У петербуржца украли телефон с установленными Госуслугами, а через полтора года на него оформили кредиты на 1 млн рублей

Аватар пользователя PapaLeto

Мошенники получили доступ к его данным и оформили несколько кредитов в банках и займов в МФО.

 

В 2020 году у петербуржца Юрия украли iPhone, на котором были установлены Госуслуги — воры успели вывести 3 тысячи рублей со счетов одного из банков, но остальные счета удалось защитить, пишет «Фонтанка».

Юрий перевыпустил карты, сменил пароли и начал пользоваться Госуслугами на новом телефоне — но не подключил двухфакторную аутентификацию по SMS. Мошенники смогли воспользоваться уязвимостью сервиса — так называемым «вечным токеном».

Как поясняет издание, после ввода пароля и логина при первом заходе в Госуслуги устройству выдаётся персонализированный токен, который позволяет в дальнейшем быстро заходить в учётную запись. А после кражи Юрий не отвязал телефон от сервиса.

 

Как мошенники украли деньги

В июне 2021 года Юрия «выкинуло» из учётной записи на смартфоне. Он успел зайти в профиль на компьютере и увидел, что его данные изменены, а затем его выкинуло и из сайта — и больше он не смог зайти в неё ни с одного устройства.

«Видимо, мой смартфон какое-то время ходил по рукам, пока не попал к профессионалам, которые запустили Госуслуги: токен в них оставался валидным, и система его приняла», — заявил он.

26 июня мошенники оформили от имени Юрия кредитную карту в «Сбербанке» и вывели с нее 420 тысяч рублей на карту банка ПСБ. А ещё взяли несколько займов по 30 тысяч рублей в микрофинансовых организациях. Также они позвонили в «Мегафон», который обслуживал Юрия, и сменили контактный номер — на него были завязаны банки и коды подтверждения.

После этого Юрий обратился в полицию, а после открытия уголовного дела в июле получил рассылку о кредитах от «Газпромбанка», в котором у него не было счетов. В отделении банка он узнал, что на его имя выдали дебетовую карту человеку, у которого был паспорт со всеми данными Юрия — но с чужим фото. Карта была нужна для вывода 420 тысяч рублей — их сняли в одном из банкоматов. Юрий получил все выписки и написал в банк заявление о мошенничестве.

Юрий обратился в «Объединенное кредитное бюро» и получил выписку по своей кредитной истории, связанной со старым паспортом. Выяснилось, что 28 июня он якобы получил в «Совкомбанке» кредит наличными на 600 тысяч рублей и кредитку с лимитом в 30 тысяч рублей. Таким образом, ущерб составил больше 1 млн рублей.

В «Совкомбанке» выяснили, что для оформления кредита не понадобился даже поддельный паспорт — его получали удалённо с помощью электронно-цифровой подписи. Подпись выдали по данным об ИНН и СНИЛС, доступным из Госуслуг. Отозвать её можно только в том центре, где её выдали, а информация есть у банка и Госуслуг — Юрий направил соотвествующие запросы, но ответа не получил.

14 июля две микрофинансовые организации ответили на обращения Юрия и признали недействительными два кредита на 30 тысяч рублей. Как отмечает «Фонтанка» вопрос с банками придётся решать через суды.

Сейчас идет расследование дела, а сам Юрий признан потерпевшим. При этом теперь он боится использовать любые цифровые приложения и где-либо «светить» свой новый паспорт. Он, в частности, не хочет верифицировать свои данные в МФЦ, так как тогда они окажутся на Госуслугах.

В «Сбербанке» «Фонтанке» рассказали, что по ситуации проводится проверка, о результатах которой банк не имеет права сообщать третьим лицам. Такой же ответ дали и в Минцифры. В «Мегафоне» вернули прежний номер и проверили всю историю обращений.

Авторство: 
Копия чужих материалов

Комментарии

Аватар пользователя Spriggan
Spriggan(4 года 3 месяца)

Тут могла защитить только смена паспорта. Но кто же знал. Все мы задним умом сильны.

Аватар пользователя PapaLeto
PapaLeto(10 лет 4 недели)

или всего лишь смена пароля на госуслугах

 

Аватар пользователя СВВ
СВВ(9 лет 10 месяцев)

нет, именно сброс всех токенов безопасности на госуслугах, но не факт что помогло бы.

Аватар пользователя И-23
И-23(9 лет 2 месяца)

А всё почему?
Всё из-за прогиба в направлении удобства пользования не желающими потрудиться над приобретением навыков.

ЗЫ: А оно (интерфейс к сбросу *всех* токенов) в интерфейсе пользователя предусмотрено?

Аватар пользователя СВВ
СВВ(9 лет 10 месяцев)

скорее всего нет, это же заставит пользователя морщить извилины.

Скрытый комментарий Неуловимый (без обсуждения)
Аватар пользователя Неуловимый
Неуловимый(3 года 6 месяцев)

Это всего лишь либерастный говно сайт который так популярен на Пульсе

пишет «Фонтанка».

Аватар пользователя Torino
Torino(10 лет 9 месяцев)

Нужно активировать двухфакторную аутентификацию 

Аватар пользователя djsantehnik
djsantehnik(12 лет 1 месяц)

а что это (вопрос с подвохом)?

Аватар пользователя Torino
Torino(10 лет 9 месяцев)

Это подтверждение аутентификационных данных по двум независимым каналам.

Что в большинстве случаев сильно снижает риск успешной попытки несанкционированного входа в учётную запись, за счёт того что перехватить два канала сложнее чем один.

Аватар пользователя AnGeL_Knight
AnGeL_Knight(9 лет 1 месяц)

Что-то мне подсказывает, что если есть телефон с активными госуслугами и к нему же привязан номер двухфакторной... то это не спасет. Т.е. либо разные устройства и симки, либо никаких госуслуг и банков на единственном телефоне.

Аватар пользователя Torino
Torino(10 лет 9 месяцев)

Смысл 2fa в том что один из каналов в случае его компрометации - легко блокируется, либо переключается на новый канал.

В данном случае это смс, которые после замены сим-карты начинают приходить через новый канал.

Аватар пользователя Ильич_08
Ильич_08(8 лет 11 месяцев)

Не фиг вообще иметь банк и госуслуги на телефоне, который легко можно пролюбить или украсть. Только на запароленном домашнем компе. Уже много лет ни разу не понадобилось с телефона (планшета) что то с банком делать или на госуслугах шариться.

Аватар пользователя advisor
advisor(12 лет 10 месяцев)

поставь на айфон двухконтурную идентификацию и спи спокойно, для любого крадуна это просто кирпич.

Аватар пользователя Ctrl
Ctrl(10 лет 2 месяца)

У меня с карт грёбаного сбера сняли деньги, воспользовавшись моим телефоном и банковской картой.

Я намеренно не пользовался мобильной версией и не имел мобильной программы грёбаного сбера на телефоне никогда. Но хулиган (человек предельно тупой, ибо попался моментом), установил банковскую программу на свой телефон, и воспользовался моим телефоном и картой, пока я был в душевой и спёр деньги.

Я же, установив в личном кабинете грёбаного сбера хитрую пару логин-пароль был уверен, что подбор этой пары очень сильно труден.

Но мобильной программе грёбаного сбера оказывается совершенно пох*р эти пароли, она живёт своей жизнью.

На заметку пользователям грёбаного сбера, наивно считающим себя хоть как то защищёнными.

Аватар пользователя И-23
И-23(9 лет 2 месяца)

Наглядная иллюстрация прогиба под «удобство».
В пакете с профанацией ДА.

Ну и памятник насущной необходимости блокировики терминала (далеко не всегда совмещающейся со сколько-нибудь адекватным корпусом).

Аватар пользователя Иремель
Иремель(8 лет 3 месяца)

Можно ли избежать этого, если запомнить и закрасить CVV код?

Аватар пользователя Kotofei
Kotofei(6 лет 3 месяца)
 

На за­мет­ку поль­зо­ва­те­лям грё­ба­но­го сбера, на­ив­но счи­та­ю­щим себя хоть как то за­щи­щён­ны­ми

Нужно было кнопочный телефон завести для паролей по смс.

Тогда и приложение можно скачать.

Аватар пользователя Бур Наш
Бур Наш(9 лет 10 месяцев)

Тут бы могла помочь смена мозгов у Юрия, но это не возможно, бараном родился, таким и помрёт.

Аватар пользователя Мутный
Мутный(3 года 11 месяцев)

Версия: Юра просто хочет соскочить с кредита придумывая небылицы про украденный телефон)))

Аватар пользователя Er0p
Er0p(9 лет 7 месяцев)

Для этого вклеил в свой паспорт чужое фото

Аватар пользователя Мутный
Мутный(3 года 11 месяцев)

Так он еще и свой паспорт посеял вместе с телефоном, во дела)))

Аватар пользователя Kozel de Baran
Kozel de Baran(5 лет 10 месяцев)

Паспорта мы сеем каждый день. Куда ни зайди - мы сейчас сделаем копию паспорта.

Аватар пользователя Похьяла
Похьяла(11 лет 3 месяца)

Сканы паспортов, сейчас только что на кассах булочных ещё не снимают.

А уж бумажки с согласием на "обработку персональных данных", подписывают и в булочных, когда дисконтные карты оформляют.

Так что чем дальше, тем больше мы становимся "прозрачными" для всех и вся вокруг. Смысла во всех этих паролях , уже давно почти не осталось. 

Аватар пользователя МысльВслух
МысльВслух(5 лет 6 месяцев)

если бы все было так просто, наверное, таких случаев было бы очень много? smile37.gif

Аватар пользователя Yakyt
Yakyt(4 года 2 месяца)

Неспроста же люди устанавливают двухфакторную авторизацию? Украли телефон- заблокировал симку-застраховался от воров. Хотя тут есть ещё один момент - теоретически можно ведь украденный телефон заблокировать, но почему-то операторы этого делать не хотят.

Аватар пользователя МысльВслух
МысльВслух(5 лет 6 месяцев)

у нас операторы блокируют телефон по просьбам трудящихся

в любом случае, если ты знаешь, то у тебя на телефоне стоят такие приложения, неважно, потерял или украли, надо предпирнять меры, однозначно, таковые предусмотрены.

Аватар пользователя И-23
И-23(9 лет 2 месяца)

При этом то, что в 97% случаев называют «двухфакторной авторизацией» при ближайшем рассмотрении в лучшем случае тянет на профанацию.

ЗЫ: Некоторое время тому назад приносил статью на тему… *профанации*.

Аватар пользователя kroog
kroog(10 лет 9 месяцев)

можно ведь украденный телефон заблокировать, но почему-​то операторы этого делать не хотят.

Блокируют. В прошлом году пролюбил телефон, пришлось блокировать симку и заказывать новую. Без проблем. 

Аватар пользователя Yakyt
Yakyt(4 года 2 месяца)

Я имел в виду сам аппарат. С симкой всё понятно-заблокировал, заказал новую с тем же номером.

Если  блокировать украденный телефон, не будет смысла его красть.

Аватар пользователя kroog
kroog(10 лет 9 месяцев)

в гуглях есть такая возможность. Вроде бы в огрызках такая же была

Аватар пользователя Duckbill
Duckbill(6 лет 3 недели)

Есть, но реально работает только на пикселях и возможно некоторых самсах, тех что с аппаратным TPM. На большинстве других устройств успешно обходится.

Аватар пользователя Torino
Torino(10 лет 9 месяцев)

AndroidLost

Аватар пользователя Heavenly
Heavenly(4 года 3 месяца)

А зачем нужны Госуслуг и на телефоне? Меня вполне устраивают Госуслуги дома и на ноутбуке. 

Аватар пользователя МысльВслух
МысльВслух(5 лет 6 месяцев)

огромное количество людей вообще не пользуется ни ноутбуком, ни тем более настольным ПК

Аватар пользователя guardianru
guardianru(8 лет 4 месяца)

кому выгодно?

Аватар пользователя Мутный
Мутный(3 года 11 месяцев)

Юре)))

Аватар пользователя guardianru
guardianru(8 лет 4 месяца)

бггг-)

Аватар пользователя fzr1000
fzr1000(3 года 7 месяцев)

Не верю 

Аватар пользователя И-23
И-23(9 лет 2 месяца)

Т.н. «двухфакторная авторизация» через делегирование функций ОпСОСам — на самом деле тянет максимум на профанацию решения.

Аватар пользователя sekutor
sekutor(8 лет 7 месяцев)

айфон не взломать же.

Аватар пользователя Дмитрий.
Дмитрий.(6 лет 1 месяц)

Мораль простая - на телефон нельзя ставить ни госуслуги, ни банковские программы

Аватар пользователя NTFS
NTFS(12 лет 9 месяцев)

Ставить можно. Просто в сейфе хранить телефон надо!

Аватар пользователя Стpaнник
Стpaнник(11 лет 7 месяцев)

После пользования сдавать в оружейку.

Аватар пользователя Незарегистрированный участник форума

Это настолько очевидно, но, к сожалению, только для тех кто умеет думать. 

Аватар пользователя oblomingov
oblomingov(11 лет 3 месяца)

а чё, если ещё подумать и поставить пароль smile37.gif

Аватар пользователя mke61
mke61(12 лет 1 месяц)

Вот! И себе и жене запретил.

Аватар пользователя Heavenly
Heavenly(4 года 3 месяца)

Тоже не ставлю на смартфон ни Госуслуги, ни банковские программы 

Аватар пользователя Ctrl
Ctrl(10 лет 2 месяца)

Я не ставил. Смотри выше.

Аватар пользователя И-23
И-23(9 лет 2 месяца)

Как я уже говорил: первопричина в профанации ДА.
При надлежащей реализации с запретом использования иных механизмов… защиту можно полагать достаточной.

Аватар пользователя pokos
pokos(11 лет 7 месяцев)

// Подпись выдали по данным об ИНН и СНИЛС

Как хорошо!

Страницы