У петербуржца украли телефон с установленными Госуслугами, а через полтора года на него оформили кредиты на 1 млн рублей Статьи редакции
Мошенники получили доступ к его данным и оформили несколько кредитов в банках и займов в МФО.
В 2020 году у петербуржца Юрия украли iPhone, на котором были установлены Госуслуги — воры успели вывести 3 тысячи рублей со счетов одного из банков, но остальные счета удалось защитить, пишет «Фонтанка».
Юрий перевыпустил карты, сменил пароли и начал пользоваться Госуслугами на новом телефоне — но не подключил двухфакторную аутентификацию по SMS. Мошенники смогли воспользоваться уязвимостью сервиса — так называемым «вечным токеном».
Как поясняет издание, после ввода пароля и логина при первом заходе в Госуслуги устройству выдаётся персонализированный токен, который позволяет в дальнейшем быстро заходить в учётную запись. А после кражи Юрий не отвязал телефон от сервиса.
Как мошенники украли деньги
В июне 2021 года Юрия «выкинуло» из учётной записи на смартфоне. Он успел зайти в профиль на компьютере и увидел, что его данные изменены, а затем его выкинуло и из сайта — и больше он не смог зайти в неё ни с одного устройства.
«Видимо, мой смартфон какое-то время ходил по рукам, пока не попал к профессионалам, которые запустили Госуслуги: токен в них оставался валидным, и система его приняла», — заявил он.
26 июня мошенники оформили от имени Юрия кредитную карту в «Сбербанке» и вывели с нее 420 тысяч рублей на карту банка ПСБ. А ещё взяли несколько займов по 30 тысяч рублей в микрофинансовых организациях. Также они позвонили в «Мегафон», который обслуживал Юрия, и сменили контактный номер — на него были завязаны банки и коды подтверждения.
После этого Юрий обратился в полицию, а после открытия уголовного дела в июле получил рассылку о кредитах от «Газпромбанка», в котором у него не было счетов. В отделении банка он узнал, что на его имя выдали дебетовую карту человеку, у которого был паспорт со всеми данными Юрия — но с чужим фото. Карта была нужна для вывода 420 тысяч рублей — их сняли в одном из банкоматов. Юрий получил все выписки и написал в банк заявление о мошенничестве.
Юрий обратился в «Объединенное кредитное бюро» и получил выписку по своей кредитной истории, связанной со старым паспортом. Выяснилось, что 28 июня он якобы получил в «Совкомбанке» кредит наличными на 600 тысяч рублей и кредитку с лимитом в 30 тысяч рублей. Таким образом, ущерб составил больше 1 млн рублей.
В «Совкомбанке» выяснили, что для оформления кредита не понадобился даже поддельный паспорт — его получали удалённо с помощью электронно-цифровой подписи. Подпись выдали по данным об ИНН и СНИЛС, доступным из Госуслуг. Отозвать её можно только в том центре, где её выдали, а информация есть у банка и Госуслуг — Юрий направил соотвествующие запросы, но ответа не получил.
14 июля две микрофинансовые организации ответили на обращения Юрия и признали недействительными два кредита на 30 тысяч рублей. Как отмечает «Фонтанка» вопрос с банками придётся решать через суды.
Сейчас идет расследование дела, а сам Юрий признан потерпевшим. При этом теперь он боится использовать любые цифровые приложения и где-либо «светить» свой новый паспорт. Он, в частности, не хочет верифицировать свои данные в МФЦ, так как тогда они окажутся на Госуслугах.
В «Сбербанке» «Фонтанке» рассказали, что по ситуации проводится проверка, о результатах которой банк не имеет права сообщать третьим лицам. Такой же ответ дали и в Минцифры. В «Мегафоне» вернули прежний номер и проверили всю историю обращений.
Мое лично мнение, что все эти возможности упрощенного удаленного кредита надо пересмотреть везде кардинально. На всех уровнях. Да, иногда неудобно идти в банк за мелким кредитом. Но лично мне было бы спокойно, если понимаешь, что только личным визитом под камерами с паспортом можно оформить кредит. Еще сто раз подумаешь пока идешь, а нужен ли?
Упрощенный удаленный кредит нужно переводить только на реквизиты самого получателя кредита.
Удаленное открытие счетов должно быть изменено, чтобы нельзя было на «левый» телефон открыть счёт. Должна быть централизованная база контактов человека, которые используются при дистанционной работе, и нужно сверять данные банка с этой базой. Возможно, нужно вводить период «отлеживания» кредитных денег для того, чтобы успеть отменить неавторизованные транзакции.
Это позволит ограничить работу фэйковой личности с поддельным паспортом: человека нужно будет сначала лишить ВСЕХ доступов к банкам, что будет заметно.
Если у человека взломали госуслуги, то вся ваша проверка будет пройдена на ура. Т.к. злоумышленник поменяет этот единственнный телефон на свой
Начнём с того, что единственный телефон должен храниться в базе типа СБП, в которой телефон нельзя заменить «просто так».
Далее - период «отлеживания» кредита должен помочь «развернуть» в обратную сторону аферу мошенников, которую благодаря централизации будет проще отследить.
А пробовали посчитать сколько процентов накапает за время отлежки в масштабах экономики?
Проценты должны начисляться с момента отлёжки. И эти проценты, я думаю, сильно сопоставимы с ущербом от действия мошенников. Это должны быть расходы выдающего кредит, а не получающего - потому что именно выдающий кредит не в состоянии гарантировать чистоту сделки с точки зрения получателя. Типа - это цена вопроса при выдаче дистанционного кредита, а то мы хотим такие кредиты выдавать, расширяя охват клиентов и удешевляя процесс, а нести издержки и обеспечивать гарантии - не хотим)) надо подрегулировать.
Сейчас ставка по кредитам в пределах 10% годовых, 2-3 дня - невеликий процент.
"Это должны быть расходы выдающего кредит, а не получающего" - в реальности не бывает ничего за счёт выдающего, просто вам процент по кредиту поднимут на соответствующую величину
Проценты по кредиту зависят не от себестоимости - а от ситуации на рынке. Это справедливо для любого товара. Следовательно, не просто поднимут.
На рынке такая ситуация, что у всех себестоимость подросла. Так что просто поднимут.
Не поднимут по причине доп затрате на «отлеживание» те, кто не выдаёт дистанционные кредиты - следовательно, есть варианты
А зачем это все банкам-то делать?) и их лоббистам? Ради имиджа? Так им на него плевать(если президент на полном серьёзе про проблему коллекторов говорил, а в другой стране стране под коллекторами только откровенный криминал понимается, а не вполне офиц.организации как у нас)