Навесні 2021 року українці почали надзвонювати колектори. Виявилося, на неї оформили шахрайський кредит з використанням програми «Дія». Людмила зверталася в усі інстанції: в компанії «Мілоан», яка видала кредит, стверджували, що все законно, а в НБУ відповіли, що випадок – не в їх компетенції. У службі підтримки «Дія» запевнили, що взяти кредит через додаток неможливо, воно надійно захищене – і почали розгляд. Близько двох тижнів тому дзвінки колекторів припинилися.
Як шахраї отримали доступ до документів жінки, чим закінчилася ця історія і як убезпечити себе від шахраїв – розбиралася редактор AIN.UA.
Що трапилося
Свою історію Людмила переказала в розмові з редактором AIN.UA. Все почалося з того, що їй зламали електронну пошту на ukr.net. Жінка відразу звернула на це увагу і поміняла всі паролі. Однак виявилося, що це – не найстрашніше: шахраї отримали доступ до номера її телефону, до якого була прив’язана зарплатна картка «Альфа-банку». Тут почалися проблеми.
Спочатку шахраї спробували взяти на жінку кредит в «Альфа-банку», але банк не схвалив заявку. Тоді на Людмилу оформили карту monobank і отримали кредит вже на неї. Людмила звернулася в службу підтримки банку, кредит визнали шахрайським і без зайвих проблем закрили. Але через якийсь час жінку почали діставати колектори кредитної організації «Мілоан». Виявилося, що шахраї взяли на Людмилу кредит. І хоча сама сума була невелика – всього 2700 грн, відсотки по ньому набігли значні. Сума заборгованості склала майже 12 000 грн.
Людмила спробувала переконати «Мілоан» в тому, що кредит вона не брала, але компанія наполягала на виплаті. В офіційному листі Людмилі повідомили, що авторизація особистості позичальника здійснювалася через додаток «Дія» з дотриманням всіх запобіжних заходів, а договір підписаний з використанням КЕП «Дія». Нагадаємо, «Дія.Підпіс» можна оформити тільки з верифікацією за селфі в реальному часі – шахраї не могли б отримати ключ без допомоги самої Людмили.
Жінка звернулася в службу підтримки «Дія», але отримала стандартну відповідь про те, що додаток добре захищений і отримати кредит з його допомогою неможливо. Тоді вона написала звернення до НБУ, на яке у відомстві відповіли, що даний кейс взагалі не входить до переліку його повноважень.
Людмила написала заяву до кіберполіції. Що ще зробити, щоб зняти з себе кредит, вона не знала. Тим часом колектори надзвонювали її чоловікові, батькам і вимагали повернути борг.
Кейс отримав громадський резонанс завдяки публікації екс-глави CERT-UA Костянтина Корсуна. У своєму пості на Facebook він коротко описав проблему Людмили і розкритикував реакцію компетентних органів, задіяних в інциденті:
«Все держслужбовці начебто «розбираються», але питання залишається невирішеним, зате колектори продовжують вимагати повернути неіснуючий кредит. На законних – підкреслюю – підставах. НБУ, замість допомоги, чемно повідомляє постраждалій, що загальна сума заборгованості станом на 07.06.2021 становить 11 677,50 грн, з яких: 2 430,00 грн – тіло кредиту; 9 247,50 – відсотки, нараховані за користування кредитом, – написав Корсун.
(…) І навіть якщо цей поки єдиний випадок зможуть якось запам’ятати – що буде, коли шахраї поставлять процес на автоматизований потік і таких випадків стане по тисячі в день? Весь чиновницький апарат просто фізично не зможе з цим впоратися, навіть якщо захоче».
Винна кредитна компанія
У Мінцифрі AIN.UA повідомили, що одразу після звернення Людмили в службу підтримки, ініціювали внутрішнє розслідування даного випадку. І хоча перша відповідь, яка надійшла жінці, більше схожа на формальну відписку, представники відомства потім неодноразово намагалися зв’язатися з нею по телефону і в Facebook, але повідомлення і пропущені дзвінки Людмила побачила тільки в день написання статті – коли заглянула в папку «Запити на переписку» на прохання редактора AIN.UA.
У Мінцифрі повідомили, що кредит Людмилі «видали» з грубими порушеннями з боку «Мілоан». Його вже закрили – жінка більше нічого не винна компанії. Більш того, Мінціфра відключила від «Дія» все мікрофінансові організації – щоб такі випадки не повторювалися.
«При розгляді звернення громадянки, яка постраждала від шахрайських дій, Департаментом кіберполіції ініційовано відкриття кримінального провадження за ст. 190 КК (шахрайство). Фінансова установа «Тенґо» припинила дзвінки до заявниці та закрила кредитне зобов’язання. Також вивантажуються дані про створення заявки на кредит з метою ідентифікації причетних осіб», – повідомили AIN.UA в Мінціфри.
У відомстві також склали докладні роз’яснення того, як цей кейс взагалі став можливим.
Як шахраї взяли кредит через «Дія»
«Дія» спроектована таким чином, що цифровий паспорт громадянина не може бути використаний без його волі. Але якщо працівник банку або МФО вирішить надати кредит з грубим порушенням чинного законодавства, він зробить це як з «Дія», так і з копіями паперових документів. За такі дії передбачена жорстка відповідальність, проте вони відбуваються в Україні регулярно.
У випадку з Людмилою, алгоритм шахрайських дій був таким:
- Спочатку вкрали її телефонний номер.
- Отримали доступ до її банківського аккаунту, підтвердивши вхід з особистої пошти.
- Далі за допомогою скомпрометованого доступу до BankID авторизувалися в «Дія».
«Але і така серія крадіжок ідентичності і «зломів» не могла б завершитися отриманням кредиту за допомогою цифрового паспорта, якби фінансова установа грубо не порушила правила, встановлені НБУ. У правилах цієї фінустанови зазначено підтвердження особи людини за допомогою фото, чого, очевидно, не було зроблено», – підкреслюють в Мінцифрі.
Редакція AIN.UA намагалась зв’язатися з компанією «Мілоан» і її дочірнім сервісом «Тенґо», але на момент публікації не отримала відповіді.
Як повідомили AIN.UA в Мінцифри, відразу після цього випадку ще в квітні міністерство від’єднало всі кредитні установи від «Дія» та звернулося до НБУ з проханням здійснити позапланову перевірку таких закладів з наданням підтвердження їх порушень.
«На жаль, сьогодні ще відбуваються тисячі подібних кейсів з копіями паперових документів. За такими документами відстежити дії шахраїв майже неможливо – на відміну від цифрових, коли кожна транзакція зберігається і доступна користувачу », – відзначають в Мінцифри.
Як українцям захиститися від шахраїв
За даними мобільних операторів, стало більше видів шахрайства, які використовують мобільний номер телефону абонента. Як це відбувається? Шахраї отримують доступ до номерів через послугу дистанційної заміни SIM-карти. Свій номер можна захистити, якщо встановити певні обмеження на це. Інструкції можна знайти на сайті оператора або на AIN.UA.
«Не вірте, коли вам кажуть, що ви перемогли в акції, в якій навіть не брали участь. Не переводьте нікому грошей – близька людина вам подзвонить, а не писатиме SMS. Не переходьте за посиланнями – там може бути шкідливе програмне забезпечення. Відразу звертайтеся до свого оператора і перевіряйте дзвінки і SMS, які викликають у вас підозру. Не забувайте про елементарні правила кібергігіени, щоб уберегти себе і своїх рідних від шахраїв », – рекомендують в Мінцифрі.
