У петербуржца украли телефон с установленными Госуслугами, а через полтора года на него оформили кредиты на 1 млн рублей

Аватар пользователя PapaLeto

Мошенники получили доступ к его данным и оформили несколько кредитов в банках и займов в МФО.

 

В 2020 году у петербуржца Юрия украли iPhone, на котором были установлены Госуслуги — воры успели вывести 3 тысячи рублей со счетов одного из банков, но остальные счета удалось защитить, пишет «Фонтанка».

Юрий перевыпустил карты, сменил пароли и начал пользоваться Госуслугами на новом телефоне — но не подключил двухфакторную аутентификацию по SMS. Мошенники смогли воспользоваться уязвимостью сервиса — так называемым «вечным токеном».

Как поясняет издание, после ввода пароля и логина при первом заходе в Госуслуги устройству выдаётся персонализированный токен, который позволяет в дальнейшем быстро заходить в учётную запись. А после кражи Юрий не отвязал телефон от сервиса.

 

Как мошенники украли деньги

В июне 2021 года Юрия «выкинуло» из учётной записи на смартфоне. Он успел зайти в профиль на компьютере и увидел, что его данные изменены, а затем его выкинуло и из сайта — и больше он не смог зайти в неё ни с одного устройства.

«Видимо, мой смартфон какое-то время ходил по рукам, пока не попал к профессионалам, которые запустили Госуслуги: токен в них оставался валидным, и система его приняла», — заявил он.

26 июня мошенники оформили от имени Юрия кредитную карту в «Сбербанке» и вывели с нее 420 тысяч рублей на карту банка ПСБ. А ещё взяли несколько займов по 30 тысяч рублей в микрофинансовых организациях. Также они позвонили в «Мегафон», который обслуживал Юрия, и сменили контактный номер — на него были завязаны банки и коды подтверждения.

После этого Юрий обратился в полицию, а после открытия уголовного дела в июле получил рассылку о кредитах от «Газпромбанка», в котором у него не было счетов. В отделении банка он узнал, что на его имя выдали дебетовую карту человеку, у которого был паспорт со всеми данными Юрия — но с чужим фото. Карта была нужна для вывода 420 тысяч рублей — их сняли в одном из банкоматов. Юрий получил все выписки и написал в банк заявление о мошенничестве.

Юрий обратился в «Объединенное кредитное бюро» и получил выписку по своей кредитной истории, связанной со старым паспортом. Выяснилось, что 28 июня он якобы получил в «Совкомбанке» кредит наличными на 600 тысяч рублей и кредитку с лимитом в 30 тысяч рублей. Таким образом, ущерб составил больше 1 млн рублей.

В «Совкомбанке» выяснили, что для оформления кредита не понадобился даже поддельный паспорт — его получали удалённо с помощью электронно-цифровой подписи. Подпись выдали по данным об ИНН и СНИЛС, доступным из Госуслуг. Отозвать её можно только в том центре, где её выдали, а информация есть у банка и Госуслуг — Юрий направил соотвествующие запросы, но ответа не получил.

14 июля две микрофинансовые организации ответили на обращения Юрия и признали недействительными два кредита на 30 тысяч рублей. Как отмечает «Фонтанка» вопрос с банками придётся решать через суды.

Сейчас идет расследование дела, а сам Юрий признан потерпевшим. При этом теперь он боится использовать любые цифровые приложения и где-либо «светить» свой новый паспорт. Он, в частности, не хочет верифицировать свои данные в МФЦ, так как тогда они окажутся на Госуслугах.

В «Сбербанке» «Фонтанке» рассказали, что по ситуации проводится проверка, о результатах которой банк не имеет права сообщать третьим лицам. Такой же ответ дали и в Минцифры. В «Мегафоне» вернули прежний номер и проверили всю историю обращений.

Авторство: 
Копия чужих материалов

Комментарии

Аватар пользователя Spriggan
Spriggan(3 года 10 месяцев)

Тут могла защитить только смена паспорта. Но кто же знал. Все мы задним умом сильны.

Аватар пользователя PapaLeto
PapaLeto(9 лет 7 месяцев)

или всего лишь смена пароля на госуслугах

 

Аватар пользователя СВВ
СВВ(9 лет 5 месяцев)

нет, именно сброс всех токенов безопасности на госуслугах, но не факт что помогло бы.

Аватар пользователя И-23
И-23(8 лет 9 месяцев)

А всё почему?
Всё из-за прогиба в направлении удобства пользования не желающими потрудиться над приобретением навыков.

ЗЫ: А оно (интерфейс к сбросу *всех* токенов) в интерфейсе пользователя предусмотрено?

Аватар пользователя СВВ
СВВ(9 лет 5 месяцев)

скорее всего нет, это же заставит пользователя морщить извилины.

Скрытый комментарий Неуловимый (без обсуждения)
Аватар пользователя Неуловимый
Неуловимый(3 года 1 месяц)

Это всего лишь либерастный говно сайт который так популярен на Пульсе

пишет «Фонтанка».

Аватар пользователя Torino
Torino(10 лет 3 месяца)

Нужно активировать двухфакторную аутентификацию 

Аватар пользователя djsantehnik
djsantehnik(11 лет 8 месяцев)

а что это (вопрос с подвохом)?

Комментарий администрации:  
*** отключен (белоленточная пропаганда) ***
Аватар пользователя Torino
Torino(10 лет 3 месяца)

Это подтверждение аутентификационных данных по двум независимым каналам.

Что в большинстве случаев сильно снижает риск успешной попытки несанкционированного входа в учётную запись, за счёт того что перехватить два канала сложнее чем один.

Аватар пользователя AnGeL_Knight
AnGeL_Knight(8 лет 8 месяцев)

Что-то мне подсказывает, что если есть телефон с активными госуслугами и к нему же привязан номер двухфакторной... то это не спасет. Т.е. либо разные устройства и симки, либо никаких госуслуг и банков на единственном телефоне.

Аватар пользователя Torino
Torino(10 лет 3 месяца)

Смысл 2fa в том что один из каналов в случае его компрометации - легко блокируется, либо переключается на новый канал.

В данном случае это смс, которые после замены сим-карты начинают приходить через новый канал.

Аватар пользователя Ильич_08
Ильич_08(8 лет 6 месяцев)

Не фиг вообще иметь банк и госуслуги на телефоне, который легко можно пролюбить или украсть. Только на запароленном домашнем компе. Уже много лет ни разу не понадобилось с телефона (планшета) что то с банком делать или на госуслугах шариться.

Аватар пользователя advisor
advisor(12 лет 5 месяцев)

поставь на айфон двухконтурную идентификацию и спи спокойно, для любого крадуна это просто кирпич.

Аватар пользователя Ctrl
Ctrl(9 лет 9 месяцев)

У меня с карт грёбаного сбера сняли деньги, воспользовавшись моим телефоном и банковской картой.

Я намеренно не пользовался мобильной версией и не имел мобильной программы грёбаного сбера на телефоне никогда. Но хулиган (человек предельно тупой, ибо попался моментом), установил банковскую программу на свой телефон, и воспользовался моим телефоном и картой, пока я был в душевой и спёр деньги.

Я же, установив в личном кабинете грёбаного сбера хитрую пару логин-пароль был уверен, что подбор этой пары очень сильно труден.

Но мобильной программе грёбаного сбера оказывается совершенно пох*р эти пароли, она живёт своей жизнью.

На заметку пользователям грёбаного сбера, наивно считающим себя хоть как то защищёнными.

Аватар пользователя И-23
И-23(8 лет 9 месяцев)

Наглядная иллюстрация прогиба под «удобство».
В пакете с профанацией ДА.

Ну и памятник насущной необходимости блокировики терминала (далеко не всегда совмещающейся со сколько-нибудь адекватным корпусом).

Аватар пользователя Иремель
Иремель(7 лет 10 месяцев)

Можно ли избежать этого, если запомнить и закрасить CVV код?

Аватар пользователя Kotofei
Kotofei(5 лет 10 месяцев)
 

На за­мет­ку поль­зо­ва­те­лям грё­ба­но­го сбера, на­ив­но счи­та­ю­щим себя хоть как то за­щи­щён­ны­ми

Нужно было кнопочный телефон завести для паролей по смс.

Тогда и приложение можно скачать.

Аватар пользователя Бур Наш
Бур Наш(9 лет 5 месяцев)

Тут бы могла помочь смена мозгов у Юрия, но это не возможно, бараном родился, таким и помрёт.

Аватар пользователя Мутный
Мутный(3 года 5 месяцев)

Версия: Юра просто хочет соскочить с кредита придумывая небылицы про украденный телефон)))

Комментарий администрации:  
*** отключен (дезинформация и набросы) ***
Аватар пользователя Er0p
Er0p(9 лет 2 месяца)

Для этого вклеил в свой паспорт чужое фото

Аватар пользователя Мутный
Мутный(3 года 5 месяцев)

Так он еще и свой паспорт посеял вместе с телефоном, во дела)))

Комментарий администрации:  
*** отключен (дезинформация и набросы) ***
Аватар пользователя Kozel de Baran
Kozel de Baran(5 лет 4 месяца)

Паспорта мы сеем каждый день. Куда ни зайди - мы сейчас сделаем копию паспорта.

Аватар пользователя Похьяла
Похьяла(10 лет 10 месяцев)

Сканы паспортов, сейчас только что на кассах булочных ещё не снимают.

А уж бумажки с согласием на "обработку персональных данных", подписывают и в булочных, когда дисконтные карты оформляют.

Так что чем дальше, тем больше мы становимся "прозрачными" для всех и вся вокруг. Смысла во всех этих паролях , уже давно почти не осталось. 

Аватар пользователя МысльВслух

если бы все было так просто, наверное, таких случаев было бы очень много? smile37.gif

Аватар пользователя Yakyt
Yakyt(3 года 9 месяцев)

Неспроста же люди устанавливают двухфакторную авторизацию? Украли телефон- заблокировал симку-застраховался от воров. Хотя тут есть ещё один момент - теоретически можно ведь украденный телефон заблокировать, но почему-то операторы этого делать не хотят.

Аватар пользователя МысльВслух

у нас операторы блокируют телефон по просьбам трудящихся

в любом случае, если ты знаешь, то у тебя на телефоне стоят такие приложения, неважно, потерял или украли, надо предпирнять меры, однозначно, таковые предусмотрены.

Аватар пользователя И-23
И-23(8 лет 9 месяцев)

При этом то, что в 97% случаев называют «двухфакторной авторизацией» при ближайшем рассмотрении в лучшем случае тянет на профанацию.

ЗЫ: Некоторое время тому назад приносил статью на тему… *профанации*.

Аватар пользователя kroog
kroog(10 лет 4 месяца)

можно ведь украденный телефон заблокировать, но почему-​то операторы этого делать не хотят.

Блокируют. В прошлом году пролюбил телефон, пришлось блокировать симку и заказывать новую. Без проблем. 

Аватар пользователя Yakyt
Yakyt(3 года 9 месяцев)

Я имел в виду сам аппарат. С симкой всё понятно-заблокировал, заказал новую с тем же номером.

Если  блокировать украденный телефон, не будет смысла его красть.

Аватар пользователя kroog
kroog(10 лет 4 месяца)

в гуглях есть такая возможность. Вроде бы в огрызках такая же была

Аватар пользователя Duckbill
Duckbill(5 лет 7 месяцев)

Есть, но реально работает только на пикселях и возможно некоторых самсах, тех что с аппаратным TPM. На большинстве других устройств успешно обходится.

Аватар пользователя Torino
Torino(10 лет 3 месяца)

AndroidLost

Аватар пользователя Heavenly
Heavenly(3 года 10 месяцев)

А зачем нужны Госуслуг и на телефоне? Меня вполне устраивают Госуслуги дома и на ноутбуке. 

Аватар пользователя МысльВслух

огромное количество людей вообще не пользуется ни ноутбуком, ни тем более настольным ПК

Аватар пользователя guardianru
guardianru(7 лет 11 месяцев)

кому выгодно?

Аватар пользователя Мутный
Мутный(3 года 5 месяцев)

Юре)))

Комментарий администрации:  
*** отключен (дезинформация и набросы) ***
Аватар пользователя guardianru
guardianru(7 лет 11 месяцев)

бггг-)

Аватар пользователя fzr1000
fzr1000(3 года 2 месяца)

Не верю 

Аватар пользователя И-23
И-23(8 лет 9 месяцев)

Т.н. «двухфакторная авторизация» через делегирование функций ОпСОСам — на самом деле тянет максимум на профанацию решения.

Аватар пользователя sekutor
sekutor(8 лет 2 месяца)

айфон не взломать же.

Аватар пользователя Дмитрий.
Дмитрий.(5 лет 8 месяцев)

Мораль простая - на телефон нельзя ставить ни госуслуги, ни банковские программы

Комментарий администрации:  
*** отключен (невменяемое общение) ***
Аватар пользователя NTFS
NTFS(12 лет 4 месяца)

Ставить можно. Просто в сейфе хранить телефон надо!

Аватар пользователя Стpaнник
Стpaнник(11 лет 2 месяца)

После пользования сдавать в оружейку.

Комментарий администрации:  
*** Уличен в вопиющей неполживости - https://aftershock.news/?q=comment/11686044#comment-11686044 ***
Аватар пользователя Незарегистрированный участник форума

Это настолько очевидно, но, к сожалению, только для тех кто умеет думать. 

Аватар пользователя oblomingov
oblomingov(10 лет 10 месяцев)

а чё, если ещё подумать и поставить пароль smile37.gif

Аватар пользователя mke61
mke61(11 лет 8 месяцев)

Вот! И себе и жене запретил.

Аватар пользователя Heavenly
Heavenly(3 года 10 месяцев)

Тоже не ставлю на смартфон ни Госуслуги, ни банковские программы 

Аватар пользователя Ctrl
Ctrl(9 лет 9 месяцев)

Я не ставил. Смотри выше.

Аватар пользователя И-23
И-23(8 лет 9 месяцев)

Как я уже говорил: первопричина в профанации ДА.
При надлежащей реализации с запретом использования иных механизмов… защиту можно полагать достаточной.

Аватар пользователя pokos
pokos(11 лет 1 месяц)

// Подпись выдали по данным об ИНН и СНИЛС

Как хорошо!

Комментарий администрации:  
*** отключен (кусок дерьма) ***

Страницы