У державному додатку “Дія” виявлено нову хвилю шахрайських дій, пов’язаних з несанкціонованим оформленням кредитів. Зловмисники знайшли спосіб приєднувати невідомі пристрої до облікових записів користувачів та подавати кредитні заявки від їхнього імені.
Один з останніх випадків стався з користувачкою на ім’я Вікторія Александрова, яка виявила підозрілу активність у своєму акаунті вночі. Шахраї створили обліковий запис в угорському банку ОТП-Банк та використали його для авторизації в “Дії”, після чого почали масово подавати заявки на кредити.
“Сьогодні вночі. При чому я бачила, як приєднався новий пристрій, бачила як подає заявки і розуміла, що мене чекає. Почала звертатись в Дію – вони порадили видалити пристрій через відповідні кропку (яка не видаляє пристрої) та… дивитись за своїм телефоном. Сьогодні до них писала – взагалі ігнор. А кількість взятих на мене кредитів росте з кожною годиною. Найгірше – щоб це зупинити, потрібно видалити той другий пристрій з мого акаунту. Але ж це не так просто, так Дія ?
Спроби звернення до технічної підтримки “Дії” виявилися малоефективними. Незважаючи на надані рекомендації щодо видалення стороннього пристрою, проблему не вдалося вирішити, а кількість оформлених кредитів продовжувала зростати.
Експерти пов’язують цю проблему з архітектурним недоліком системи “Дія”, а саме – делегуванням функції ідентифікації користувачів банківській системі, яка має нижчий рівень довіри. На відміну від банків, які ризикують лише власними коштами, державна система оперує більш критичними даними, що стосуються національної безпеки та персональних даних громадян.
Фахівці попереджають, що проблема може мати системний характер і зачепити значну кількість користувачів, оскільки вразливість не обмежується одним банком. Лунають заклики до тимчасового призупинення роботи додатку до проведення незалежного аудиту безпеки міжнародними експертами.
Варто зазначити, що подібні випадки шахрайства через “Дію” вже фіксувалися у 2021-2022 роках, проте системного вирішення проблеми досі не запроваджено.
УК