Цифровий апокаліпсис в Україні оголошується відкритим

Громадянка України Людмила Ж. (це реальна людина, усі контактні дані та копії документів є) начебто «взяла кредит» через додаток Дія.
Звісно, вона цей кредит не брала. Звісно, вона навіть не зареєстрована у Дії. Звісно, на момент оформлення шахрайського кредиту у неї не було навіть ID-картки (а був старий паперовий паспорт-книжечка). Нікому не повідомляла свої паролі, не віддавала телефон, усвідомлювала можливі наслідки.

Пані Людмила звернулася зі скаргою у кредитну установу, яка надала кредит — але та відповіла, що «у Товариства відсутні достатні підстави вважати, що кредитний договір з Товариством замість хххх Людмила хххх укладено іншою особою».

Пані Людмила написала заяву в поліцію та кіберполіцію, три години провела у Дніпровському райвідділі, віддала їм купу документів та даних з банків, за якими можна встановити зловмисників, спілкувалася потім зі слідчим. Результат: «Ми вам зателефонуємо, якщо щось з’ясуємо». І тиша, протягом вже трьох місяців.

Постраждала також звернулася в Дію — і отримала стандартну відписку з набором штампів «у зашифрованому вигляді», «підтверджена сертифікатами безпеки», і що дані користувачів в Дії таки зберігаються (скріншот).

Ще пані Людмила звернулася в НБУ — і той відповів що «у Національного банку відсутні повноваження щодо розслідування та підтвердження або спростування фактів протиправного утворення кредитної заборгованості певних позичальників небанківських фінансових установ внаслідок вчинення шахрайських дій іншими особами (особою) та надходження погроз з вимогою погашення такої заборгованості.»
Скрішоти додаються.

Усі держслужбовці начебто «розбираються», але питання залишається невирішеним, зате колектори продовжують вимагати повернути неіснуючий кредит. На законних — підкреслюю — підставах.
НБУ, замість допомоги, ввічливо повідомляє постраждалій, що загальна сума заборгованості станом на 07.06.2021 складає 11 677,50 грн, яка складається з:
— 2 430,00 грн — тіло кредиту;
— 9 247,50 — проценти, нараховані за користування кредитом.
На сьогодні вже більше.

І невідомо скільки аналогічних випадків вже трапилося і скільки ще трапиться. А про які нібито «зареєстровані у Дії» громадяни ще просто не знають.
І навіть якщо цей, поки що разовий випадок зможуть якось зам’яти — що буде коли шахраї поставлять процес на автоматизований потік і таких випадків стане по тисячі в день? Увесь чиновницький апарат просто фізично не зможе з цим справитися, навіть якщо захоче.

Та й чи захоче? А якщо захоче — чи зможе?
Адже «дієві», стрімголов запустивши тотальну діджиталізцію, знехтували питаннями її безпечності («роль кібербезпеки трохи перебільшена»), поспішаючи догодити Найвеличнішому (який нікому нічого не винен, між іншим) швидкими результатами, які сподобаються (зе?)виборцям. А чи сподобається їм коли на них навісять неіснуючі кредити, відіжмуть квартири та автомобілі? І як бути з усіма іншими, критично- і не дуже мислячими виборцями? Користувачами Дії та її противниками? Та й чи залишимося усі ми виборцями — носіями джерела влади?

Адже випадок пані Людмили наглядно демонструє, що в сучасній Україні живій людині неможливо довести чиновницькому апарату, що саме вона є суб’єктом правових відносин, а не вкрадена у неї цифрова особистість. У країні, де чиновники та поліція існують точно не задля захисту інтересів простого українця.

До речі, подібні ситуації у професійному середовищі називаються Proof of Concept (РоС) — це коли фахівці завчасно моделювали, прогнозували, складали два і два та волали про очевидні наслідки, але практичних доказів теоретичних тверджень на той момент поки не було. А тепер вже є: ось вам «Підтвердження Концепції», Proof of Concept.

Найбільша ж проблема полягає у тому, що жижиталізатори відмовляються брати на себе відповідальність за безпеку усього технічного ланцюжка довіри: реєстри-шифрування-сервери-канали передачі даних-АЦСК-банки-РКІ-код додатку-середовище функціонування додатку-середовище всього вище іменованого.
Вони розуміють, що проблеми безпеки можуть існувати (і насправді дійсно існують) на кожному з цих критично-важливих вузлів. На кожному без виключення.
Але відповідальність беруть (на словах, звісно) лише за умовну «обгортку» всього цього ланцюжка — програмно-апаратне рішення «Дія». Відповідальність за безпеку державних реєстрів вони перекладають на власників/розпорядників цих реєстрів, за Bank-ID — на банки, за криптографію, ключі та сертифікати — на АЦСК, за безпечність серверів — на хмарного провайдера, за шифрування даних при їх передачі — взагалі розробнику протоколу TLS/SSL( спитайте когось з «дієвих» чи нають вони що таке IETF).

І усім цим організаціям жижиталізатори чомусь «довіряють», безапеляційно розраховуючи на принциповість, чесність та високо-кваліфікованість кожного працівника цих ланок. А коли мінцирковим вказують на глибоку хибність та небезпечність такого підходу — ображаються, пишуть принизливі коменти («ваши пости — дно», О. Вискуб) та само-ізолюються зі своїми симпатиками у теплих броньованих ванних. Як підлітки.

Біда ж полягає у тому, що у стані «паперовий паспорт, ніякої Дії» — перебуває більшість українців. І кожен з них (з нас насправді) відтепер знаходиться у зоні ризику (разом зі щасливими користувачами Дії, між іншим).

Зі слів недолугих пропагандистів з Мінцирку, у Дії начебто зареєстровано близько 10 мільйонів українців.

Але тепер і ця цифра під великим питанням. Хто може гарантувати, що більшість з них — не боти Федорова? Я не можу цього гарантувати, інші фахівці з кібербезпеки — теж не можуть, бо ніяких документів на Дію не показують, вихідний код засекречено, реальна можливість переконатися у захищеності усіх ключових елементів інфраструктури Дії — відсутня. Реальна статистика та результати розслідування інцидентів безпеки Дії — майже військова таємниця. Авторитетні незалежні міжнародні компанії також не запрошують засвідчити безпечність небезпечної поробки.
Ефемерна ж «безпека» Дії забезпечена лише словами чиновників та працівників Мінцирку, яких неодноразово ловили на брехні.

Що це все означає?
А це означає, що відтепер забудьте про свою безпеку та стабільність: Дія рані чи пізно відніме у вас все, що ви вважаєте своїм: приватність, персональні дані, майно, громадянські права.

Відтепер повісити неіснуючий кредит відтепер можна на будь-якого громадянина/громадянку України.

І не важливо, чи людина реєструвалася у Дії, чи замінила паспорт-книжечку на пластик з чіпом, і що взагалі думає про жижиталізацію та чи любить партію та уряд. І чи голосувала за зелених пройдисвітів.
Сьогодні шахраї через Дію повісили на невинну людину кредит.
Влада — Мінцирку, Кіберполіція, НБУ — ніяк на це не реагує, усі надсилають відписки та між собою вважають постраждалу хитрою шахрайкою.
Потім це явище стане масовим. Паралельно за тією ж схемою будуть переписувати квартири, підприємства та компанії. Як варіант — телеканали, політичні партії, громадські організації.
А вибори перетворяться у голосування Дія-ботів зі 100% підтримкою партії влади. А якщо якийсь нахабний виборець прийде не виборчу дільницю і кричатиме щось про свої виборчі права, розмахуючи паперовим паспортом громадянина України — аваківські соколи вдягнуть йому кайданки та намалюють кримінальну справу, поки від його імені Дія-бот проголосував за Найвеличнішого лідара, за 3 секунди до часу закриття дільниці. І потім нічого довести вже буде неможливо. Це видно на кейсі пані Людмили.

І що характерно — захиститися від цього нікому з нас неможливо. Все узаконено — підпис с Дії є аналогом оригінального підпису, згідно Закону України. Піди доведи, що в тебе немає, не було і ніколи не буде Дії. Що це не ти її встановив і підписав кредитну угоду, продав квартиру, подарував телеканал.
І ти можеш про все це взнати далеко пост-фактум. Або твою квартиру перепродадуть десять раз і за півроку новий абсолютно добросовісний покупець приїде до вас зі спецназом та болгаркою.

Що робити, кажете, як рятуватися?
Теоретично, можна писати відкриті листи та підписувати петиції. Але це недієвий інструмент (тобто неефективний). Влада просто ігнорує +25 000 підписантів будь-яких петицій. Численні попередження професійної кібербезпекової спільноти також не помічаються, а проти особливо активних та наполегливих фабрикують кримінальні розслідування (Одеський аеропорт, Український кіберальянс).
Тим більше, що інститут петицій остаточно скомпрометований — там вже повно фейкових акаунтів.

Пікетувати офіси Мінцирку та ДП Дія чи виходити на протести? Навряд чи збереться більше 20-30 людей, та й ті розійдуться після другого безрезультатного заходу. Над подібними потугами протестувати зе-влада лише посміється. Деякі медіа, можливо, про це напишуть. І на тому протест закінчиться.
Цей метод впливу стане актуальним тоді, коли кількість випадків шахрайства сягне кількох тисяч і надалі наростатиме на фоні бездіяльності та безпорадності чиновництва та правопорехонців.

Я серйозно замислююся про перспективи створення політично-технократичної організації (чи навіть партії) АнтиДія чи якогось громадського руху Дія-Геть. Хоча і це звучить досить утопічно: для такого масштабного проекту необхідні великі гроші та сміливі люди. Поки що спостерігаю брак і першого, і другого.
Не голосувати за федорових-вискубів на наступних виборах, кажете? Так а за них і раніше ніхто не голосував. Їх призначили ті, за кого проголосували. У них повний карт-бланш на руйнацію усього, до чого дотягнуться їхні рученята. Правовий нігілізм, антинауковий підхід до цифровізації, агресивний само-піар, демонстративне нехтування основами кібербезпеки, безвідповідальність за наслідки своїх «дій», нездатність навіть спрогнозувати такі наслідки — ось головні характеристики улюбленців Зеленського, які семимильними кроками штовхають суспільство до цифрової катастрофи та руйнації основ демократичного суспільства. І між іншим: саме вони будують таку систему, за якої ми вже не зможемо голосувати на власний розсуд.

Тобто у мене немає готових рецептів як протидіяти всьому цьому цифро-жаху. Я вже кілька років намагаюся доносити слова об’єктивної реальності про кібербезпеку та її важливість, і начебто багато хто мене підтримує, але влада просто робить вигляд, що не помічає цього, свідомо продовжуючи свою небезпечну справу. Собака гавкає (я), а караван іде далі (жижиталізатори).
І ось починають з’являтися перші наслідки цієї стабільної ситуації, які усіх наче влаштовувала.
Далі цих наслідків буде більшати, а їх характер стане масштабніший.

І торкнутися це може усіх: і звичайних громадян, далеких від ІТ-технологій, і працівників каральної системи охорони режиму, і корумпованих бізнесменів навколо зебілів, і рядових «слуг», і навіть великорозумних професійних кібербезпечників, які «не хочуть лізти у політику».
Одного дня прозріння таки прийде, але буде вже запізно: квартиру твою продали, кредит на тебе повісили, на виборах замість тебе проголосували. І нема кому буде захистити. Тому що ви/ми зробили це разом.
Ласкаво просимо до цифрового кібер-панку 2021. У цифрових джунглях виживуть не всі, і не факт, що найсильніші. Лише ті, кому «не пофіг».

P.S.:
Я розмовляв вчора в панею Людмилою по відео-дзвінку. Приємна доброзичлива киянка, ніколи не брала ніяких (!) кредитів, не має великих статків, працює менеджером у невеликій компанії. Звичайна пересічна українка, непублічна, як і мільйони інших наших співвітчизників. Ніколи не встановлювала собі Дію і не збирається.
Не хоче ніякого хайпу, аби лише якось вирішилося це питання з фейковим кредитом та припинити цькування з боку колекторів. Заради цього готова до зустрічей та інтерв’ю.

Розказала мені ще купу фактів як шахраї намагалися угнати її фінансовий номер та добавити свій, зареєструвати в інших кредитних та банківських установах, відкрити рахунки у інших банках, замінити її дані своїми, та інші детективні подробиці.
Тому я звертаюся до небайдужих громадян журналістів, адвокатів, депутатів які пам’ятають себе людьми, чиновників із залишками совісті, — до усіх, для кого моя думка щось важить: домопожіть, будь ласка, пані Людмилі. Вона відкрита до спілкування, їй нема чого приховувати, вона чесна людина з чистою совістю.
Щоб захистити пані Людмилу від тиску з боку чиновників та інших додаткових неприємностей, я не повідомляю її персональні дані та контакти. Але готовий «прокомунікувати» (модне слово) з людьми, яким можу довіряти: пишіть мені у ФБ-месенджер. Тегайте у дописі корисних для цієї справи людей, поширюйте його, можна копіювати цей текст і розміщувати де завгодно. Давайте спробуємо врятувати хоча б першу офіційну жертву Дії. #Врятувати_рядового_Людмилу.
Але, разом з тим, от просто зараз нам треба серйозно думати як врятувати себе та країну він вже існуючої, абсолютно реальної загрози безжальної федорівської діджиталізації.
Оригінал статті на ФБ та скріни тут

UPD: Багато хто запитує «шо, дійсно можна взяти кредит через Дію?». Ось тут «дієві» самі розказують як це зробити.

👍ПодобаєтьсяСподобалось18
До обраногоВ обраному2
LinkedIn

Найкращі коментарі пропустити

А якби кредит був взятий без дії , а просто з паперовим паспортом?
Чому ваш гнівний пост саме проти Дії?
Ви вважаєте, що з паперовими паспортами таке не можливо? Фейкові кредити процвітають і дія тут взагалі ні при чому

Глава Минцифры: «Роль кибербезопасности немного преувеличена»

Дозволені теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter
Дозволені теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter

— 2 430,00 грн — тіло кредиту;
— 9 247,50 — проценти, нараховані за користування кредитом.
А какой смысл.. и вообще не много ли мороки ломать Дию.. что бы взять кредит на 2000 грн.. что это за хакер такой ).. Если бы ломать то уже по полному..

Це кіберпанк. Чекаю майора Кусанагі. Сяду в тачікому і поїду з нею наводити порядок.

справа как раз висит горячая вакансия от ТОВ КошельОК

аін пише таку дічь
«Сначала мошенники попытались взять на женщину кредит в „Альфа-банке“, но банк не одобрил заявку. Тогда на Людмилу оформили карту monobank и получили кредит уже на нее»
а що невже так просто оформити монобанк акаунт без людини? чи акаунт в моно можна просто оформити використовуючи bankid іншого банку?

Вот тут Рогальский радостно рассказывает как поделие Гороховского позволяет открывать счёт в их общем банке.
youtu.be/D_pKODhSWb4
начало на 4:38

Когда узнал что Гороховский среди людей консультирующих Дию — был очень удивлён что Дия получилась такой черезжопной.

5:59 — 17 миллионов людей потенциально могут взять микрокредит в каком-нибудь манивео, майкредит или где-то ещё

А якщо ви маєте в monobank ФОП-рахунок і авторизовані в Дії — Дія автоматично отримає виписку за вашими рахунками
При цьому при авторизації через mono Дія не просить доступу до вашої виписки, але чомусь його отримує :)

Розлогін не допоможе — Дія запам’ятає ваш clientId моно і матиме змогу надсилати запити про стан ваших рахунків.

dou.ua/forums/topic/33812

ну ясно. отже схема була така:
отримали доступ до телефона жертви. з нього до мила (ukr.net). з нього до альфабанку. а це значить bankid, з bankid зареєстрували її в дії. а вже далі з дії можна реєструватися в монобанку і можливо навіть ще у якихось інших банках?) і брати собі у них кредити...

«Но и такая серия краж идентичности и „взломов“ не могла бы завершиться получением кредита с помощью цифрового паспорта, если бы финансовое учреждение грубо не нарушило правила, установленные НБУ. В правилах этого финучреждения указано подтверждения личности человека с помощью фото, чего, очевидно, не было сделано», — подчеркивают в Минцифры.«
>>Тобто підтвердження фото та?) ага особливо з deepfakes та? серьозна перевірка, та.

«Более того, Минцифра отключила от „Дія“ все микрофинансовые организации — чтобы такие случаи не повторялись.»
Ага счас. отримавши доступ до bankid потенційно можна отримати доступ до реєстрації акаунтів у інших банках і відповідно брання кредитів у них по максимуму. І «микрофинансовые организации» тут ваще ні при чому.

🐞 Дія пообіцяла почати bugbounty в червні.
Тобто крайній термін — сьогодні.
dou.ua/forums/topic/33984

UPD. Дія і Михайло Федоров збрехали про початок баґбаунті в червні.

Як-то кажуть — «роль кібербезпеки трохи перебільшена» 🦾

Сталась аналогічна штука з родичкою, трохи покопавшись в акаунтах вияснив наступне:
— даних з дії + Bank ID достатньо щоб взяти мікрозайм
— в цьому конкретному випадку зламали акаунт My Alfa Bank, потім через банк айді зайшли в дію, взяли паспортні дані, і по цьому взяли мікрозайм.

Найгірше наступне: авторизація альфа банку працює просто по логіну паролю, ніякої 2 факториної авторизації і тд. обмеження кільксоті спроб вводу теж не бачив, раджу всім перевірити свої онлайн банкінги, і включити 2 ФА

і включити 2 ФА

номер телефону який ніхто крім вас і банку не знає

А сімку вставити в старий телефон без андроіда, іос чи сімбіан

без андроіда, іос чи сімбіан

Еге ж, Windows Mobile набагато безпечніший.

Ну еге ж, Symbian згадувати можна, а WM ні.

BB OS довготриваліша за обох. Хоч 10-у й мало що обʼєднує з попередніми, окрім назви. І таки так, вона безпечніша.

А фічерфонні ОС ще безпечніші. Особливо якщо в Інтернет не випускати (а з цим на будь-яких старих мобілках простіше, суто через дорогий в цілому по світу мобільний інтернет аж до кінця 00-х, і, як наслідок, відсутність у розробників нахабності лізти туди на кожен пчих без попередження).

Але водночас вразливіші до фізичного викрадення. Втім, PIN на SIM це нівелює, зі зчитування старих SMS із флеш-памʼяті зиску мало — а далі вже сходимо до вразливостей викопної криптографії в SIM, перевипуску SIM через соціальну інженерію, та навіть дірявого SS7, які від використовуваної мобілки залежать приблизно ніяк.

Через останнє європейські банки за вимогами PSD2 поступово відмовляються від 2FA через SMS. І замість того, щоб користати хоча б відкриті стандарти TOTP/HOTP, більшість просто завʼязує 2FA на своїх мобільних застосунках, які є тільки під Android/iOS, максимум ще апаратні токени надають, та й те вважається «для дідів». Скоро і до нас ця напасть дістанеться; можна, приміром, прощатися з приватівським SMS-банкінгом.

www.youtube.com/watch?v=Ht5bVqqjpNs
про всяк випадок мануал, що робити, якщо на вас оформили кредит без вашого відома і почали надзвонювати лихварі

а госпожа Лариса могла в прокуратуру обратиться по факту мошенничества вообще, а не ждать месяцами полицию? Это так сложно? Что Лариса странная, что автор статьи обоину чепухи расписал.

Вы немного наверное не в теме т.к. не сталкивались с нашими «органами» (полиция, киберполиция, прокуратура и т.д.)

ще б ти читати навчився, як людину звати, перш ніж писати свої йумарні коментарі тут

У меня тут в городе 40!!! человек(гос служащих) байкот обьявили и не работали.
Есть куча видео, видео от 1+1, куча всидетелей естественно, включая начальника полиции.
Но полиция написала «недостаточно данных для открытия дела».
На заяву от мера города, поданную с двумя адвокатами, ага.

Ніяк, зазвичай це незаконно, ну за виключенням коли людина дала довіреність

при хорошому адвокаті (а це гроші і більші ніж вказана сума кредиту) так

Потому что таков закон — по заключенному договору взявший кредит обязан его вернуть. Если не хочешь возвращать то должен обосновать это.

тому що закони побудовані так що шахраї — хороші, а жертви — погані. ттебе назвали «кохлом» а ти бігай і збирай довідки що копит немає, що хвіст не відріс і т.д.

Ну такое. Регистрация в приложении доступна через BankID: Ощадбанк, Радабанк, Кредобанк, Мотор банк, Банк Восток, Идея Банк, Monobank, ПУМБ, Банк Форвард, «Банк Південний», Альянс банк, А-Банк. Авторизация через Monobank занимает до 15 секунд. Затем вас попросят придумать код из 4-х цифр и предложат функцию Touch ID (авторизация по отпечатку пальца, если такое поддерживает ваш телефон).
Т.е. зарегистрироваться в Дія можно только с помощью авторизации в банке. Можно авторизваться методом социальной инженерии :) Например авторизуюсь в Приват24 через СМС. В это же время звонят жертве и рассказывают что проводят проверку чего то там.... и просят назвать код из СМС. По факту будет ситуация, когда пользоваться зарегистрировался самостоятельно.... но этого не делал.

По факту сетям с низкой достоверностью и нулевой ответственностью владельцев переданы функции управлять правами граждан от их имени.

Грубо говоря, оператор сети связи с ну очень российскими владельцами может ничтоже сумняшеся подделать любую SMS, зарегаться в Дии, и уже оттуда честно пораспоряжаться каким-то ценным имуществом. И отказаться от этого нельзя.

Если ещё проще, феодальный строй в полный рост. Его отличия от рабства только в том, что крепостные, не имея прав (как и рабы), тем не менее должны заботиться о себе как-то сами, ну и ещё платить налоги. Экономически феодализм даже менее выгоден, чем рабовладельчество. А в военном отношении беспомощен даже перед внутренними конфликтами.

На знайому кілька років назад хтось повісив кредит (дії-сіті і в проекті не було). У цих випадках треба придивитись до родичів : чоловіка, брата, сина. Також, при працевлаштуванні людина дає всі копії в бухгалтерію та при оформленні ФОПом на галерах часто підписує мутні довіренності, типу згода на відкриття рахунків від її імені третіми особами.

Сподіваюсь «кілька» більше трьох?

Ну і все, строк давності скінчився, посилати ціх клоунів відкритим текстом в суд.

А якби кредит був взятий без дії , а просто з паперовим паспортом?
Чому ваш гнівний пост саме проти Дії?
Ви вважаєте, що з паперовими паспортами таке не можливо? Фейкові кредити процвітають і дія тут взагалі ні при чому

Вже є схеми де на потоці віддалено беруть кредити зі сканами паспортів (краденими паперовими паспортами)?

Со схемой через Дия можно будет скрипт написать и тысячами брать кредиты
С бумажным паспортом злоумышленнику еще нужно найти где-то хотя бы его копию
То есть, вероятность того, что именно я пострадаю от этого — на порядки выше

Так это майнинг кредитов какой-то :D

Такой майнинг кредитов предсказуемо заканчивается их общей нелегитимностью.

Звучит как збс стартап

если авторизацию в банк онлайн можно ставить на поток то это не проблема дии.

Если авторизацию в Дие можно делать через поставленную на потом авторизацию в БандИд это не проблема банков.

мабуть тому що:
«Держава,
що допомагає, а не заважає

Держава має стати сервісом, а не лячним монстром. Допомагати одним швидко отримувати послуги, а іншим — чесно виконувати свою роботу. Тому ми запускаємо проєкт „Цифрова держава“, що згодом об’єднає всі відомства в єдину зручну й дієву онлайн-систему.»
взято з сайта дія орг юа

З паперовими документами все можливо, але набагато складніше для зловмисників.
Якщо паспорт і справка про код лежать у мене в сейфі, то їх нема у зловмисників. У кращому випадку є копії. Людина з боку фінансової установи, яка виписала кредит по копіях підставляє себе як 100% співучасник. На паперовому договорі має бути фізичний підпис (і як правило не один), його можна підробити але є експертиза і можливість оскарження.
З іншого боку, якщо є електронні копії моїх даних у умовній Дії, то мені дізнатися кто і як їх наразі використовує — неможливо. Якщо був скомпрометований приватний ключ електронного підпису або ключи центрів сертифікації, то довести що хтось підписав електронний договір замість мене — неможливо. Я не кажу вже про фішинг де постраждалий щось ліве підпише власноруч і добровільно. Я не кажу про різноманітні варіанти насильницких дій коли постраждалий підпише щось не зовсім добровільно але власноруч, з використанням електронних підписів такі дії залишать набагато меньше слідів.
Тобто, проблема з жижиталізацією вона ширша ніж отримати на себе шахрайский кредит.

Именно! Рад, что появляются единомышленники.

Lead Software Developer, що захищає дію це, приблизно, як пожежник, що захищає паліїв трави.

Чому ви думаєте, що це адекватно виправдовувати один тип злочину іншим?

Просто упомянутая автором Загорецька Людмила Степанівна

НЕ любить партію та уряд

и не понимает, что надо не отбиваться от этого монстра в одиночку, а подсаживать туда новых юнитов, переводя свои кредиты на новичков, отримуя с этого лайна бонус та уезжати працювати манагером с пляжа в Тайланде...

Тяжелая история.
Выдача фиктивных кредитов на данные уже на потоке, пример 2-х дней назад:

Онлайн-кредити під 1500% «річних»: СБУ викрила схему вимагання грошей за неіснуючими кредитами

Кіберфахівці СБУ заблокували у Києві масштабний механізм вимагання грошей з громадян через незаконне оформлення онлайн-кредитів. Від діяльності псевдоколекторів постаждало понад 60 тис. людей.

Источник: ssu.gov.ua/...​a-neisnuiuchymy-kredytamy

просто все перешло на новый уровень, как с черными нотариусами и так далее.
а если еще и землю смогут оформлять в дие ...

Короче, все було так: Людмила бухнула, дала хахалю 2400 грн з кредитки, щоб він поставив ставочку в паріматч на Євро 2020. Ставочка згоріла, лавешка не зайшла. Тепер придумують історії, як їх ошукали (хоча такий типаж за 2 місяці до цього окучує всіх сусідів заробити 500 грн просто виклавши скани паспортів у вайбер, шарові гроші!) і ось знайшли нову тему: Дія!

Який у вас цікавий особистий досвід, одначе

тоді вже і Джо Байден петицію підписав

Так тоже известный же бухарик, отправил подругу заложить в ломбард большую печать США и паспорт, а те не долго думая от его имени подписали петицию против Ермака, редиски.

Проводити все це, щоб взяти кредит в 11к грн на когось 😅😅😅🤣🤣😀 цей копірайт рівня радіо промінь

Ору. Я то думав, що взяли 2.4 ЛЯМА 😃😁

В щироко известном кейсе воровства денег с карт ПУМБ суммы были ещё более смешные:

5 марта и 10 марта было списано два платежа на сумму 1500 и 1350 грн соответственно.

один из десятков случаев несанкционированного перевода денег с карт, общая сумма ущерба по оценке самого банка — 130 000 гривен.

Если Дию так легко обмануть то почему бы и не сделать это ради 2400 гривен?

Ну вполне логично- что мешает сотню таких кредитов взять? Может чем обращаться в полицию и тратится на суды жертва выплатит те 100$ да и все.

Ну так это стандартная практика. Лучше брать по 10 денюжек с 1000 лохов, чем 10000 денюжек с одного. Мелкая сумма, кто-то да выплатит лишь бы не морочиться.
Такая схема в ходу у поставщиков бытового газа: начислять левые долги за газ на 200-300-500грн. Идти в отделение, сидеть в очереди и устраивать срач с разбирательством за такую сумму будут только пенсионеры с кучей свободного времени и энтузиазма (и то, наверное, не все). А большинство людей просто предпочтет эти 200-300-500грн заплатить и не заморачиваться с тягомотиной разбирательств и сверок. Бомбардируют не сильно, но по площадям. С того и живут.

Такая схема в ходу у поставщиков бытового газа

Едва ли уже актуальна, теперь можно сменить поставщика и дело с концом. В ясно вон теперь даже кофейку нальют, только договор заключи 🤣

не вплутуйте гарну радіостанцію

Що робити, кажете, як рятуватися?

лол
Можна почати з того, що не завантажувати жодних ’дій’ на свій телефон і не завантажувати туди жодних копій, сканів чи іншої важливої інформації про себе

Штука в том, что тут до конца не понятно — была ли Дия на смартфоне жертвы или нет?

И какую проблему это решает?

Загранпаспорт оформил? Твои данные есть в Дие.
ВУ оформил? Твои данные есть в Дие.
Паспорт в форме карты оформил? Твои данные есть в Дие.

Паспорт, документы и их предоставление != подпись мокрая или ецп под договором. Дырки в нормативке, а не в том, что ее реализует и ей соответствует.

Паспорт, документы и их предоставление != подпись мокрая или ецп под договором.

Благодаря Дие — уже знак равно.

ain.ua/...​za-kordon-v-kilka-klikiv
youtu.be/slib_oFL62I

Не в Дие, а в реестре соответствующем. Пока ты сам там не зарегистрируешься (а для этого нужен доступ к банку и твой паспорт) она не работает

Пока ты сам там не зарегистрируешься (а для этого нужен доступ к банку и твой паспорт) она не работает

Это не мешает злоумышленникам зарегистрироваться от твоего имени без твоего ведома. В этом и суть identity theft. Кто-то другой начинает действовать от твоего имени. И потом ты не докажешь, что это был не ты.

В статье написано, что тут какой то цифровой апокалипсис начался именно из за дии. А на деле для этого апокалипсиса оказывается нужно в твой клиент-банк попасть.

Злоумышленник заходит в твой приват24 например и виновата дия в том, что кредит взяли? Можно прямо на месте в том же кабинете перечислить с кредитной карты на свою.
Можно с банкомата снять наличку.
Можно получить ЭЦП и угнать недвижимость, заключить договор.

В этом и суть комментария: проблема появилась далеко не вчера, дия не добавила к проблеме ничего особо нового

дия не добавила к проблеме ничего особо нового

Без Дии невозможно оформить кредит, а с Дией — можно.

Це трошки брехня, схема , коли видають кредити на втрачені документи існує з того моменту, як в Україні з’явились кредитні організації.

Теперь нет нужды красть паспорт если можно заменить его Дией.

Дию тоже нужно украсть. При чем украсть нужно банк ид. Если у тебя есть доступ к чужому банку — у тебя нет проблем взять кредит без дии, просто перечисляй деньги со счета, с кредитной карты

При чем украсть нужно банк ид.

Судя по всему существует иной способ это сделать.

Ну так и дия при чем? Даже оформлять ничего не пришлось — просто себе в табличку людей записали и вымогали

При тому, що вона видає ваші дані для отримання кредиту на вас

Без неї схема не існує

Даже оформлять ничего не пришлось — просто себе в табличку людей записали и вымогали

Якщо в них немає легальних доків, то достатньо «просто» написати заяву про вимагання грошей

З уводом даних через дію — вам треба довести, що ви не страус і не брали кредит

Без нее эти базы давно существуют, в интернете куча сканов паспортов и прочих данных. Они просто вымогали и слали поддельные отчеты — вы прочитали что там по ссылке написано?

А є схема, коли беруть реальний кредит

Лінк нижче в коментах

навіщо зловмиснику дія якщо в нього є доступ до онлайн банкінгу і він може перевести гроші з одного рахунку на інший по логіну/паролю без двохфакторки?

в нього є доступ до онлайн банкінгу

В тому то й річ, що нема

Скомпроментували механізм генерації ключа, але не сам банкінг

Это вы сами придумали? Или есть подтверждение?
В дию пускает после того как авторизовался в банке — она не нужна, чтобы взять кредит, и так есть доступ к банку

встановлено факт фіктивного голосування з використанням викраденого ключа удосконаленого електронного підпису, згенерованого кваліфікованим надавачем електронних довірчих послуг (КНЕДП) АТ КБ «Приватбанк»

© Держспецзв’язку

Тобто є факт, що можливо згенерувати електронний підпис навіть для неіснуючої особи (бо немає громадянина України Joe Biden з ім’ям, написаним латинкою).

Таким чином, я не бачу жодної перешкоди, щоб створити фіктивний електронний підпис на будь-кого.

ну уже наверное не только Приват.
Больше похоже на тест разных звеньев, которые скоро превратятся в цепочку. Сначало ключ, потом типа кредит.

Опять таки — при чем тут дия? Взлом на стороне приватбанка. Кредит можно взять и так, только с ключами привата

Щось ви занадто вперто захищаєте це подєліє

Расскажи об этом Джо Байдену проголосовавшему за петицию против Ермака.

Так для верифікації в дії потрібно мати картку в банку (приват чи акаунт bankid), я реєструвався в дії через приват застосунок. Якщо в неї є верифікована дія, то виходить що телефон вкрали? Але про це нічого в статті.

І пін код на вхід стояв 1111, або «хрестик»

«оголошується відкритим». Шок. Раніше ж ніхто не брав ліві кредити. Перший раз в історії. Ситуація плачевна, але мутна. Очевидно що у Людмили вкрали паспорт і почалось... Дія тут — діло десяте

Зачем красть паспорт, если к телефону могут иметь свободный доступ поклацать родственики, гости, коллеги, прохожие, ...

До телефону тих хто генерує ключі для банкІД?

Тих, у кого приложения от банков стоят, автозаполнение паролей, заполнение с смесок, ... Что позволяет младенцам с произвольным нажатием ярких кнопок и автозаполением полей с смсок на 10 тис. $ заказать примочек к тесле родителей.

Податок за відсутність інтелекту
shrug.webp

Это было очевидно
unkd.com.ua — как раз для таких кейсов

Предупреждать надо, что сайт рукожопы делали. Чуть глаза не выпали.

Спасибо за ваше мнение. Сайт делали волонтеры, на абсолютно добровольных началах. Вы можете тоже вступить в их ряды и сделать сайт лучше.

Это не волонтеры, это вредитили: за такое выпадающее меню надо делать запрет на работу в айти.

Подключайтесь и помогайте.

пардон конечно, а зачем? помогать в чем? что это за... «инициатива» с такого низкокачественного полета?

Помогать согражданам защищать свои цифровые права. Можете помочь в том самом аспекте, который вы трактуете как

низкокачественного полета

Цікаво, що ДП має адресу на .org.ua

та нормалек — смузненько, ниже даже пояснение почему он мегасупер.
вот только как могут люди контролировать «дижитализацию» которые делают такие высококласные сайты , особенно ярко — меню.

І навіть якщо цей, поки що разовий випадок зможуть якось зам’яти — що буде коли шахраї поставлять процес на автоматизований потік

Так кажеш, ніби мета була інша, а саме міністерство не є організатором цього потоку. Більше скажу — як гадаєте, чи дорого коштує будь-яка вибірка даних в Україні, особливо з тієї самої Дії? Яка не несе і ніколи не понесе жодної відповідальності за торгівлю не тільки даними, але й за виконання будь-яких дій від імені будь-якої особи.

Тут найцікавіше — презумпція вини. Тобто особа вважається такою, що вчинила дію, якщо не довела протилежне. Торгівля землею, кажете? Слідкуйте за руками...

В цьому конкретному випадку злочин вчиняє саме колекторське агентство. А від так — або підтверджують СВОЮ претензію документально (тобто, якщо купили борг), або ДОВІРЕНІСТЬ на виконання таких дій від імені іншої компанії — і тоді злочинців стає двоє. Доводити в суді, що нібито хтось брав у борг — вони не будуть. Бо знають куди їх пошлють. Можуть спробувати у спрощеному режимі, але судді ж не дурні та вимагатимуть нехилий кешбек — який, звісно ж, не повертається у разі відміни судового наказу.

Справа стає ще гіршою, якщо такі «борги» накладатимуть на померлих осіб. Довести що то не так було насправді — дуже важко. А деякі навіть повірять, що стара бабця могла повестись на якесь Манівео. А від так — не схочуть вступати у спадок.

Але відповідальність беруть (на словах, звісно) лише за умовну «обгортку» всього цього ланцюжка — програмно-апаратне рішення «Дія». Відповідальність за безпеку державних реєстрів вони перекладають на власників/розпорядників цих реєстрів, за Bank-ID — на банки, за криптографію, ключі та сертифікати — на АЦСК, за безпечність серверів — на хмарного провайдера, за шифрування даних при їх передачі — взагалі розробнику протоколу TLS/SSL( спитайте когось з «дієвих» чи нають вони що таке IETF).

Хм... а як по іншому? Мені важко уявити що державні органи якось можуть це усе централізовано контролювати.

А якщо не можуть — не мають і права авторизувати все це та від імені держави захищати нібито встановлені таким чином відносини. Це ж чисте рейдерство та взагалі відмова від права власності як такого — володіти зможеш тільки тим, що зможеш захистити зі зброєю в руках. І державу навіть не цікавитиме, чи воно твоє насправді.

Проблема в тому, що на міжнародному рівні такі порядки вважаються відсутністю держави як такої, а від так — дають право іншим державам воювати на території, а із населенням робити що завгодно, проблеми індіанців шерифа цікавити не повинні.

Не раскрыта тема наличия загранпаспорта у книжеников, как раз в Дії они у всех есть, и выдача кредита на него. А так, либо подмена интерфейса (просто картинка) или прошли идентификацию за нее на свем устройстве. Хотя зачем, могут и проще — вы нам должны, точка. Да и наличие телефона предполагает наличие симок и не одной. А счет в банке — идентификацию по ID Bank.

А также ВУ (как вариант МВУ) получаемых после начала 2020 года.

Водительское удостоверение бывает международным

Разве это не тоже самое, что украсть ЭЦП? То есть ее зарегистрировали в дие сначала с помощью электронной подписи (или банк ид), затем уже проворачивали эти махинации

Скорее всего украли паспорт и потом добавили его в Дию. Как это возможно — хз, я если честно забыл как это в Дии делается, давно было...

Просто паспорта мало, нужно получить доступ к bank id или привату. Украсть паспорт (или подделать), украсть доступы к банку. Не понимаю чем эта схема разительно отличается от украсть скан паспорта, подделать и взять в банке кредит

И я о том же (см. ниже). Дия тут вообще не при чём.

Насчет коллекторов, гражданка Л может их слать накуй или же просто стебаться.
1 — если ваш кредит отдали коллекторам то значт банк и его юристы уже рассмотрели ваш кейс и решили что судиться с вами тупо не выгодно и решилы забыть и простить.
2 — коллекторы все что могут подерзить по телефону, и вся ставка что недалекий человек испугается борзых дядь по телефону и отдаст деньги.
3 — недавно вышел закон который ограничил их даже в названивании, только в будние дни с 8 утра и до 8 вечера(примерно, не помню точно) и не больше двух раз в день.

3 — недавно вышел закон который ограничил их даже в названивании, только в будние дни с 8 утра и до 8 вечера(примерно, не помню точно) и не больше двух раз в день.

Осталось поверить, что коллекторы вдруг стали белыми и пушистыми и начали соблюдать все законы.

(А ещё что они будут это делать с постоянных телефонов, а не с анонимных карточек... создавая повод нашим жижитализаторам ещё и форсировать регистрацию SIM по паспорту.)

Думаю как раз наоборот. Сначала в ход пустят более дешевых и быстрых «коллекторов», потом в ход пойдут адвокаты и суд.

Да и вообще, какие вообще у банка могут быть коллекторы? Максимум тетка, сотрудник банка, будет названивать и вежливо напоминать о непогашенном кредите. Если бы мне от лица банка позвонил какой-то гопник с угрозами переломать ноги, я бы о**ел. Коллекторы это фишка всяких нелегальных структур.

Коллекторы не быстрые и уж точно не дешёвые. 65% их такса даже по тем долгам, которые считаются достижимыми. По безнадёжным и того круче.

65% их такса

Коректніше казати, що колектор «купить» борг за 0.01-0.5 суми боргу

Да у них там на поток поставлено, все шаблоны готовы, адвокаты на ставке, а там пофиг 10 заявлений или 100. Это если до суда вообще дойдет, обычно, думаю, до суда все по-доброму решается.

Ну а если сумма сильно маленькая, то могут и забить, попутно добавив человека в черный список который шарится между банками так как в Украине нет нормальной централизованной рейтинговой системы. как это в нормальных странах где не отдал кредит, или просрочил платеж, фиг потом тебе кредит кто даст, или дадут под конский процент.

Ещё и запрет автодозвона. Прям аж не верится, что это в Украине. Видать сильно кого-то достали.

3 — недавно вышел закон который ограничил их даже в названивании, только в будние дни с 8 утра и до 8 вечера(примерно, не помню точно) и не больше двух раз в день.

Что не помешает зарегестрировать коллекторский бизнес в Тринидад и Тобаго и оттуда харрассить население в любое время суток. А через лет 20, когда коллекторский бизнес расширится и пойдёт рециркуляция номеров телефонов, даже обладатели новых номеров будут получать коллекторские звонки за просто так. Несмотря на то, что срок исковой давности истёк.

Это как раз „The remedy is worse than the disease”. Тогда уже data only SIM cards и звонить по мессенжерам.

Вважаю що історія заслуговує розголосу, зайти на ФБ та перепостити це хвилина часу

При чем тут ДіЯ?

З самого початку написано ж:

начебто «взяла кредит» через додаток Дія

В Дії нет такой функции

Багато хто запитує «шо, дійсно можна взяти кредит через Дію?». Ось тут «дієві» самі розказують як це зробити.

В видео кредит берется не в Дії, а в Moneyveo. Дія только передает данные, в данном случае паспорт, кредитной организации. Т.е. у пострадавшей по сути украли паспорт и использовали его для взятия кредита. Этой схеме уже 100 лет. Только теперь не нужно платить сотруднику банка, который закроет глаза на небольшое несоответствие фотки в паспорте и пришедшего за кредитом «дропа». А вот как украденный паспорт оказался валидным в Дії — вопрос.

Дія только передает данные, в данном случае паспорт, кредитной организации.

Как бы и так очевидно что именно это и имелось ввиду, а не что деньги под кредит выдала Дия.

А вот как украденный паспорт оказался валидным в Дії — вопрос.

Ну так об этом и речь же.

Если украли паспорт уже в Дии — да, прокол. А если при наличии паспорта кто-то зарегистрировался в Дии, то... спорно. Без Дии было бы (почти) так же.

Я, если честно, не помню уже как в Дии происходит подтверждение личности/паспорта/документов — регистрировался одним из первых, давно было.

Дия защищает после «оцифровки» документов, а не до.

Только вопрос, был ли украден паспорт? Или же сама Дия за долю малую всему этому зелёный свет дала. Лично я ни на секунду не сомневаюсь, что пока государством рулят такие высокопоставленные личности, как Арахамия (он же Браун), который, ну с кем не бывает, «немножко» заработал на вымогательстве пожертвований «на войну», совершенно случайно управлял ресурсом по отмывательству денег с ворованных карт (ну да, он же не знал, что они ворованные, не только лишь все)...

И ведь самое позорное в этом, в государстве вообще нет механизма отказаться. Можно отказаться от ИНН, потому что это типа номер дьявола (а не для того чтобы не платить налоги), но отказаться от того что за тебя неизвестный круг лиц будет распоряжаться твоими деньгами, собственностью, брать обязательства — невозможно.

То есть кто-то использовал уявзимость что-бы разово украсть 2430 грн (минус расходы времени и денег на левые карточки)? Что-то тут не гладко. Либо уязвимость была, но ее быстро закрыли, либо весь взлом ради резонанса, либо взлом был, но не Дии (а, например, телефона), либо все-таки госпожа Людмила стала жертвой мошенников а не взломщиков

А теперь представьте что это mvp перед поставкой на поток?

Свитить уязвимостью за 3 месяца до фактического использования? Это все равно что приступники перед тем как грабить банк публично украдут из хранилищя $100

Бред сравнивать физическое преступление и то что можно сделать в Украине например из Африки

Ок, отвечу без аналогий: уязвимостью можно воспользоваться только пока её не закрыли. Уязвимость закрывают через некоторое время после того как о них становится известно разработчикам. Если об уязвимости становится известно и разработчикам и общественности, время ее закрытия, как правило, сокращается от разов до порядков. Использование уязвимости делает её известной. Откуда следует что трудно представить себе что-то более глупое со стороны злоумышленников, чем засветить уязвимость, а потом ждать чтобы воспользоваться ею через несколько месяцев

Я не понимаю почему надо ждать несколько месяцев пока пофиксят? Что мешает сделать это пока тут длинные выходные например?

Результат: «Ми вам зателефонуємо, якщо щось з’ясуємо». І тиша, протягом вже трьох місяців.

А где тут засветка конкретной уязвимости?
Засветился только факт её наличия, и то будут отрицать до предела.

С интеллектуальным уровнем нынешних властей это будет тянуться десятилетиями.

Государство столько не проживёт. Финансово оно давно уж банкрот.

и то что можно сделать в Украине например из Африки

Украина и есть та же Африка. Притом с неподконтрольными территориями, на которых можно жить сколь угодно долго, при этом спокойно выходя на связь через украинских операторов.

Посыл не в этом, а в негласно правиле не спать где ешь. Живешь в Укр хакаешь все кроме укр и тд. Ну и африка в этом смысле довольно известна.

Так было в тз ничего не знаю. Могу Пофиксить в след релиз

чтобы разово украсть 2430 грн

Или не разово, а на потоке. Возможно просто ошиблись в выборке жертв, остальные не смогли себя защитить. Например потому, что к моменту истребования долга немножко умерли.

А можна скрін на людському рекомендованому ДОУ ресурсі розмістити?

Слід зазначити, що національна система електронних довірчих послуг спрацювала надійно. Незважаючи на використані хакерами ресурси, скомпрометованим електронним підписом неможливо було підписати будь-які документи. Отже, жодної загрози для громадян — переоформлення документів, переведення коштів, підписання декларацій тощо — ця атака не мала. Завдяки злагодженим діям експертів можливість подальших подібних дій зведено до нуля.

© Держспецзв’язку, 25 червня 2021 року (сьогодні), коментар щодо підробленого підпису Joe Biden під петицією про звільнення мусора Татарова.

Не дали брехні і дня повисіти, ну шо за люди)

Слід зазначити, що національна система електронних довірчих послуг спрацювала надійно.

[sarcasm mode on]
Якщо введуть електронне голосування то система буде й далі працювати «надійно» та голосувати за «кого треба», але громадяни в безпеці.
[sarcasm mode off]

можливість подальших подібних дій зведено до нуля

То ця штука ще й налаштовується для кожної петиції окремо

А громадяни в безпеці бо закуплять рекламу на FB та будуть рекламувати як в країні стало жити безпечно.

Глава Минцифры: «Роль кибербезопасности немного преувеличена»

На скрине указано, что сумма займа была переведена на карточный счет. Кому принадлежит этот карточный счет?

Уверен — лично Зеленскому

Я вас умоляю... Подходите к любой наливайке, выбираете самого испитого чувака, договариваетесь о использовании его карты (рабочей или пенсионной, да и оформить можно), кидаете на нее баблишко, снимаете по штуке баксов в день — фин мониторинг фиг заинтересуется. Чуваку оплачиваете поляну в то-же наливайке каждый день — он рад и ничего не помнит. Появляются вопросы — наливаете ему стопарик мэтанольчика и удаляетесь в закат — к следующей наливайке и другому чуваку.

Схему можно распараллелить, благо наливаек — на каждом углу...

Вы как будто не в этой стране живете...

Если что — схема была придумана задолго до моего рождения:
en.wikipedia.org/wiki/Michael_Malloy

Тада, печальны картины будущего в Неньке (((

Підписатись на коментарі