меня оператор (можно начать платить за мобильную связь, как вариант, через СберОнлайн, вероятно, что и у других банков так-же, и при подтверждении оплаты выведут на экран ОпСоСа)
4. Готовит на принтере фейковый паспорт, с нужной фотографией и моими данными. (Качество не важно, т. к. потребуется только фото телефонного уровня)
Теперь ему нужно собраться и дальше действовать быстро-быстро:
5. Звонит ОпСоСу, и сказав паспортные данные блокирует симку жертвы под благовидным предлогом (ОпСоС блочит симку втихаря без СМС или контрольного звонка. И теперь все будут слышать, что мой номер больше не обслуживается. А трёхбуквенному пОдСоСу нужно всего 2 минуты, чтобы номер заблокировать по телефону, и 4-6 часов, чтобы обратно разблокировать, даже при личном посещении офиса с паспортом на руках)
6. Теперь нужен аккаунт в крупном Банке, который связан с ГосУслугами. Для этого отправляется заявка онлайн на дебетовый счёт, которому не нужны особые проверки. (В моём случае пельмени и пиво, у основателя, получалось куда лучше, чем кредитная организация)
7. Когда получено одобрение на открытие счёта — мошенник запускает приложение, в котором есть волшебная кнопка: Создать аккаунт на ГосУслугах. Естественно выводится вопрос: Такой аккаунт уже есть — Восстанавливаем пароль? Тут фишка в мелком шрифте — «Создать новый аккаунт», в этом случае старый аккаунт просто затирается, а уведомление о действиях не приходят, т. к. номер заблокирован в п. 5. (Именно этим способом мне удалось обратно забрать свой аккаунт у мошенников)
8. БИНГО! ! ! Есть «Подтверждённый» авторизованным банком аккаунт, на, теперь уже юридически значимых, ГосУслугах.
9. Рассылает заявки во все-все точки куда успеет, заверяя их «Подтверждённым аккаунтом ГосУслуг» жертвы, с его кредитной историей. И выводит деньги куда получится. Некоторые микрокредиты просят фото с разворотом паспорта, тут и понадобится распечатка из п. 4.
П. С. Способ условной защиты я нашёл только один — письменно запретить ОСС любые блокировки номера по телефону, разрешить лишь при личном посещении. Но это всё-же не сможет спасти от некоторых других действий, Т. К. главная дыра находится на стыке Банков и ГосУслуг.
У кого есть вопросы — милости прошу задавать.
Самое интересное, что этот пост прям как инструкция выглядит) сейчас все гостевые дома пошли поднимать архивы копий паспортов
Это чтобы ответственные зачесались.
И закрыли в конце-концов дыры.
а ну еще вроде есть какая-то надежда на ОСС, что не все осс будут блокировать по телефону только по данным из паспорта, или все так могут заблокировать!?
Не все, но Большая Четвёрка - работает по одной схеме.
Полицейский мне тоже не поверил, и я провёл эксперимент с его номером до момента подтверждения паспортных данных.
А когда они создают счет с чужими паспортными данными, там же дальше просят подтвердить по смс, они там свой номер вписывают?
п.4 - мои данные, и фотография того, кто будет с ним позировать.
Номер телефона - естественно новый. Для этого они мой личный и блокируют.
А теперь в Госуслугах, чтобы верифицировать аккаунт не нужно с паспортом лично на почту или в иную гос контору являться?
В 2015 году примерно 😅 был именно такой порядок. Без верификации нельзя было никакие активные действия совершать.
Там три уровня аккаунта, для последнего нужно с паспортом в МФЦ, а для кредитов достаточно второго, который получается через банковское приложение.
А если аккаунт на госуслугах удален, то просто создастся новый по этому паспорту? А если аккаунт заморожен по этим данным и требует личное посещение для его разморозки?
Я не особо спец в этих деталях.
Точно знаю, что описанным способом сам смог вернуть себе аккаунт от злоумышленников. Хотя там уже были другие почта и телефон.
а если аккаунта вообще нет на госуслугах? То все равно его создадут и дальше по схеме?
Уверен, что так и получится.
По большому счёту требуется натуральный Эксперимент - Надо брать несколько человек с разными статусами в Тинькове, ГУ и разными ОСС для экспериментов. Даже не могу предположить кто согласится порушить все свои аккаунты для такой забавы.
а ведь если кому-то очень захочется, то не составит труда только по ФИО и ДР пробить и номер телефона(через какой-нибудь популярный тг канал) и далее по схеме. Другое дело, что проще сразу найти и то и другое в одном месте.
Ну таких вариантов миллион может быть. Просто не нужно светить свой номер которые используется для авторизации в сервисах.
Теперь это стало понятно. Но ни мне, ни полицейским, такая дыра в голову не приходила.
Ну в том лучшем банке вообще можно карточки привязывать к чужим номерам телефонным и потом получать деньги по СПБ
А вам удачи ... Пора пивной банк уже построить.
Интересная инструкция. Спасибо.
Надеюсь, что нужные люди обратят внимание, и сделают невозможным её применение.
Поясните, пожалуйста, подробнее пп.6 и 7, как удалось открыть счёт без паспорта?
Мошенник создал аккаунт на госуслугах через приложение банка?
Есть в РФ Тинькофф банк, работает без офиса.
В нём достаточно дистанционно подать заявку, и счёт уже откроют, так-же заработает приложение. Карточку получать не нужно, и деньги по этому счёту тоже не нужны.
А вот угнать аккаунт ГосУслуг - это, как я понял, запросто.
То есть для защиты нужно иметь второй номер который нигде не светится с паспортом?)
Сейчас уже думаю, что это решение близко к идеалу.
А у этого оператора нельзя установить кодовое слово? У мегафона если не назовешь кодовое слово, то по данным паспорта обслуживать по телефону в поддержке не будут. Максимум проконсультируют по услугам.
Было, не помогло.
Для блокировки его не спрашивали.
И запись "моего" разговора - только через Полицию.
Ну дела. Зачем его тогда вообще устанавливать, если не спрашивают.