Почтовая рассылка принесла радостную весть об очередной дигитальной перемоге неугомонного Министерства цифровой трансформации (МЦТ): «lifecell + Дія: запускаємо послугу, яка допоможе вберегтися від шахрайства».
Теперь, как пишет издание Mediasat, для выполнения такой критической операции как персонификация номера в сети lifecell достаточно, во-первых, назвать одноразовый сессионный код, отправленный представителем оператора в СМС и, во-вторых, озвучить сессионный код, сгенерированный «е-паспортом» Дии. Озвучить. По телефону. Без личной явки. «Аби вберегтися від шахрайства».
В прошлом году, вскоре после запуска разработчики «е-паспортов» столкнулись с тем, что мириады коммерческих и государственных организаций желают не просто идентифицировать обладателей «е-паспортов», но и протоколировать (фиксировать на своей стороне) факт успешной идентификации. В МЦТ решили эту задачу с помощью одноразового графического (штрих- и QR) кода, который генерируется в приложении Дия по запросу пользователя на непродолжительное время. Сгенерировав этот код, владелец «е-паспорта» предъявляет его запрашивающей стороне, та сканирует его собственным приложением Дия и не только видит персональные данные идентифицируемого лица, но и сохраняет информацию об этом на будущее.
Я думал, что в МЦТ остановятся на этом, но, к сожалению, ребята решили причинить миллионам беззащитных сограждан ещё немного добра. В результате помимо одноразового графического кода «Дия» генерирует ещё и одноразовый набор цифр, которые можно продиктовать или отправить в мессенджере.
Неужели в «Дия Компани» ничего не слышали про атаки вида Man-in-the-Middle? Вопрос риторический, можно не отвечать. Давайте разберём простейшую схему кражи идентичности, основанную на использовании вышеописанных механизмов.
ОПГ, МФО и Man-in-the-Middle
Последние года три участники рынка финансовых услуг аж из штанов выпрыгивают так им хочется получить возможность удалённой идентификации клиентов. Самые прыткие, вроде небезызвестной МФО Манивео, уже «научились» это делать, сорвав куш и заполучив лавры самых продвинутых по финтеху. Ну как «научились» — набрались наглости игнорировать вроде бы вполне однозначные KYC-процедуры и прикрылись какими-то бумажками почившего в бозе Нацкомфинуслуг. Теперь всё это хотят себе и все остальные.
Ответом на эти стенания стали обещания НБУ и МЦТ порешать вопрос путём использования Дии, во-первых, и внесения соответствующих изменений в нормативную базу, во-вторых. Первыми обещанные изменения оценят украинские ОПГ, использующие связку из микрофинансовых организаций (МФО) и т.н. коллекторских компаний для вымогательства средств у частных лиц. Где-то с 2019 года эти ОПГ поставили на поток оформление в карманных МФО кредитов на случайных лиц. Кредитные средства тут же присваиваются, а затем несчастные люди сталкиваются с террором «коллекторов», которые требуют от них погашения уже украденных кредитов с набежавшими процентами.
А теперь следим за руками, опишу мошенническую схему, нацеленную конкретно на абонентов lifecell. Преступники регистрируют какое-нибудь ООО «Лайф Сел», с помощью которого будут мимикрировать под уважаемую компанию. Это ООО необходимо, чтобы по ходу удалённой идентификации пользователь Дии видел в push-уведомлении нечто, соответствующее его ожиданиям. Я, кстати, не в курсе, контролирует ли «Дия Компани» что именно отправляется в этих уведомлениях хозяйствующими субъектами, поэтому предположу наличие надзора со стороны МЦТ. Документация на «е-документы» вот уже больше года является тайной за семью печатями, которую оберегают от чересчур любопытных граждан с помощью до изумления примитивных уловок.
Итак, ничего не подозревающий гражданин получает звонок от мошенников, представляющихся сотрудниками lifecell. На фоне характерных шумов call-центра ему озвучивают хорошо продуманную легенду. Например о том, что неустановленные злоумышленники пытались оформить на себя его номер, но были успешно разоблачены. Жертве предлагают не искушать судьбу и персонифицировать свой номер, воспользовавшись инновационной услугой от lifecell и Дія. Вберегтися від шахрайства, yeah.
Параллельно, как вы понимаете, мошенники звонят в lifecell, заявляя о своём желании персонифицировать свой собственный номер. В полном соответствии с процедурой они получают и называют полученный от оператора в СМС одноразовый код, а вот одноразовый числовой код Дии называют тот, что им назовёт ничего не подозревающая жертва. В результате на руках у мошенников окажется номер мобильной связи, пользователем которого будет считаться другое лицо.
Итак, имея на руках карманную МФО, заточенную на выдачу подложных кредитов, и возможность провоцировать подтверждение пользователей Дии в процессе первичной идентификации, преступники смогут подделывать юридически значимые действия жертв. Если кто-то чего не понял в этой схеме, рекомендую ознакомиться с деталями оформления кредитов в МФО.
Зная неугомонных дигитализаторов, аналогичную схему удалённой «идентификации» они будут активно навязывать всем без исключения, от Укрпочты до финансовых учреждений. Хочу отдельно подчеркнуть — ни жертва, ни сотрудники оператора не имеют никаких оснований подозревать неладное. Более того, если преступники предварительно выяснили установочные данные жертвы, их в принципе невозможно разоблачить в процессе атаки.
Если кому-то покажется, что я описываю некие умозрительные схемы, предлагаю ознакомиться с обзором криминальных инноваций Эстонии, чудесной страны, подарившей нам Skype и Яннику Мерило. Несмотря на имидж чертовски передового государства с могучей ИТ-составляющей, Эстония сталкивается с эпидемией успешных преступлений в цифровой среде, использующих именно инструменты удалённой идентификации.
Как всегда внезапно оказалось, что распиаренные Smart ID и Mobile ID уязвимы для простейших Man-in-the-Middle атак. Мало того, стремясь упростить жизнь пользователям, провайдер этих решений использовал очень похожую схему с кодами подтверждения. В результате мошенники смогли завладевать сессионными кодами Mobile ID, чтобы оформлять на себя Smart ID от имени жертв. В конце концов надзорные органы потребовали изменить схему идентификации, что и было сделано в июле прошлого года.
Выводы и мораль
Всё вышеописанное является очередной, как мне кажется уже предельно понятной иллюстрацией к вопросу почему ни в коем случае нельзя связываться с поделками гг. Фьодорова, Горбачьова и Баника. Получение «е-документов» это дорога в один конец. Дия не предлагает возможность opt-out, т.е. отказа, выписки из сообщества счастливых участников беспрецедентного эксперимента. При этом никто не знает и не может знать, какие ещё идеи придут в голову неудержимых дигитализаторов и воплощены с использованием всех имеющих в их распоряжении персональных данных. Напомню ещё раз, что неоднократные попытки получить от МЦТ хоть какие-то документы по Дие заканчивались предоставлением нечитабельных, сознательно испорченных файлов.
Сия история возвращает нас к событиям, имевшим место примерно год назад. Тогда в одном из интервью я описал «е-документы» МЦТ как своего рода цифровую версию пресловутой скан-копии паспорта, которую от нас требуют на каждом шагу. Эта аналогия вызывала разлитие желчи и подгорание у множества энтузиастов Дии, не преминувших выразить своё «фе» в комментариях к видео. Между тем обсуждаемые инновации МЦТ в полной мере подтверждают адекватность сделанных год назад умозаключений.
Что такое скан-копия паспорта? Это квазидокументальная форма протоколирования юридически значимых действий, которую много лет практикуют в Украине. Почему квазидокументальная? Потому что оборот ксерокопий регламентирован совершенно неудовлетворительными образом. Организация вроде бы идентифицировала обратившееся к ней лицо, вроде бы запросила удостоверяющие документы и даже зафиксировала сей факт, отсканировав предъявленный документ. Однако наличие ксерокопии не гарантирует никому ничего, поскольку её доказательная сила равна нолю. Копия не заверяется нотариусом, копируемые документы не сверяются с эталонными сведениями из государственных реестров, подпись не сверяется с оригиналом, а если и сверяется, то неквалифицированным персоналом, который легко обмануть.
Много лет массовая практика бесконтрольного, ничем не ограниченного накопление ксерокопий удостоверяющих документов рассматривалась как нелепая, но, в целом, безобидная забава. Начиная где-то с 2019 года как всегда внезапно обнаружилось, что никем не контролируемые развалы этих ксерокопий являются идеальным источником персональных данных для разнообразных мошенничеств. Мало того, ксерокопии можно использовать для усиления позиции мошенников в ситуации практически неизбежного оспаривания их действий. Наличие оригинала собственноручной подписи позволяет преступникам оспорить версию о фальсификации ими юридически значимых действий гражданина и предложить жертве доказывать свою правоту в суде, т.е. использовать стратегию изматывания оппонента.
Теперь то же самое, но уже в виде общедоступного государственного сервиса, реализовало Министерство внутренней цифровизации. Полученное с помощью нехитрых трюков подтверждение резко ослабляет позиции жертвы в ходе разбирательства. Бандиты из МФО будут орать «он, сука, хочет увильнуть от ответственности!». Румяные инноваторы будут делать покерфейс или тихонько поддакивать, защищая честь ведомственного мундира. Попытки оспорить ситуацию в суде упрутся в то, что «шеринг» всех этих «е-документов» регламентирован примерно так же, как и ксерокопий паспорта, то есть никак. Попробуйте найти общедоступное описание бизнес-логики «Дии». Попробовали? Теперь можете попробовать истребовать его напрямую. Поделитесь потом результатом.
Хочется пожелать команде lifecell быть поосторожнее с Министерством цифровой трансформации и решениями, которые они предлагают. Это высокомотивированные малокомпетентные люди, слабо представляющие то, чем занимаются. На неудобные вопросы они не отвечают, за неприятные последствия своих решений — тоже. Если что-то пойдёт не так, крайними окажутся абоненты lifecell и сама компания. Ещё одним подтверждением этого стала печальная судьба MobileID, которую мне искренне жаль как и моих собственных усилий, потраченных на развитие данного направления.
То, что в Украине уже есть е-паспорта, а в Турции (и во всём остальном мире) их до сих пор нет, само по себе должно вызывать подозрения. Я не претендую на роль эксперта в этих вопросах, тем не менее полагаю, что не будет проблемой найти людей, компетентных в проблематике удалённой идентификации и доверительных услуг, чтобы они помогли компании избежать неприятных неожиданностей.
Автор: Роман Химич, эксперт рынка телекоммуникаций, Mediasat