У петербуржца украли телефон с установленными Госуслугами, а через полтора года на него оформили кредиты на 1 млн рублей Статьи редакции
Мошенники получили доступ к его данным и оформили несколько кредитов в банках и займов в МФО.
В 2020 году у петербуржца Юрия украли iPhone, на котором были установлены Госуслуги — воры успели вывести 3 тысячи рублей со счетов одного из банков, но остальные счета удалось защитить, пишет «Фонтанка».
Юрий перевыпустил карты, сменил пароли и начал пользоваться Госуслугами на новом телефоне — но не подключил двухфакторную аутентификацию по SMS. Мошенники смогли воспользоваться уязвимостью сервиса — так называемым «вечным токеном».
Как поясняет издание, после ввода пароля и логина при первом заходе в Госуслуги устройству выдаётся персонализированный токен, который позволяет в дальнейшем быстро заходить в учётную запись. А после кражи Юрий не отвязал телефон от сервиса.
Как мошенники украли деньги
В июне 2021 года Юрия «выкинуло» из учётной записи на смартфоне. Он успел зайти в профиль на компьютере и увидел, что его данные изменены, а затем его выкинуло и из сайта — и больше он не смог зайти в неё ни с одного устройства.
«Видимо, мой смартфон какое-то время ходил по рукам, пока не попал к профессионалам, которые запустили Госуслуги: токен в них оставался валидным, и система его приняла», — заявил он.
26 июня мошенники оформили от имени Юрия кредитную карту в «Сбербанке» и вывели с нее 420 тысяч рублей на карту банка ПСБ. А ещё взяли несколько займов по 30 тысяч рублей в микрофинансовых организациях. Также они позвонили в «Мегафон», который обслуживал Юрия, и сменили контактный номер — на него были завязаны банки и коды подтверждения.
После этого Юрий обратился в полицию, а после открытия уголовного дела в июле получил рассылку о кредитах от «Газпромбанка», в котором у него не было счетов. В отделении банка он узнал, что на его имя выдали дебетовую карту человеку, у которого был паспорт со всеми данными Юрия — но с чужим фото. Карта была нужна для вывода 420 тысяч рублей — их сняли в одном из банкоматов. Юрий получил все выписки и написал в банк заявление о мошенничестве.
Юрий обратился в «Объединенное кредитное бюро» и получил выписку по своей кредитной истории, связанной со старым паспортом. Выяснилось, что 28 июня он якобы получил в «Совкомбанке» кредит наличными на 600 тысяч рублей и кредитку с лимитом в 30 тысяч рублей. Таким образом, ущерб составил больше 1 млн рублей.
В «Совкомбанке» выяснили, что для оформления кредита не понадобился даже поддельный паспорт — его получали удалённо с помощью электронно-цифровой подписи. Подпись выдали по данным об ИНН и СНИЛС, доступным из Госуслуг. Отозвать её можно только в том центре, где её выдали, а информация есть у банка и Госуслуг — Юрий направил соотвествующие запросы, но ответа не получил.
14 июля две микрофинансовые организации ответили на обращения Юрия и признали недействительными два кредита на 30 тысяч рублей. Как отмечает «Фонтанка» вопрос с банками придётся решать через суды.
Сейчас идет расследование дела, а сам Юрий признан потерпевшим. При этом теперь он боится использовать любые цифровые приложения и где-либо «светить» свой новый паспорт. Он, в частности, не хочет верифицировать свои данные в МФЦ, так как тогда они окажутся на Госуслугах.
В «Сбербанке» «Фонтанке» рассказали, что по ситуации проводится проверка, о результатах которой банк не имеет права сообщать третьим лицам. Такой же ответ дали и в Минцифры. В «Мегафоне» вернули прежний номер и проверили всю историю обращений.
Мое лично мнение, что все эти возможности упрощенного удаленного кредита надо пересмотреть везде кардинально. На всех уровнях. Да, иногда неудобно идти в банк за мелким кредитом. Но лично мне было бы спокойно, если понимаешь, что только личным визитом под камерами с паспортом можно оформить кредит. Еще сто раз подумаешь пока идешь, а нужен ли?
Согласен. Хотя бы добавили возможность писать некое заявление что ты запрещаешь получать кредиты онлайн и проблема решена.
Нельзя написать заявление, я хотела в Сбербанке запретить кредит онлайн, но оказывается, что они это не делают. Банк заинтересован повесить на людей, которые способны платить , чужие кредиты. Это такая система зарабатывания денег банками.
Аналогично! Хотела написать заявление, с запретом выдачи любых кредитов на моё имя. Нет у них такой услуги!
А потом писать заявление, что разрешашь можно?
Если необходимо, то писать еще раз. Я лучше схожу и напишу, чем проснусь и должен буду единичку. У нас ведь как, даже если установят что деньги брал не ты, должен все равно будет ты.
А если установят, что деньги брал не ты, а ты заявление на запрет писал - кто у вас должен будет?
https://www.rbc.ru/finances/11/05/2021/60951aed9a794778a37d2fe8
Супер. Теперь владельцу телефона с госуслугами надо будет подождать не полтора года, а полтора года и 7 дней.
Очевидно же, что это борьба со следствием, а не с причиной. Сначала делегируют право сотням коммерческих живопырок (т.н. "удостоверяющие центры") с минимальным контролем выдавать электронный аналог собственноручной подписи на имя любого гражданина РФ, создавая тем самым огромную дыру, а потом начинают затыкать эту дыру чем? Нет, не ужесточением законодательства (и практики), связанного с удостоверяющими центрами, а заглушкой дальше на той же трубе. А потом еще одной. И еще.
В том то и дело, что заявления на запрет выдачи кредитов на твоё имя, в банке не принимаются! Я пыталась, нет
В МФЦ, под личную подпись с видеофиксацией присутствия - почему бы нет?
Паспорт со своей фотографией приносить?
Себя с паспортом приносить.
Так не интересно, так каждый дурак может.
Мне интересно как сбер дал такую сумму! Они не законно снимают биометрию, якобы чтоб мошенники не могли воспользоваться вашей картой и т.д. и т.п.
Я брал кредит онлайн у сберба и тиньки, меня зае...ли везде, с.ка я весь день бегал к сберу и домой 8 раз за день, чтоб получить 600к, тинек зае.ал звонками, чуть ли не анализы калла надо было сдать, а тут просто дали мошенникам. Значит банки в доле с ними!
Вообще кредиты. Любые. Отказаться от кредитов пожизненно, пока не отменишь запрет.
А потом прикрутят возможность подать и отменить это заявление через госуслуги с ЭЦП и всё вернётся почти к тому, что имеем )
Потому что банки - то как обычно не при делах, рафик невинуин(и БД не сливают и инсайдеров-мошенников у них, да - да)