У петербуржца украли телефон с установленными Госуслугами, а через полтора года на него оформили кредиты на 1 млн рублей Статьи редакции
Мошенники получили доступ к его данным и оформили несколько кредитов в банках и займов в МФО.
В 2020 году у петербуржца Юрия украли iPhone, на котором были установлены Госуслуги — воры успели вывести 3 тысячи рублей со счетов одного из банков, но остальные счета удалось защитить, пишет «Фонтанка».
Юрий перевыпустил карты, сменил пароли и начал пользоваться Госуслугами на новом телефоне — но не подключил двухфакторную аутентификацию по SMS. Мошенники смогли воспользоваться уязвимостью сервиса — так называемым «вечным токеном».
Как поясняет издание, после ввода пароля и логина при первом заходе в Госуслуги устройству выдаётся персонализированный токен, который позволяет в дальнейшем быстро заходить в учётную запись. А после кражи Юрий не отвязал телефон от сервиса.
Как мошенники украли деньги
В июне 2021 года Юрия «выкинуло» из учётной записи на смартфоне. Он успел зайти в профиль на компьютере и увидел, что его данные изменены, а затем его выкинуло и из сайта — и больше он не смог зайти в неё ни с одного устройства.
«Видимо, мой смартфон какое-то время ходил по рукам, пока не попал к профессионалам, которые запустили Госуслуги: токен в них оставался валидным, и система его приняла», — заявил он.
26 июня мошенники оформили от имени Юрия кредитную карту в «Сбербанке» и вывели с нее 420 тысяч рублей на карту банка ПСБ. А ещё взяли несколько займов по 30 тысяч рублей в микрофинансовых организациях. Также они позвонили в «Мегафон», который обслуживал Юрия, и сменили контактный номер — на него были завязаны банки и коды подтверждения.
После этого Юрий обратился в полицию, а после открытия уголовного дела в июле получил рассылку о кредитах от «Газпромбанка», в котором у него не было счетов. В отделении банка он узнал, что на его имя выдали дебетовую карту человеку, у которого был паспорт со всеми данными Юрия — но с чужим фото. Карта была нужна для вывода 420 тысяч рублей — их сняли в одном из банкоматов. Юрий получил все выписки и написал в банк заявление о мошенничестве.
Юрий обратился в «Объединенное кредитное бюро» и получил выписку по своей кредитной истории, связанной со старым паспортом. Выяснилось, что 28 июня он якобы получил в «Совкомбанке» кредит наличными на 600 тысяч рублей и кредитку с лимитом в 30 тысяч рублей. Таким образом, ущерб составил больше 1 млн рублей.
В «Совкомбанке» выяснили, что для оформления кредита не понадобился даже поддельный паспорт — его получали удалённо с помощью электронно-цифровой подписи. Подпись выдали по данным об ИНН и СНИЛС, доступным из Госуслуг. Отозвать её можно только в том центре, где её выдали, а информация есть у банка и Госуслуг — Юрий направил соотвествующие запросы, но ответа не получил.
14 июля две микрофинансовые организации ответили на обращения Юрия и признали недействительными два кредита на 30 тысяч рублей. Как отмечает «Фонтанка» вопрос с банками придётся решать через суды.
Сейчас идет расследование дела, а сам Юрий признан потерпевшим. При этом теперь он боится использовать любые цифровые приложения и где-либо «светить» свой новый паспорт. Он, в частности, не хочет верифицировать свои данные в МФЦ, так как тогда они окажутся на Госуслугах.
В «Сбербанке» «Фонтанке» рассказали, что по ситуации проводится проверка, о результатах которой банк не имеет права сообщать третьим лицам. Такой же ответ дали и в Минцифры. В «Мегафоне» вернули прежний номер и проверили всю историю обращений.
Как говорит наш дорогой Шеф -если человек идиот, то это надолго. Нет, реально, как можно было так лохануться, как этот Юрий - я не понимаю. Уж как минимум все пароли, в том числе и на Госуслугах, можно было сменить после кражи телефона.
Вы бы статью внимательнее почитали бы. Ну или Шефу почитать дали.
Я прочитал. Четко написано: не подключал идентификацию, не отвязал от потерянного телефона Госуслуги - причины заикаться про "если человек..." наличествуют.
Вот эта фраза четко показывает, что вы не знаете, что такое токен. Потому что никакой пароль тут не причем и никто его не подбирал.
Если что, токены (должны по-хорошему) инвалидироваться при смене пароля
Ну или как минимум должна сразу предлагаться такая возможность. Ибо когда всё в порядке и нет угрозы, совсем не многим приходит в голову поменять пароль, так что если меняет - стоит подсказать человеку где есть потенциальная опасность.
Не обязательно. По хорошему, телефон надо паролить, а токен как раз и придуман для того, чтобы не мучаться с паролями.
Ну и в кабинете надо иметь список авторизированных устройств с возможностью их отключения. Кстати, в альфа-банке это уже реализовали.
Лол. Приписка про альфу явно лишняя. Даже в соцсетках это уже лет 10. Так что в банках это должно быть на стадии первого релиза ещё, а не "уже"
Вчера ради интереса пытался найти такой пункт у райфайзена и тинька и чёт не нашёл...
Ну, значит они еще медленнее/тупее.
Но, уверен, в любом банке можно через ТП этот вопрос решить.
Хз, не пробовал...
На райф мне пофигу, а вот @Тинькофф надо позвать, может подскажут по поводу планов реализации такой штуки.
Через поддержку можно сбросить устройства. Возможно реализуем такой функционал и в нашем приложении.
Воу-воу! На сайте, а не в приложении. Когда теряешь телефон, то гораздо проще попасть на сайт с какого-либо устройства, а не найти куда поставить приложение.
Если будем реализовывать, то сразу в ЛК и приложении, скорее всего)
То есть мошенник получивший доступ к телефону быстренько блочит все остальные точки входа владельца, и вуаля... Красиво. Только через сайт или при личном обращении. Так же стоит смену телефона тоже только при личном обращении фиксировать
Прежде чем вводить подобный функционал, все нужно обдумать со всех сторон. Номер телефона у нас можно поменять и так только при личном обращении.
Как попасть в веб-банк, если телефон утерян и смс не придет?)
А в новое приложение как? Оно точно так же просит смс при первом входе.
Идти к оператору, восстанавливать симку, после этого заходить.
Х.з. как там, у меня хватает мозгов не пользоваться банковскими приложениями на мобиле
При чем тут соцсетки? Да, в телеграмме тоже есть, в гмайл тоже.
А в банковских приложениях это только появляется.
Соцсетки тут при том, что технология публичная, и функции кочуют от одного приложения в другое.
В этом и минус, что только появляется. Но, уверен, через ТП можно разлогинится везде в любом случае.
Кочует только ковид. А функции, да еще в банковских приложениях, надо реализовывать и внедрять в каждое приложение руками.
Но, уверен, через ТП можно разлогинится везде в любом случае.Недавно был такой случай на vc, когда человек через ТП разлогинился отовсюду, а через неделю получил кредит и все такое.
Вы, судя по всему, не знаете даже кого кому цитируете, не до токенов вообще... Будьте внимательнее.
Да, я не эксперт по кибербезопасности, но очевидно что человек не сделал и банального. И какой бы там токен ни был, думаю, отвязать сервис от телефона вполне себе можно - токен облегчает вход, но не делает его постоянным и дырявым для любого, кто телефон в руки взял.
Прошу прощения, не заметил, что люди разные.
В целом, мысли вы высказываете схожие, поэтому мне кажется, что вы оба смотрите не совсем в ту сторону. Нужно защищать токены. Либо храниь их на одном аппаратном токене, либо надежно паролить телефон.
Комментарий недоступен
Возможно, у вас есть инсайдерская информация. Я обращаюсь непосредственно к тексту.
Комментарий недоступен
Откуда инсайд?) Рефреш токен вполне может жить и больше года.
Дело в другом. Он за пол года не отвязал учетку облака?
Вопрос: Зачем брать эпл, где всё завязано на облаке? Даже банальная работа устройства не возможна без айклауда. Тем более файндфон есть. Просто шляпное какое-то оправдание человека на которого повесили море кредитов. Не удивлюсь если с подельниками пришли к такой схеме и вскоре их раскроют.
Мне кажется оправдываться перед виктимблеймером нет смысла
Так в том то дело што сильно это дело фуфлом по пахивает??? С чего это вдруг паспорт менять если айпонт украли??? Наводит на мысль што сам всё и замутил а теперь концы в воду я не я и не что не знаю
Шеф в отпуске, думаю парень должен перечитать внимательно, комментарий по анонсу написал))
А причем тут его шеф?
+1000.