Розгадка фокусу «кредит через Дію»

Костянтин Корсун

Загадковий випадок, коли шахраї взяли на ім’я жертви кредит, зареєструвавши на неї акаунт у Дії, схвилював як експертне середовище, так і далеких від ІТ та кібербезпеки громадян України.

Основною сенсацією стало те, що постраждала пані Людмила з Києва не мала акаунту у Дії й навіть принципово не хотіла його заводити. А таких людей в Україні може бути до кількох мільйонів. Але, як виявилося, відмова від використання Дії ніяк від неї не рятує.

Про можливість подібної ситуації давно говорили деякі експерти і вимагали запровадження законодавчої опції Opt-Out (офіційна добровільна відмова від та заборона реєстрації у Дії).

Але, традиційно, адепти та апологети Дії ігнорували всі теоретичні припущення без реальних підтверджених випадків (і навіть робили вигляд, ніби не чують критики на свою адресу). Позиція відверто інфантильна та безвідповідальна, але сьогодні говоримо здебільшого про факти.

Дійсно, Proof of Concept – тобто практичного підтвердження теоретичних викладок та розрахунків – довгий час не існувало, хоча усі передумови вказували на те, що воно неодмінно має з’явиться.

І кейс пані Людмили якраз і став тим самим POC.

Якщо причини хвилювання широкого загалу по цій ситуації цілком очевидні, то занепокоєність експертного середовища хоча і була значно меншою кількісно, зате набагато серйознішою якісно, адже ніхто з фахівців так і не зміг пояснити, яким чином було здійснено цей злочин, від задуму до реалізації, у тому числі його технічні та технологічні аспекти. Існує підозра, що повна інформація може бути у державних установах, які проводили офіційне розслідування, але станом на 26 липня 2021 жодна з офіційних установ держави Україна не пояснила справжньої природи та механізму скоєння даного резонансного злочину, який може дискредитувати останні ініціативи уряду стосовно спроб діджиталізації стосунків держави та громадян. Нагадаю, подія злочину проти пані Людмили сталася 16 березня 2021 р.

Той факт, що на момент скоєння шахрайства проти неї постраждала пані Людмила не була зареєстрована у Дії, свідчить, що найбільш просте пояснення нібито зловмисники «угнали» її фінансовий номер та, відповідно, акаунт в Дії, – доволі слабка версія. У тебе не можна вкрасти те, чого ти не маєш.

Тим більше, що пані Людмила користувалася виключно контрактними номерами телефонів, один з яких ще й корпоративний. Тобто угнати ці номери – доволі складне завдання, з великою вірогідністю, що така спроба не залишиться непоміченою. А постраждала стверджувала та стверджує, що жоден з її мобільних номерів та/або е-скриньок не був угнаний, хоча вона фіксувала такі спроби, після яких вживала відповідних захисних контр-заходів.

На версії «звичайний угон номеру/email» безпідставно наполягали державні розробники Дії та загалом представники провладних сил у Парламенті, публікуючи свої версії того, що відбулося, та коментуючи запити від українських медіа. Але при цьому чомусь ігнорувалися як заперечення самої жертви інциденту, а також контрактний тип її номерів телефонів.

Тому більшість фахівців не брали до уваги провладну версію, шукаючи інше розумне пояснення механізму скоєння цього резонансного злочину.

Одним з таких дослідників був і я, оскільки глибоко розібратися у першопричинах виникнення та механізму практичної реалізації даної шахрайської схеми видається мені надзвичайно важливим для цифрового майбутнього кожного з нас, мешканців України.

Для цього я поспілкувався з постраждалою, а також з експертами у різних галузях як кібербезпеки, так і банківської безпеки, вивчив деякі документи і тепер готовий представити свою версію подій. На скільки відсотків вона відповідає реальності – точно сказати не можу, але ті експерти, з якими я поділився своїми висновками, однозначно підтвердили, що «схема цілком робоча».

І тому одразу disclaimer: дане дослідження не має на меті популяризацію незаконних оборудок, а його автор закликає не здійснювати жодних протиправний дій задля відтворення злочинної схеми на практиці. Більшість етапів злочинної схеми, яка буде тут розглянута, не перевірялася автором in the wild (у зв’язку з можливою протиправністю таких дій), тому усе дослідження слід розглядати як виключно теоретичне відтворення можливих дій зловмисників під час скоєння конкретного злочину проти пані Людмили.

Якщо хтось із банківських працівників, за згодою керівництва банку та за допомогою волонтерів, захоче експериментально та легально підтвердити або спростувати нижченаведену теорію – буду вдячний за зворотній зв’язок.

Отже, у чому, на мою думку, полягала злочинна схема.

Етап 1

Шахрай знаходить (краде/купує, частіше останнє) високоякісні копії/скани справжніх документів: національного паспорту, ІПН (РНОКПП), паспорту для виїзду за кордон. Початкова якість таких копій важлива для реалізації задуму, і причину буде пояснено нижче. Придбати якісні копії/скани можна у багатьох місцях в Інтернеті, середня ціна набору «скан паспорта-ІПН» складає близько $3 за один комплект (без урахування можливих знижок за гуртові закупівлі).

Етап 2

Шахрай роздруковує отримані копії документів у максимальній якості та наклеює їх на щось схоже на обкладинку паспорта.

Також він/вона або заміняє фото людини в копії реального паспорту на своє, або ж гримує себе або співучасника(співучасницю), щоб виглядати максимально схожим на оригінал.

Етап 3

Шахрай іде на сайти тих українських банків, які дозволяють відкривати рахунок онлайн, «дистанційно», без особистого візиту до відділення. Така можливість наявна у великої кількості банків, особливо через карантинні обмеження 2020-2021 років.

Процедури ідентифікації у різних банків можуть дещо відрізнятися у деталях, але загалом використовується практика «відеодзвінок + скани документів».

За таких умов під час відеодзвінка оператор банку просто з технічних причин не здатний достатньо повно оцінити ідентичність людини на екрані наданим фото зі сканів документів. Ідентифікація по відео залежить від розподільчої здатності камер та моніторів обох абонентів, освітлення, часу доби, приміщення, де проходить відео-контакт, інших умов (дим, туман) тощо.

З тих же причин оператор не має можливості відрізнити дешеву підробку паспорта зловмисника від справжнього паспорту під час відеодзвінка та навіть за вимоги «потримати паспорт біля камери». Саме для проходження цього найкритичнішого для злодія етапу шахрайської операції потрібні максимально якісні копії/роздруківки документів та наклеєння їх на візуально схожу за кольором та фактурою обкладинку.

Також по надісланим шахраєм копіям документів оператору банку вкрай важко або неможливо оцінити їх ідентичність оригінальним: копія+відеозв’язок не передають якості/фактури паперу, справжності його захисних елементів, особливості перфорації, а також інших елементів захисту документа.

До того ж ризик бути затриманим службою безпеки банку у разі подібної віддаленої ідентифікації надзвичайно низький, адже навіть якщо оператор запідозрить підробку, йому/їй не відомо, де фізично знаходиться шахрай, і це стимулює злочинців повторювати спроби у різних банках та спокійно враховувати попередні помилки.

Етап 4

Успішно провівши ідентифікацію по відео та копіям наданих документів (відправлених через відповідну форму або просто по email), банк відкриває шахраю рахунок на ім’я особи, за яку він себе видав з автоматичним наданням доступу до мобільного або Інтернет-банкінгу.

А це означає, що тепер, як ідентифікований, верифікований та абсолютно легітимний клієнт банку, шахрай може запросити у банка послугу формування для нового «клієнта» відповідної ЕЦП/Bank-ID з подальшим використанням цього Bank-ID у системі ID.GOV.UA.

Також із вже наявним абсолютно справжнім та легітимним ЕЦП/Bank-ID шахрай може авторизуватися у додатку Дія від імені тієї особи, якою він прикидається.

Етап 5

Успішно верифікувавшись у додатку Дія та користуючись наданими Урядом України можливостями отримання кредитів з використанням ідентифікації через додаток Дія, шахрай оформлює кредит у тому ж банку або у будь-якому іншому, які приймають Дію онлайн (4 банки) або оффлайн (7 банків).

Також цим акаунтом шахрай може користуватися у державних установах (13, у тому числі КМУ), судах (15), ЦНАПах (усі області України), наземних перевізниках (4), авіакомпаніях та аеропортах (13), готелях і хостелах (22), продуктових магазинах і супермаркетах (16), страхових компаніях (3), платіжних системах (3), мобільних операторах (3), провайдерах Інтернет та телебачення (2), медичних установах (8), музеях (4), розважальних закладах (6), інших культурних закладах (1), університетах (4), комунальних послугах (14), та інших організаціях, які приймають Дію (10).

Напряму викрасти грошові кошти шахрай може лише у банках (з використання справжніх або випущених на підставних осіб кредитних карток), але усі інші можливості можуть бути використані для допоміжних та підготовчих дій, заплутування слідів інших злочинів, введення в оману органів розслідування, отримання послуг в кредит/розстрочку тощо.

* * *

Ще раз підкреслюю: схема принципова, можливі дрібні неточності у описі деяких деталей деяких етапів. Також автору невідомі практичні аспекти застосування зловмисниками даної схеми, можливі додаткові (тимчасові або постійні) запобіжники з боку різних банків на різних етапах реалізації злочинного наміру. Але загалом алгоритм цілком дієвий, що підтверджується попередніми висновками експертів.

Крім того, працездатність такої схеми частково підтверджується повідомленням на сайті кіберполіції про затримання наприкінці березня 2021 шахрайської групи, яка «перекуповували у колекторських та мікрофінансових організацій бази даних громадян, зокрема скан-копії їхніх документів, та оформлювали на них онлайн-кредит».

Також на поліцейському відео добре видно, що шахраї друкували кольорові скани паспортів або на звичайному папері формату А4, або на більш цупкому папері по розміру паспорту-книжечки.

За даними деяких джерел, саме ця група відповідальна за оформлення фейкового кредиту на пані Людмилу. Але інші джерела стверджують, що станом на кінець липня 2021 затриманий кіберполіцією організатор групи вже відпущений на волю з невідомих причин.

Слід зазначити, що для гарантування успішності реалізації вищенаведеної схеми шахрай повинен бути впевнений у справжності наявних у нього копій документів жертви, а також що жертва:

А) не зареєстрована в Дії та не планує цього робити;
Б) не є клієнтом одного з банків, які приймають Дію онлайн та офлайн;
В) не відслідковує свою кредитну історію на регулярній основі в усіх існуючих бюро кредитних історій.

На практиці ж більшість шахраїв особливо не страхуються і не виконують вищезазначені запобіжники, а просто намагаються застосувати наявні у них скани документів для великої кількості спроб онлайн-реєстрації рахунків у різних банках. У разі успішної спроби онлайн-реєстрації наступним кроком намагаються зареєструватися в Дії, для легітимізації вкраденої цифрової особистості.

І у такому випадку ми отримуємо ще один Proof of Concept: практичну відповідь на питання “а чим погана можливість активації акаунту в Дії на кількох пристроях одночасно? Адже це зручно?”.

У разі, коли шахрай від імені жертви зареєстрував на жертву рахунок у банку АБВ (в якому жертва, звісно, не мала і не має рахунку), отримав ЕЦП/Bank-ID цього банку та з його допомогою намагається увійти в акаунт Дії жертви, виникає два варіанти.

Перший: жертва не зареєстрована в Дії, й тому шахрай робить це без проблем (з використанням власного pre-paid номеру) і далі оформлює на жертву кредити.
Другий варіант: жертва вже зареєстрована в Дії, але логін з іншого пристрою в той самий акаунт не протирічить політиці безпеки Дії (при наявності такої політики, у чому немає твердої впевненості).

За даними дослідника Романа Хіміча, в Дії існує запобіжник у вигляді інформування справжнього користувача про логін з іншого пристрою, але немає можливості відхилити/заборонити спробу такого альтернативного входу в акаунт.

Тобто якщо справжній власник акаунту:

а) свідомо або несвідомо вийшов з нього (log out);
б) не помітив повідомлення про вхід з іншого пристрою серед інших повідомлень (месенджерів, соцмереж, email, etc.);
в) увімкнув «режим польоту» або беззвучний режим;
г) не чує/ не бачить повідомлень (перебуває у галасливому місці, спить, плаває тощо),
то він/вона може не помітити входу з девайсу зловмисника.

Отже, за умов не-реєстрації громадянина в Дії та відсутності у нього/неї рахунку у банках-партнерах Дії, зловмиснику достатньо отримати на даного громадянина якісні копії його паспорту та довідки про присвоєння ІПН (РНОКПП), а також підібрати співучасника схожої на жертву зовнішності або загримувати існуючого.

Загалом вартість атаки відносно невисока, а ризики для виконавця відносно низькі (на противагу оффлайн-відвідуванню відділення банку з більш якісною і значно більш дорожчою підробкою паспорту). Крім того, за подібної схеми відпадає необхідність угону фінансового номеру жертви та/або його email.

Висновки я б розділив на дві частини: «Хто винуватий» та «Що робити?»

Хто винуватий?

Попри начебто очевидну відповідь, насправді ситуація з шахрайськими кредитами в Україні складніша, ніж може здатися. За фактом, залишилися невирішеними старі «аналогові» проблеми:

  • копій паспортів та довідок ІПН (РНОКПП) у нелегальному оберті залишається надзвичайно багато,
  • витоки персональних даних громадян із державних та недержавних реєстрів та баз даних залишаються буденної справою,
  • законодавство про захист персональних даних є застарілим, а його виконання та неухильність притягнення винних до відповідальності фактично не забезпечено,
  • а робота правоохоронних органів із виявлення та притягнення до відповідальності шахрайських груп все ще є незадовільною (це можуть підтвердити у будь-якому банку).

Але на старі, «аналогові» проблеми наразі наклалися нові, але вже цифрові, які спричинили підсилення існуючих ризиків та призвели до кумулятивного ефекту.

Якщо раніше шахраям для отримання кредиту на іншу особу необхідно було виготовляти підроблений або купляти справжній паспорт, а потім ризикувати, особисто відвідуючи відділення банку (з далекою від нульової вірогідністю бути затриманим на місці спроби скоєння злочину), то тепер, після запровадження можливостей недосконалої цифрової ідентифікації, знижено як вартість підготовки до шахрайства, так і ризики для його виконавців.

Насправді, відправивши до банку копії документів та пройшовши відео-ідентифікацію, зловмисник практично виходить із зони ризику і далі оперує цілком легітимним та отриманим за офіційною процедурою легальним цифровим паспортом, який може майже без ризику застосувати для одночасного отримання кількох кредитів на максимально дозволені банком суми.

Повертаючись до питання «хто винуватий» можна одразу назвати наступні чинники:

– неефективність реалізації державної політики у сфері захисту персональних даних, ЗПД (стара проблема);
– неефективна робота правоохоронних органів та їх корумпованість з боку організованої злочинності (стара проблема);
– невирішеність питання безпеки державних реєстрів та баз даних (стара проблема);
– непродуманість архітектури та некваліфікованість реалізації нових державних рішень у сферах цифрової ідентифікації громадян («кредит через Дію») та системі електронних довірчих послуг («кейс Рябошапки», «кейс Джо Байдена») за умови невирішеності усіх старих проблем, що вже зараз призводить до їх цифрового масштабування;
– небажання розробників та промоутерів нових цифрових рішень враховувати вимоги безпеки до таких сервісів ще на рівні планування архітектури, надаючи безумовну перевагу швидкості їх реалізації та інтеграції зі вже існуючими моделями, які мають безліч невирішених безпекових проблем;
– цілковита непрозорість нових цифрових рішень, відсутність доступу до їхньої технічної документації, вихідного коду, неготовність розробників нових цифрових рішень конструктивно сприймати об’єктивну критику та будь-яку незгоду (як ззовні, так і зсередини), ігнорування професійних підходів до забезпечення кібербезпеки вже запущених в обіг цифрових продуктів масового застосування.

Запроваджена новою «дієвою» урядовою командою система цифрової ідентифікації на практиці ідентифікує не людину, а смартфон, який зовсім не факт, що належить саме їй. І цей смартфон людина може загубити, продати, подарувати, віддати в ремонт. Також смартфон у власника можуть вкрасти або примусити розблокувати.

Небезпечність та неприпустимість такого непродуманого, поверхневого рішення підтверджує недавній випадок у Львові, коли зловмисники відібрали у двох чоловіків кредитні картки та смартфони зі встановленою Дією, після чого на них було оформлено одинадцять кредитів у дев’ятьох компаніях на загальну суму 150 тисяч гривень. А протягом кількох годин після нападу шахраї оформили на одного з постраждалих послугу «Оплата частинами» на придбання iPhone вартістю 19 тис. грн, сплатили з рахунку жертви перший внесок і одразу забрали товар у одному з місцевих мережевих магазинів електроніки.

Як показано вище, тимчасова та юридично-сумнівна (неофіційна) заборона цифрової ідентифікації через Дію для МФО (мікро-фінансові організації) – адже ця заборона протирічить Закону України №1368-IX – не виключає спрацювання аналогічної шахрайської схеми для банків.

До того ж, у разі подальшого приховування урядовими структурами справжніх масштабів цифрового шахрайства, МФО можуть згодом пролобіювати відміну такого обмеження, яке наразі не регламентується ніякими законодавчими нормами.

Що робити?

Насправді, варіантів покращення вирішення проблеми «кредит через Дію» існує кілька: від локальних до загальнонаціональних.

Локальним рішенням може бути поступова відмова банків та інших компаній-партнерів приймати Дію у якості легітимного засобу ідентифікації особи у разі суттєвого збільшення випадків фроду (шахрайства) з її використанням. Приводом для відмови можуть слугувати, наприклад, «збої функціонування відповідного технічних засобів» з боку банків або «хакерські атаки», або «тимчасові профілактичні роботи», або інші формальні приводи.
Вірогідність застосування рішення: середня-висока.

Іншим локальним рішенням може бути тимчасове відключення самим розробником можливості банкам використовувати Дію у якості ідентифікатора особистості.
Вірогідність: середня-низька.

Глобальним рішенням могло б бути призупинення Верховною Радою дії Закону України №1368-IX «Про Єдиний державний демографічний реєстр та документи, що підтверджують громадянство України, посвідчують особу чи її спеціальний статус», яким прирівняла цифрові документи в додатку Дія до звичайних.
Вірогідність застосування рішення: низька.

Також до глобальних рішень можна було б віднести радикальні зміни з боку державного розробника та інших причетних органів влади у бік зміни концептуальної парадигми, архітектури та принципової моделі реалізації механізмів цифрової ідентифікації громадян, особливо у частині суттєвого підсилення безпекової складової.

Одночасно інтенсифікувати процес забезпечення безпеки державних баз даних та реєстрів, розблокувати фактичний і правовий захист персональних даних громадян, активізувати правозастосовчу роботу у цій сфері, та лише після того перейти до розробки безпечних цифрових рішень, які відповідають сучасним міжнародним підходам.
Вірогідність застосування такого рішення: близька до нульової.

* * *

Слід зазначити, що крім можливостей нанесення фінансової та майнової шкоди з боку криміналітету, вище змальований злочинний механізм може бути використаний також в інтересах іноземних розвідок: інфільтрації на територію Україні агентури та агентурних груп із подальшої їх легалізацією та/або консервацією; для підготовки диверсій, пропагандистських акцій, формування вигідної ворогу громадської думки тощо. Але ці питання не є предметом даного дослідження і можуть бути досліджені окремо.

І наостанок: якщо комусь прийде думка мої теоретичні дослідження на цю тему розгорнути у повноцінну наукову дисертацію, готовий обговорити таку можливість.