Комментарии 35
"Переводил деньги на свой счёт" :)
Гений! :)
Пацан к успеху шел... Не повезло, не подфартило... :)))
А с каких пор на госуслугах можно оформить кредит-другой?
под видом потерпевших заходил на портал «Госуслуги», где оформлял кредиты
Это просто трудности перевода с русского на русский. Некоторые МФО просто выдадут 10,000 рублей под 1,000% годовых если клиент на их сайте авторизуется через гсуслуги и введет более-менее правдоподобные данные о себе.
Это не хакер, а малолетний идиёт.
Скорей бы уже разрешили оформить запрет на оформление кредитов. Жить было бы спокойне.
У меня одна дальняя родственница оставила где то телефон, так ушлые подростки просто достали симку, вставили в другой телефон, пин код был отключен, вошли в интернет банк, там видимо код из смс приходит для входа и смогли взять кредит и вывести деньги. И все это за несколько часов.
Она только через несколько часов поняла что телефона нет, симку заблокировала только через 3 дня, не думала что такое может произойти.
Почти год она оспаривала взятый кредит.
Он вроде уже есть, но надо обращаться в каждое учереждение индивидуально. А всяких микро шараг у нас просто несчеть. Да и открывать новую на месте старой тоже не проблема
С 1 марта следующего года вроде как можно будет ставить через госуслуги запрет для всех банков/мфо разом.
В контексте сабжа усложнит злоумышленнику, зашедшего на госуслуги жертвы задачу ровно на 1 шаг: отключить на госуслугах запрет для всех банков (в других случаях конечно такой вариант неплох)
Если не путаю, отключить запрет можно будет только при личном визите в МФЦ с документами.
Не тут сложнее, злоумышленнику понадобится сообщник в МФЦ, который "оформит" личное посещение для отключения запрета.
У меня знакомый стал жертвой таких мощенников, но у него сим карта была заблокирована после отсутвия активностей в течении полугода, а сам он уехал из России, и видимо у сотового оператора был свой контакт, потому что злоумышленник получил ровно такой номер и таким образом доступ к гсоуслугам. И злоумышленник смог оформить несколько небольших кредитов, но к слову стоит сказать что ситуацию знакомый достаточно быстро решил, взял справу у сотового оператора, что номер ему не принадлежал на момент оформления кредита и кредитные организации признали кредиты мошенническими.
Лучше установить пароль на сим-карту и включить везде двухфакторную авторизацию.
До сих пор вспоминаю, как персональный менеджер в банке меня спросил: "кредитами пользуетесь?". Получив, видимо, ожидаемый ответ "близко не подходил в жизни и не собираюсь", сказал: "а знаете, как защитить себя от мошенников?". И резко открывает мне кредитную карту, тут же ее блокируя с видом "смотри, как могу!".
в казахстане и многих других странах нельзя взять и переставить симку - я пробовал и надо мной прям смеялись как над пещерным ... она просто не работает
"Мага не делай да!"
Так на госуслугах же двухфактор
заходил на портал «Госуслуги», где оформлял кредиты
а виноват почему-то 18-летний
Так основная дырка тут - госуслуги. Аккаунт на них становится дороже жизни, потому что позволяет набрать кредитов на десяток лет вперед (тут как бы прибегает правительство и выступает гарантом авторизации и аутентификации - интересно, модно, молодежно!). Одним из ключей авторизации почему-то является публичная информация (снилс/номер телефона), делая ровно половину этого ключа нулем - ну да, ведь пару логин+пароль дураки же придумали. Кроме всего, госуслуги являются неподсудной стороной процесса, никому и никогда не компенсировали убытки от работы/неработы их сервиса (тут как бы это же правительство убегает и делает вид, что знать не знает эти госуслуги и вообще это произвела какая-то "маленькая инди-студия"). А также является стороной, исключенной из института репутации,да плюсом еще и с принуждением их использовать (невозможно, обслуживаться где-то еще, если репутация госуслуг не устраивает, если госуслуги сливают данные мошенникам и т.д.).
Что может пойти не так? (с)
У моей родственницы летом мошенники увели код SMS из Госуслуг. Они сразу поменяли реквизиты для входа, указав в том числе номер телефона, который ей явно не принадлежит. После этого разлогинили все активные сессии, слили данные, оформили несколько запросов в ведомства, и зарегистрировались под её аккаунтом в сервисе кредитных историй.
Судя по логам, весь процесс занял буквально несколько минут, а для подключения использовался VDS где-то в Нидерландах. Я полагаю, это говорит не просто о наличии какой-то неведанной дыры - эксплуатация уязвимости хорошо автоматизирована и поставлена на поток. Видимо, данный сценарий для Госуслуг уже настолько типичен, - судя по количеству аналогичных сообщений в интернете, - что не расценивается ими в качестве подозрительной активности и не триггерит ни каких мер со стороны IDS.
Поддержка нидерландского провайдера хоть как-то отреагировала на уведомление, в отличие от местной милиции (будет ущерб, тогда приходите) или Минцифры, куда портал предлагает отправлять жалобы.
А какая тут уязвимость. Родственница сама сказала код из госуслуг. Против социнженерии любые технические средства бессильны. Проблема в юзере.
Например то, что можно указать телефон, который зарегестрирован не на владельца аккаунта. На кой минцифры два года уже собирает эти данные с операторов?
Номер моей мамы зарегистрирован на меня.
Знаю кучу примеров, когда номера пожилых родителей зарегистрированы на детей, потому что так безопаснее и проще потом разбираться с опсосом.
Кем приходится вашей маме мошенник? Здесь было бы достаточно простой логики: номер ваш - меняйте по схеме упрощенной идентификации. Не ваш, либо подтвержденные данные о владельце номера отсутствуют - через личный визит в МФЦ вместе с вашей мамой, где вас идентифицируют и вы оба подпишете согласие. Плюс мониторинг и анализ инцидентов для своевременных корректировок.
Мне в свое время PayPal после кучи проверок с вопросами, сканами документов и выписками предыдущих платежей установил grace period в месяц на совершение действий после восстановления доступа к аккаунту. Не удобно, но с точки зрения безопасности вполне разумно.
Против социнженерии любые технические средства бессильны. Проблема в юзере.
Безопасность это проблема, включающая комплекс из оганизационых и технических мер. Риски, связанные с человеческим фактором неизбежны, но их можно эффективно снижать, анализируя модель угроз и используя различные тактики. Было бы желание.
Проблема в том, что доступ в аккаунт на Госуслугах сейчас во многих случаях заменяет паспорт, который бы гражданину пришлось предъявлять при личном визите в то или иное ведомство для того, чтобы подать заявление.
При утере и выдачи нового паспорта нужно пройти вполне разумный квест для идентификации личности.
На Госуслугах же вся идентификация сводится к одному коду из SMS, который технически может ввести кто угодно из любой точки земного шара. Это принципиально расширяет поверхность для атак.
Нет ни каких гарантий или проверок, что код вводит именно данный гражданин. Более того, будучи аутентифицированным таким способом, любой моментально получает полный доступ ко всем функциям аккаунта с возможностью совершать любые безвозвратные действия. Это уровнь безопасности какого-то интернет-магазина.
Нет ни каких гарантий или проверок, что код вводит именно данный гражданин.
Эти же самые граждане идут ножками сначала в банкомат и снимают там деньги. Потому что им так по телефону сказал какой-то человек. Потом идут к другому банкомату и там кладут деньги на другой счет.
И проблема массовая.
Как это решать собираетесь? Нотариальное заверение получать перед снятием денег с банкомата? Проведение соц/псих тестов на адекватность дежурным у банкомата?
На Госуслугах же вся идентификация сводится к одному коду из SMS, который технически может ввести кто угодно из любой точки земного шара.
Хоть УКЭП введите, хоть подпись кровью. Пока юзер как олень ведется на самые простейшие уловки, то эта песня будет вечной.
Нет ни каких гарантий или проверок, что код вводит именно данный гражданин.
Эти же самые граждане идут ножками сначала в банкомат и снимают там деньги. Потому что им так по телефону сказал какой-то человек. Потом идут к другому банкомату и там кладут деньги на другой счет.
И проблема массовая.
Как это решать собираетесь? Нотариальное заверение получать перед снятием денег с банкомата? Проведение соц/псих тестов на адекватность дежурным у банкомата?
Странная формулировка "Брал кредит на других людей в микрофинансовых организациях". На мой взгляд правильно будет - мошеническим путем похищал деньги в микрофинансовых организациях. Микрофинансовые организации сами допустили ввдачу кредита 3-му лицу без явного согласия последнего, и должны нести ответственность за участие в мошеничестве.
Сто процентов. И это годится не только для микрокредитных организаций. Если на вас жулики открыли кредит в банке, первое правило - НЕ писать заявление в полицию (а банк будет усиленно склонять вас к этому). Главное не стать пострадавшей стороной в уголовном деле-глухаре. Банк, а не вы стали жертвой мошенника в этом случае. Вы должны написать в банк претензию, он скорее всего вас пошлет, потом жалоба фин обмудсмену и потом в суд с банком (если он не сломался и считает что это ваш кредит).
Вообще, огромная уязвимость всех этих смс с кодом является то, что это по сути электронная подпись, отделенная от объекта подписания. То есть приходит нечто на телефон, а из скудного описания в смс пользователь должен восстановить весь контекст, с какого это сайта и о чем речь, причем абсолютно вне зависимости от кривости формулировок в смс.
Вот вроде реализуем тоже самое на обычной криптографии: нам падает на почту кредитный договор, мы его должны подписать, чтобы он дальше работал. Мы открываем его перед глазами, видим заголовок "кредитный договор" и сразу спрашиваем мошенников "Какой, к черту, кредитный договор, если вы мне полис ОМС продлять хотели?! Как это вообще связано?!" - и все, схема мошенничества развалилась, потому что сразу виден полный объект подписания. И подписываем мы объект подписания - т.е. если видим "договор купли-продажи" и подписываем его, то нашу подпись не получится отнести к кредитному договору. Сейчас же банки/госуслуги могут трактовать простую подпись из смс как угодно и к чему угодно - причем до степени смешения by design: вот можно ради интереса 5 разных операций в банке запросить, 5 кодов упадет и не факт, что вы потом сможете сопоставить, какой код к какой операции относился.
В Дагестане задержали мошенника, который брал кредиты на граждан по данным из слитых баз