Мошенники получили доступ к его данным и оформили несколько кредитов в банках и займов в МФО.
В 2020 году у петербуржца Юрия украли iPhone, на котором были установлены Госуслуги — воры успели вывести 3 тысячи рублей со счетов одного из банков, но остальные счета удалось защитить, пишет «Фонтанка».
Юрий перевыпустил карты, сменил пароли и начал пользоваться Госуслугами на новом телефоне — но не подключил двухфакторную аутентификацию по SMS. Мошенники смогли воспользоваться уязвимостью сервиса — так называемым «вечным токеном».
Как поясняет издание, после ввода пароля и логина при первом заходе в Госуслуги устройству выдаётся персонализированный токен, который позволяет в дальнейшем быстро заходить в учётную запись. А после кражи Юрий не отвязал телефон от сервиса.
Как мошенники украли деньги
В июне 2021 года Юрия «выкинуло» из учётной записи на смартфоне. Он успел зайти в профиль на компьютере и увидел, что его данные изменены, а затем его выкинуло и из сайта — и больше он не смог зайти в неё ни с одного устройства.
«Видимо, мой смартфон какое-то время ходил по рукам, пока не попал к профессионалам, которые запустили Госуслуги: токен в них оставался валидным, и система его приняла», — заявил он.
26 июня мошенники оформили от имени Юрия кредитную карту в «Сбербанке» и вывели с нее 420 тысяч рублей на карту банка ПСБ. А ещё взяли несколько займов по 30 тысяч рублей в микрофинансовых организациях. Также они позвонили в «Мегафон», который обслуживал Юрия, и сменили контактный номер — на него были завязаны банки и коды подтверждения.
После этого Юрий обратился в полицию, а после открытия уголовного дела в июле получил рассылку о кредитах от «Газпромбанка», в котором у него не было счетов. В отделении банка он узнал, что на его имя выдали дебетовую карту человеку, у которого был паспорт со всеми данными Юрия — но с чужим фото. Карта была нужна для вывода 420 тысяч рублей — их сняли в одном из банкоматов. Юрий получил все выписки и написал в банк заявление о мошенничестве.
Юрий обратился в «Объединенное кредитное бюро» и получил выписку по своей кредитной истории, связанной со старым паспортом. Выяснилось, что 28 июня он якобы получил в «Совкомбанке» кредит наличными на 600 тысяч рублей и кредитку с лимитом в 30 тысяч рублей. Таким образом, ущерб составил больше 1 млн рублей.
В «Совкомбанке» выяснили, что для оформления кредита не понадобился даже поддельный паспорт — его получали удалённо с помощью электронно-цифровой подписи. Подпись выдали по данным об ИНН и СНИЛС, доступным из Госуслуг. Отозвать её можно только в том центре, где её выдали, а информация есть у банка и Госуслуг — Юрий направил соотвествующие запросы, но ответа не получил.
14 июля две микрофинансовые организации ответили на обращения Юрия и признали недействительными два кредита на 30 тысяч рублей. Как отмечает «Фонтанка» вопрос с банками придётся решать через суды.
Сейчас идет расследование дела, а сам Юрий признан потерпевшим. При этом теперь он боится использовать любые цифровые приложения и где-либо «светить» свой новый паспорт. Он, в частности, не хочет верифицировать свои данные в МФЦ, так как тогда они окажутся на Госуслугах.
В «Сбербанке» «Фонтанке» рассказали, что по ситуации проводится проверка, о результатах которой банк не имеет права сообщать третьим лицам. Такой же ответ дали и в Минцифры. В «Мегафоне» вернули прежний номер и проверили всю историю обращений.
Комментарии
Тут могла защитить только смена паспорта. Но кто же знал. Все мы задним умом сильны.
или всего лишь смена пароля на госуслугах
нет, именно сброс всех токенов безопасности на госуслугах, но не факт что помогло бы.
А всё почему?
Всё из-за прогиба в направлении удобства пользования не желающими потрудиться над приобретением навыков.
ЗЫ: А оно (интерфейс к сбросу *всех* токенов) в интерфейсе пользователя предусмотрено?
скорее всего нет, это же заставит пользователя морщить извилины.
Это всего лишь либерастный говно сайт который так популярен на Пульсе
Нужно активировать двухфакторную аутентификацию
а что это (вопрос с подвохом)?
Это подтверждение аутентификационных данных по двум независимым каналам.
Что в большинстве случаев сильно снижает риск успешной попытки несанкционированного входа в учётную запись, за счёт того что перехватить два канала сложнее чем один.
Что-то мне подсказывает, что если есть телефон с активными госуслугами и к нему же привязан номер двухфакторной... то это не спасет. Т.е. либо разные устройства и симки, либо никаких госуслуг и банков на единственном телефоне.
Смысл 2fa в том что один из каналов в случае его компрометации - легко блокируется, либо переключается на новый канал.
В данном случае это смс, которые после замены сим-карты начинают приходить через новый канал.
Не фиг вообще иметь банк и госуслуги на телефоне, который легко можно пролюбить или украсть. Только на запароленном домашнем компе. Уже много лет ни разу не понадобилось с телефона (планшета) что то с банком делать или на госуслугах шариться.
поставь на айфон двухконтурную идентификацию и спи спокойно, для любого крадуна это просто кирпич.
У меня с карт грёбаного сбера сняли деньги, воспользовавшись моим телефоном и банковской картой.
Я намеренно не пользовался мобильной версией и не имел мобильной программы грёбаного сбера на телефоне никогда. Но хулиган (человек предельно тупой, ибо попался моментом), установил банковскую программу на свой телефон, и воспользовался моим телефоном и картой, пока я был в душевой и спёр деньги.
Я же, установив в личном кабинете грёбаного сбера хитрую пару логин-пароль был уверен, что подбор этой пары очень сильно труден.
Но мобильной программе грёбаного сбера оказывается совершенно пох*р эти пароли, она живёт своей жизнью.
На заметку пользователям грёбаного сбера, наивно считающим себя хоть как то защищёнными.
Наглядная иллюстрация прогиба под «удобство».
В пакете с профанацией ДА.
Ну и памятник насущной необходимости блокировики терминала (далеко не всегда совмещающейся со сколько-нибудь адекватным корпусом).
Можно ли избежать этого, если запомнить и закрасить CVV код?
На заметку пользователям грёбаного сбера, наивно считающим себя хоть как то защищёнными
Нужно было кнопочный телефон завести для паролей по смс.
Тогда и приложение можно скачать.
Тут бы могла помочь смена мозгов у Юрия, но это не возможно, бараном родился, таким и помрёт.
Версия: Юра просто хочет соскочить с кредита придумывая небылицы про украденный телефон)))
Для этого вклеил в свой паспорт чужое фото
Так он еще и свой паспорт посеял вместе с телефоном, во дела)))
Паспорта мы сеем каждый день. Куда ни зайди - мы сейчас сделаем копию паспорта.
Сканы паспортов, сейчас только что на кассах булочных ещё не снимают.
А уж бумажки с согласием на "обработку персональных данных", подписывают и в булочных, когда дисконтные карты оформляют.
Так что чем дальше, тем больше мы становимся "прозрачными" для всех и вся вокруг. Смысла во всех этих паролях , уже давно почти не осталось.
если бы все было так просто, наверное, таких случаев было бы очень много?
Неспроста же люди устанавливают двухфакторную авторизацию? Украли телефон- заблокировал симку-застраховался от воров. Хотя тут есть ещё один момент - теоретически можно ведь украденный телефон заблокировать, но почему-то операторы этого делать не хотят.
у нас операторы блокируют телефон по просьбам трудящихся
в любом случае, если ты знаешь, то у тебя на телефоне стоят такие приложения, неважно, потерял или украли, надо предпирнять меры, однозначно, таковые предусмотрены.
При этом то, что в 97% случаев называют «двухфакторной авторизацией» при ближайшем рассмотрении в лучшем случае тянет на профанацию.
ЗЫ: Некоторое время тому назад приносил статью на тему… *профанации*.
Блокируют. В прошлом году пролюбил телефон, пришлось блокировать симку и заказывать новую. Без проблем.
Я имел в виду сам аппарат. С симкой всё понятно-заблокировал, заказал новую с тем же номером.
Если блокировать украденный телефон, не будет смысла его красть.
в гуглях есть такая возможность. Вроде бы в огрызках такая же была
Есть, но реально работает только на пикселях и возможно некоторых самсах, тех что с аппаратным TPM. На большинстве других устройств успешно обходится.
AndroidLost
А зачем нужны Госуслуг и на телефоне? Меня вполне устраивают Госуслуги дома и на ноутбуке.
огромное количество людей вообще не пользуется ни ноутбуком, ни тем более настольным ПК
кому выгодно?
Юре)))
бггг-)
Не верю
Т.н. «двухфакторная авторизация» через делегирование функций ОпСОСам — на самом деле тянет максимум на профанацию решения.
айфон не взломать же.
Мораль простая - на телефон нельзя ставить ни госуслуги, ни банковские программы
Ставить можно. Просто в сейфе хранить телефон надо!
После пользования сдавать в оружейку.
Это настолько очевидно, но, к сожалению, только для тех кто умеет думать.
а чё, если ещё подумать и поставить пароль
Вот! И себе и жене запретил.
Тоже не ставлю на смартфон ни Госуслуги, ни банковские программы
Я не ставил. Смотри выше.
Как я уже говорил: первопричина в профанации ДА.
При надлежащей реализации с запретом использования иных механизмов… защиту можно полагать достаточной.
// Подпись выдали по данным об ИНН и СНИЛС
Как хорошо!
Страницы