У петербуржца украли телефон с установленными Госуслугами, а через полтора года на него оформили кредиты на 1 млн рублей Статьи редакции
Мошенники получили доступ к его данным и оформили несколько кредитов в банках и займов в МФО.
В 2020 году у петербуржца Юрия украли iPhone, на котором были установлены Госуслуги — воры успели вывести 3 тысячи рублей со счетов одного из банков, но остальные счета удалось защитить, пишет «Фонтанка».
Юрий перевыпустил карты, сменил пароли и начал пользоваться Госуслугами на новом телефоне — но не подключил двухфакторную аутентификацию по SMS. Мошенники смогли воспользоваться уязвимостью сервиса — так называемым «вечным токеном».
Как поясняет издание, после ввода пароля и логина при первом заходе в Госуслуги устройству выдаётся персонализированный токен, который позволяет в дальнейшем быстро заходить в учётную запись. А после кражи Юрий не отвязал телефон от сервиса.
Как мошенники украли деньги
В июне 2021 года Юрия «выкинуло» из учётной записи на смартфоне. Он успел зайти в профиль на компьютере и увидел, что его данные изменены, а затем его выкинуло и из сайта — и больше он не смог зайти в неё ни с одного устройства.
«Видимо, мой смартфон какое-то время ходил по рукам, пока не попал к профессионалам, которые запустили Госуслуги: токен в них оставался валидным, и система его приняла», — заявил он.
26 июня мошенники оформили от имени Юрия кредитную карту в «Сбербанке» и вывели с нее 420 тысяч рублей на карту банка ПСБ. А ещё взяли несколько займов по 30 тысяч рублей в микрофинансовых организациях. Также они позвонили в «Мегафон», который обслуживал Юрия, и сменили контактный номер — на него были завязаны банки и коды подтверждения.
После этого Юрий обратился в полицию, а после открытия уголовного дела в июле получил рассылку о кредитах от «Газпромбанка», в котором у него не было счетов. В отделении банка он узнал, что на его имя выдали дебетовую карту человеку, у которого был паспорт со всеми данными Юрия — но с чужим фото. Карта была нужна для вывода 420 тысяч рублей — их сняли в одном из банкоматов. Юрий получил все выписки и написал в банк заявление о мошенничестве.
Юрий обратился в «Объединенное кредитное бюро» и получил выписку по своей кредитной истории, связанной со старым паспортом. Выяснилось, что 28 июня он якобы получил в «Совкомбанке» кредит наличными на 600 тысяч рублей и кредитку с лимитом в 30 тысяч рублей. Таким образом, ущерб составил больше 1 млн рублей.
В «Совкомбанке» выяснили, что для оформления кредита не понадобился даже поддельный паспорт — его получали удалённо с помощью электронно-цифровой подписи. Подпись выдали по данным об ИНН и СНИЛС, доступным из Госуслуг. Отозвать её можно только в том центре, где её выдали, а информация есть у банка и Госуслуг — Юрий направил соотвествующие запросы, но ответа не получил.
14 июля две микрофинансовые организации ответили на обращения Юрия и признали недействительными два кредита на 30 тысяч рублей. Как отмечает «Фонтанка» вопрос с банками придётся решать через суды.
Сейчас идет расследование дела, а сам Юрий признан потерпевшим. При этом теперь он боится использовать любые цифровые приложения и где-либо «светить» свой новый паспорт. Он, в частности, не хочет верифицировать свои данные в МФЦ, так как тогда они окажутся на Госуслугах.
В «Сбербанке» «Фонтанке» рассказали, что по ситуации проводится проверка, о результатах которой банк не имеет права сообщать третьим лицам. Такой же ответ дали и в Минцифры. В «Мегафоне» вернули прежний номер и проверили всю историю обращений.
Кто-нибудь знает где почитать про сравнительную защищенность для случаев утери девайса для последних айфонов и популярных андроидов?
Хочется знать, какой телефон максимально безопасен при утере.
Да нет разницы особой. Каких-то специфичных уязвимостей нет. Главное, чтобы на симке был пинкод и на телефоне какая-то защита (пинкод, отпечаток, морда, сетчатка глаза, днк...).
Вот как раз хотелось бы быть уверенным в том, что "какую-то защиту" не снимут через подключение по кабелю в первом попавшемся подвальном сервисе и, допустим, моя история телеграмма не утечет куда-то.
В идеале, хочется уверенности, что если телефон залочен, то данные с него не снять (если вы не АНБ).
Смотрите, тут штука такая. От "первого попавшегося" негодяя с кабелем защита есть на уровне системы - полное шифрование накопителя + вот эти все FaceID/TouchID. Если всё это добро работает как задумано - то надёжность достаточно высокая.
А дальше начинаются тысячи "но". Начиная от реализации распознавания лица на дешманских телефонах, которым можно тупо фото подсунуть, через восстановление паттерна пин-кода по отпечаткам на экране вплоть до кривых оболочек, которые разблокируют телефон при входящем звонке так, что можно перебраться в раздел SMS (история уже несколько лет неактуальна, но была). Таких мелких дыр больше на Андроидах, причём чем дешевле девайс и страннее производитель - тем больше шансов.
И поверх всего этого - постоянный поиск разными людьми уязвимостей в ОС, самых натуральных багов, которые позволяют пробиться сквозь защиту. Это уже коммерческие инструменты для взлома (Cellebrite, Pegasus), не для каждого подвала, но они есть. Тут - полный рандом по платформам: сегодня дыру откроют тут, завтра - там.
Вот именно про это я как раз и спрашиваю - какую мобилу взять, чтобы быть уверенным, что ее не вскроют в ближайшем сервисе?
Комментарий удален модератором
Гугл "как включить шифрование телефона ваша_модель"
шаришь