Корсун: Шахрайські "кредити через Дію" - повертаються

Версия для печати

"Breaking news.

Пам’ятаєте часи «кредитів через Дію», коли шахраї оформлювали на жертву кредити без її відома?

Так от, ті часи повертаються. Я думав, що цього вже не буде. Але зебіли, які зробили та запустили Дію – все ще при владі, і продовжують чіплятися за неї зубами та кігтями. Тому поставки старих та нових проблем для користувачів Дії - відновлено. Як і очікувалося.

Суть історії проста: вночі пані Viktoriia (Sasha) Aleksandrova помітила, що до її акаунту в Дію приєднався новий пристрій, який почав подавати заявки на кредити в одному сумновідомому угорському банку.

Пізніше з’ясувалося, що шахраї створили їй акаунт у цьому банку і через нього авторизувалися у Дії. А далі вже почали швидко подавати заявки на інші кредити.

Пані одразу звернулася до техпідтримки Дії (ага, у Телеграмі, а де ж ще?).

Спочатку їй порадили видалити «лівий» пристрій. Але він чомусь не видалявся.

Тим часом кількість кредитів стрімко зростала.

А техпідтримка Дії тим часом повністю відморозилася.

Проблеми індіанців вождя не колишуть.

Не знаю, чи вирішилася вже проблема пані Вікторії, але для більшості попередніх жертв (про кілька подібних випадків я писав у 2021-2022 роках) – все завершилося погано.

Крім самої першої, «іміджевої» жертви, коли зусиллями особисто Федорова, Кіберполіції та СБУ ситуацію було вирішено «вручну».

А сьогодні сталося насправді те, про що ми з колегами писали ще на початку лютого 2022 року: реалізувався головний дефект архітектури Дії «розмежування інструментів ідентифікації за рівнями довіри.»

Це коли ти свою відповідальність перекладаєш на іншого, простіше кажучи.

Державний сервіс електронних документів повинен був мати власну систему ідентифікації – супер-надійну, супер-безпечну, з найвищим ступенем довіри.

Замість цього жижиталізатори переклали відповідальність за ідентифікацію громадян - на банківську систему з її власною системою ідентифікації.

Яка непогана, але нижчого рівня, з меншим ступенем довіри.

Тому що банки, у разі чого, ризикують лише власними грошима, а фінансові ризики були закладені при побудові системи й покриваються з передбачених для таких випадків фондів. Забезпечення реалізації функцій офіційної державної ідентифікації у цю систему не закладалося, як і відповідних ризиків зловживань та витоку персональних даних.

А це вже не матеріальні інтереси, а національні, національної безпеки, які банки не могли і не повинні були закладати та упереджувати.

Як на мене, Дію треба просто заборонити – на час перевірки незалежною міжнародною комісією ступеню її небезпечності для суспільства.

Якщо ти дозволив хлопчикам погратися з небезпечними іграшками – май мужність якнайшвидше визнати свою помилку, щоб вона не призвела до ще більш руйнівних наслідків. Якщо злочинці змогли зайти в Дію жертви через один банк – зможуть і через інші. Тому що помилковий принцип – залишається незмінним. 

І ліві кредити можуть тепер виявитися у багатьох громадян.

Ще простіше: Дія у її поточному вигляді – це Велика Помилка.

І даний випадок – це живий цьому доказ.

P.S.: Знаючи якими брудними методами «дієві» намагаються приховати інформацію про свої косяки, скоріш за все допис пані Вікторії скоро зникне, тому одразу викладаю його веб-архів.

Скріншоти тут."

Автор: Костянтин Корсун, експерт з кібербезпеки. У 2000-2005 заступник керівника відділу боротьби з комп’ютерною злочинністю при Департаменті контррозвідки СБУ. Засновник та перший керівник CERT-UA. Колишній директор та співзасновник української кібер-компанії; сторінка автора у Фейсбук

«Аргумент»

На цю тему:

• Костянтин Корсун: Кібервійна - наслідки для України та росії
• Корсун: Стратегії влади «роль кібербезпеки перебільшена» виповнилося 5 років
• Костянтин Корсун: Уряд Канади закриває Тік-Ток через національну безпеку. Уряд України не закриває Телеграм, "бо пох..."
• Чому у очільника Мінцифри Федорова забрали "Армію дронів"
• Костянтин Корсун: Чому майже тиждень не працює державна система електронного документообігу