У петербуржца украли телефон с установленными Госуслугами, а через полтора года на него оформили кредиты на 1 млн рублей Статьи редакции
Мошенники получили доступ к его данным и оформили несколько кредитов в банках и займов в МФО.
В 2020 году у петербуржца Юрия украли iPhone, на котором были установлены Госуслуги — воры успели вывести 3 тысячи рублей со счетов одного из банков, но остальные счета удалось защитить, пишет «Фонтанка».
Юрий перевыпустил карты, сменил пароли и начал пользоваться Госуслугами на новом телефоне — но не подключил двухфакторную аутентификацию по SMS. Мошенники смогли воспользоваться уязвимостью сервиса — так называемым «вечным токеном».
Как поясняет издание, после ввода пароля и логина при первом заходе в Госуслуги устройству выдаётся персонализированный токен, который позволяет в дальнейшем быстро заходить в учётную запись. А после кражи Юрий не отвязал телефон от сервиса.
Как мошенники украли деньги
В июне 2021 года Юрия «выкинуло» из учётной записи на смартфоне. Он успел зайти в профиль на компьютере и увидел, что его данные изменены, а затем его выкинуло и из сайта — и больше он не смог зайти в неё ни с одного устройства.
«Видимо, мой смартфон какое-то время ходил по рукам, пока не попал к профессионалам, которые запустили Госуслуги: токен в них оставался валидным, и система его приняла», — заявил он.
26 июня мошенники оформили от имени Юрия кредитную карту в «Сбербанке» и вывели с нее 420 тысяч рублей на карту банка ПСБ. А ещё взяли несколько займов по 30 тысяч рублей в микрофинансовых организациях. Также они позвонили в «Мегафон», который обслуживал Юрия, и сменили контактный номер — на него были завязаны банки и коды подтверждения.
После этого Юрий обратился в полицию, а после открытия уголовного дела в июле получил рассылку о кредитах от «Газпромбанка», в котором у него не было счетов. В отделении банка он узнал, что на его имя выдали дебетовую карту человеку, у которого был паспорт со всеми данными Юрия — но с чужим фото. Карта была нужна для вывода 420 тысяч рублей — их сняли в одном из банкоматов. Юрий получил все выписки и написал в банк заявление о мошенничестве.
Юрий обратился в «Объединенное кредитное бюро» и получил выписку по своей кредитной истории, связанной со старым паспортом. Выяснилось, что 28 июня он якобы получил в «Совкомбанке» кредит наличными на 600 тысяч рублей и кредитку с лимитом в 30 тысяч рублей. Таким образом, ущерб составил больше 1 млн рублей.
В «Совкомбанке» выяснили, что для оформления кредита не понадобился даже поддельный паспорт — его получали удалённо с помощью электронно-цифровой подписи. Подпись выдали по данным об ИНН и СНИЛС, доступным из Госуслуг. Отозвать её можно только в том центре, где её выдали, а информация есть у банка и Госуслуг — Юрий направил соотвествующие запросы, но ответа не получил.
14 июля две микрофинансовые организации ответили на обращения Юрия и признали недействительными два кредита на 30 тысяч рублей. Как отмечает «Фонтанка» вопрос с банками придётся решать через суды.
Сейчас идет расследование дела, а сам Юрий признан потерпевшим. При этом теперь он боится использовать любые цифровые приложения и где-либо «светить» свой новый паспорт. Он, в частности, не хочет верифицировать свои данные в МФЦ, так как тогда они окажутся на Госуслугах.
В «Сбербанке» «Фонтанке» рассказали, что по ситуации проводится проверка, о результатах которой банк не имеет права сообщать третьим лицам. Такой же ответ дали и в Минцифры. В «Мегафоне» вернули прежний номер и проверили всю историю обращений.
Удивлен массовому хейту.
Довольно обычный человек, вполне обычная история. Более того - потерпевший имеет скиллы несколько выше среднего.
И он попал на кражу его личности - лет пятьдесят не всякий фантаст додумался бы до этого сюжета.
——
Проблемой нужно заниматься системно, нужен надбанковский уровень контроля.
Недавний пример выдачи Сбербанком номеров карт (да, последних четырех цифр) и балансов по всем картам и вкладам вам ни на что не намекает?
Банки в погоне за клиентом неспециально или специально пренебрегают безопасностью. Потому что безопасность мешает зарабатывать деньги, а убытки отдельных пострадавших - это всего лишь статистика.
Я считаю, что нужна отдельная служба с полномочиями блокировать любой функционал удаленного взаимодействия, если он содержит серьезные дыры.
А если банк не согласен - пожалте в специализированный суд, обжаловать действия регулятора.
Иначе с каждым годом все будет хуже и хуже.
Для начала, я считаю, нужно ломать банки через коленку, и запрещать удаленное взаимодействие по умолчанию (!!). Кто хочет открыть - идет первый раз ножками в МФЦ и разрешает. И может в любой момент опять запретить.
Речь не только про кредиты, но и про любое удаленное взаимодействие с банками.
И разрешать в разрезе отдельных продуктов - скажем, чтобы можно было управление дебетовым счетом карты разрешить, а кредиты и вклады - только лично в офисе.
Камон, какие скилы нужны, чтобы установить на айфоне хотя бы одно средство блокировки или чтобы заблокировать украденный айфон?! Apple лезет со своей защитой всюду, это надо быть сказочным чудаком, чтобы игнорировать все эти фичи.
Естественно, никто не оправдывает тупых программеров из госуслуг или жадных банкиров, раздающих кредиты без регистрации и смс. Но на дворе 21й год, любой школьник понимает, что телефон сегодня - это ключ от твоей задницы и что надо с ним аккуратнее обращаться. вы же ключ от квартиры не кладете под ковриком... надеюсь.
Комментарий недоступен
Здесь есть только два пути:
1. Ты покупаешь кнопочный телефон, вместо госуслуг ходишь в МФЦ, вместо онлайн-банкинга идёшь в сбер за талончиком, интернет только вечером дома на компьютере.
2. Ты выходишь из анабиоза, вспоминаешь какой на дворе год, включаешь мозги, интересуешься хотя бы минимум информационной безопасности персональных данных и пользуешься тем, что облегчает тебе жизнь, не забывая что ты находишься на войне и никакой товарищ майор о тебе не позаботится кроме тебя самого.
Третьего пути нет и не может быть! Заставить всех стать правильными невозможно, вацап будут и дальше взламывать, госконторские разрабы будут и дальше выпускать вечные токены, значит надо самому думать о своей безопасности либо не пользоваться современными средствами.
Проблема в том, что "продвинутых" пользователей всегда единицы процентов.
Жулье, положим, надо изводить системными методами, а не по принципу "каждый за себя".
P.S. Увы, многие из людей, кичащихся своей грамотностью, при ректотермальных способах расспросов смогли бы вспомнить случаи, когда они тоже оказывались идиотами.
Как говорил М.Кацнельсон, "Временами все мы бываем идиотами. Вопрос в пропорции времени".
Ну что-то вы все в кучу свалили, и терморектальные методы, и методы борьбы с жуликами. Если бы чуваку вставили паяльник в жопу и он выдал свой пинкод от телефона или снял блокировку по FaceId, это понятно, но тут совсем другой случай, субъект вообще не ставил никакой защиты.
Вы можете обзащищать свой телефон, но это не помешает кому то кому известны ваши фио, дата рождения и номер паспорта взять на вас кредит до 15тр. Последствия для вас будут в виде хождения по судам по месту регистрации мфо для признания договора незаключенным как минимум и отмену судебных приказов/общение с коллекторами/порче кредитной истории и хождения по судам как максимум.
Кажется это легенды... иначе бы охранники бизнесцентров озолотились
https://www.banki.ru/forum/?PAGE_NAME=message&FID=117&TID=333849&PAGEN_1=54#forum-message-list тут фигуранты части легенд тусуют. Я тоже в процессе разбирательств с ними. Несколько лет назад кредиты массово брали на кадастровых инженеров, данные которых в открытом доступе висели на сайте росреестра: https://geodesist.ru/threads/massovye-sluchai-oformlenija-na-kadastr-inzhenerov-kreditov-s-ispolzovaniem-nashix-personalnyx-dannyx.72057/
Пруф, что не по месту своей регистрации?
Ст 28 ГПК. ЗоПП здесь не работает, потому, что вы не клиент (вы же не заключали договор). У некоторых (тут была статья пару лет назад) прокатывает подать иск по месту жительства в связи с тем, что незаконно перс данные ответчиком используются и в прицеп к этому о признании договора не заключенным.
Регистрировал недавно квартиру в МФЦ.
Маску снять не попросили.
ДКП или ДДУ регистрировали?
Или уже собственность?
Делал рефинансирование. То есть снятие одного обременения и наложение другого.
А меня попросили, хотя я только получал готовые документы.
Комментарий недоступен
Мощный ответ!
Комментарий недоступен
Да ну? А всех, кто по нему пойдет - расстреляем как несоответствующих высоким арийским стандартам?
ну sms не единственный способ подтверждения для двухфакторки. есть еще Google Authenticator, например
Gosuslugi Authenticator
Не вижу МФЦ. Там точно будет завязка на МФЦ.
Комментарий недоступен
в России только в частных сервисах, в госуслугах такого конечно не приходится ждать
Комментарий недоступен
в тиньке подтверждение через приложение если ты онлайн и через смс если оффлайн
Комментарий недоступен
Комментарий удален модератором
Хер там.
Что в вашем понимании есть левые документы? )
Комментарий недоступен
Это называется "Госдума"
Несколько ниже.
Да даже не несколько
Лучший камент тут.