Злочинна група входила в «Дію» через BankID, використовуючи дані онлайн-банкінгу українців

СБУ спільно з Офісом Генпрокурора викрила організовану злочинну групу, яка незаконно отримувала доступ до банківських акаунтів громадян і входила в Дію через систему авторизації BankID.

Про це повідомили в Мінцифри.

Зловмисники використовували персональні дані користувачів онлайн-банкінгу — фінансові номери телефонів, паролі та коди підтвердження. Так вони входили до мобільних застосунків банків і державних сервісів. Учасникам групи вже вручили підозри.

У Мінцифрі нагадали, що у 2022 році в «Дії» запустили push-сповіщення про перевірку кредитної історії, які допомагають вчасно реагувати на спроби шахрайства. За цей час громадяни отримали понад 75,9 мільйона сповіщень.

Нагадаємо, у вересні у відкритому доступі з’явився архів diia_users_db_2025.zip, який нібито містить персональні дані українців. У Мінцифрі заявили, що це не витік із «Дії», а спроба дестабілізувати ситуацію.

У міністерстві наголосили, що застосунок не зберігає даних користувачів — інформація підтягується з державних реєстрів лише під час запиту. Навіть у разі злому «Дії» отримати «повну базу» неможливо.

Крім того, ще в березні 2024 року вихідний код «Дії» був оприлюднений у відкритому доступі. Це дало змогу всім охочим переконатися, які саме дані обробляє система, а яких у ній немає.

Теми: банк, Дія, шахрайство

Andrey 15.10.2025 12:18

Про трошки перебiльшену роль кiбербезпеки вже писали?

Відповісти

Підтримати

Anatolii Android Developer 15.10.2025 21:25

Написати першим про роль кібербезпеки — свого роду челенж

Andrey

Dmytro Bondarenko 14.10.2025 14:19

Бо доступ до послуг і сервісів треба робити через ецп, який вшитий у паспорт-карточку... А далі вже навколо цієї авторизації можна розбудовувати мережу сервісів та послуг.

Цікавий факт, жоден з банків в Україні не надає (окей, я користуюсь ПБ) можливості підсилити авторизацію за допомогою сторонніх OTP сервісів, чи, прості господі, FIDO2 токенів. Не кажучи вже про можливість примусово зав’язати авторизацію на ецп ключі тощо. І на практиці виходить так, що авторизація у гітхабі, скооріше за все, більш стійка до втручання третіх осіб.

Sergiy Fakas Information Security Officer в Oro 15.10.2025 00:12

От просто люто під цим підписуюся. Вони ще й електронним ключам які випускає банк надали універсальної сили.

Dmytro Bondarenko

HorAV 15.10.2025 08:55

У банка «повинно» бути, за старою термінологією, два АЦСК Один внутрішній для власної платіжної системи, другий з загальними КЕП — для побажань за межами платіжної екосистеми. Але пропозиції дійсно поки народжуються — а давайте підписи через Дію. З одного боку «зупиняємо» — суми в міліони, а то і наступний рівень, нулів, і не ми їх фізично ідентифікували. З другого, як уявити що заступники міністрів кліпають очами, або раптово перевходять в Дію, щоб підписати термінові тисячі документів, навіть в пакетному режимі І це роблять ще в півсотні тисяч установ що на бюджеті. То таке OKR відносно задаволення інституцією населення, може і треба підтримати.

Sergiy Fakas

Maksym Riabov MS SQL Server DBA в Aspireglobal 15.10.2025 12:28

Вони ще й електронним ключам які випускає банк надали універсальної сили.

як я розумію BankID (про що пишуть в оригінальному пості) це не зовсім ключ, це авторизація через банк і насправді таке є не лише в Україні.
наприклад в Хорватії також можна використовувати «ключ» банку для доступу до багатьох державних сервісів.
Але:
1) не до всіх, для деяких всеж треба більш надійний ключ — я так розумію що як раз ецп виданий держ службою
2) банківський ключ в Хорватії дещо інший — схожий на гугл або МС аутентифікатор. в мобільному банкінгу є окремий розділ з цим аутентифікатором, захищений піном (додатково можно ще відбитком пальця), у цього аутентифікатора є айді (вважайте логіном) і додатково коли треба аутентифікатор генерує «пароль» який дійсний протягом декількох хвилин. Такий аутентифікатор не дуже зраучний, але як на мене більш надійний — немає постійного паролю який можна викрасти і немає ніяких смс з пінкодом які можна перехопити.

Sergiy Fakas Information Security Officer в Oro 14.10.2025 14:00

Говорили ж з самого початку що так робити не можна...

Vic Programmer 15.10.2025 00:09

А як можна ? Усім смарт карту примусово під шкіру, або біометрію зібрати ?
Якщо є ідеї як зробиьи не вразливу систему від внутрішнього вектору атаки тобто від не санкціонованого доступу через втрату легальних механізмів входу — це вже прорив буде. Для того же автопрому як мінімум, якщо не можна записати сигнал від ключа.

Sergiy Fakas Information Security Officer в Oro 15.10.2025 00:10

Не можна в системі високого ризику використовувати менш надійну аутентифікацію.

Vic

Vic Programmer 15.10.2025 00:20

Тоді ми приходимо до ситуації до якої прийшов Ілан Маск в США, коли щоби відправити держ службовця на пенсію треба чекати до двох місяців, доки опрацють паперові операції і складуть усе в вкличезну шахту з архівом паперів. Ця вся система коштує в підримці мільярди долларів, замість пенсій.
Можете уявити собі скільки коштуватиме зібрати біометрію з усіх громадян централізовано.

Sergiy Fakas Information Security Officer в Oro 15.10.2025 00:23

Ну так, звичайно треба робити максимально тупо і ненадійно. Хрін з ним ще це дуже не безпечно.
Написав би відразу що маскофіл, я б і не коментував. Я абсолютно ОК щоб такі як ти платили за тупість мінжеже. Але ще одна величезна проблема злоДії — не можна офіційно від неї відмовитися.

Vic Programmer 15.10.2025 00:33

В сенсі не можна ? Взагалі ніхто не вимагає нею користуватись нема жодних законів, що цей цифровий інструмент є обов’язковим. Завжди можна підти і пів дня постояти в черзі з пенсіонерами коли для чогось з вас вимагають довідку.
Як я вже писав, навпаки були придурасті постанови коли усі операції розміну валют відбувались зі скануванням документів громадян. Даржава вирішувала, що їй треба захистити свої тимчасові інтереси з фінансування дифіциту бюджету іміссією і інфляційним податком та конвертаційних центрів і розмінок які належать олігархам, які в свою чергу спонсорували вибори. Це відбувалось за рахунок потенційної втрати державних відомостей щодо громадян.

Sergiy Fakas Information Security Officer в Oro 15.10.2025 11:06

В сенсі не можна ?

Мда... Дивися. Якщо хтось зламає чиюсь Дію якимось чином і використає її для якихось правочинів у постраждалого немає ніяких способів довести що він тою Дією не користувався і отже ці правочини незаконні.

Vic Programmer 15.10.2025 11:53

Дія не зберігає жодних данних, вони лежать в реестрах тобто назовні до неї і підтягуються за вимогом. Таким чином це працює як вимога надати документи скажімо поліціанту або в потязі. Якщо зламали клієнстку частину це нічого не надає. Реальна проблема буде якщо хтось буде вносити ці данні в держ реестри типу арештованного майна, судимості і т.д. з якихось цілей типу рейдерства або діяльності ворожих розвідок. Це можуть робити наприклад приватні нотаріуси і приватні виконавці рівно як і державні чиновники теж. Тобто ціла купа народу які мають проходити тренінги щодо правил кібр безпеки, міняти паролі і т.д., а ще і бути не упередженими не підкупними тощо.
Тобто проблема не в самій по собі технології. Папір при цьому взагалі підлягає підробці.

Sergiy Fakas Information Security Officer в Oro 15.10.2025 11:54

Мда... Тяжкий трафунок...

Kyrylo Myronov IT Engineer в Vimeo 15.10.2025 19:06

У всіх в телепфоні ноутбуці є «FaceID/SE/TPM» нечім не гірше ніж смарткарта чи FIDO2 ознайомтеся з документом NIST SP 800-63B

Sergiy Fakas Information Security Officer в Oro 15.10.2025 21:34

Так оце FaceID і обійшли Діпфейком.

Kyrylo Myronov

Maksym Strukov 16.10.2025 21:57

те що дія через камеру будь якого смартфона знімає і FaceID — це «трохи» різні речі

Sergiy Fakas Information Security Officer в Oro 16.10.2025 21:58

Саме так. Але мінжеже це називає так.

Maksym Strukov

Svyatoslav Nadozirny CIO в КТС 14.10.2025 13:55

а дані брали зі зливу 2022 року?

Янчук Вадим Степанович 14.10.2025 13:54

В цій історії немає відповіді на найголовніше питання — де вони взяли логіни, паролі, otp

Svyatoslav Nadozirny CIO в КТС 14.10.2025 13:56

є банки, які дозволяють відсутності активних екаунтів і при вказанні при реєстрації паспортних даних — створити новий BankID, а з ним зайти використовуючи будь-який ємейл+телефон.
Треба лише мати базу 2022року.

Янчук Вадим Степанович

Vic Programmer 15.10.2025 00:15

Для спец служб є купа методів, скажімо через мікро кредити і колекторів отримати ті самі паспортні данні, або змусити когось авторизованого в адміністратора реестра надати креди бо програвся в гемблінг з беттінгом безнадійно, або просто ватник там і т.п.. Та і просто в Україні була купа російських філіалів банків які мали усю повноту доступу до усього.
А через деякі дуже сука розумні постанови, будь який банк вимагав скан пасрорту навіть на операції розміну валюти.

Oleg Korol POWER Ops, again 15.10.2025 01:33

бо це мінцифри,
а ось як воно було в ймовірному першоджерелі

Українка у Польщі оформила кредити на 286 українців
Група на чолі з 33-річною жінкою отримувала особисті дані та передавала їх співучасникам для несанкціонованого входу до банківських програм та «Дію» через BankID.

Організаторка робила короткі підроблені відео DeepFake з накладенням потерпілих осіб для проходження фото-верифікації. На ім’я щонайменше 286 осіб оформили кредити на понад 4 млн грн.

Гроші переводили на підконтрольні рахунки, конвертували в крипту і переводили в готівку

Злочинна група входила в «Дію» через BankID, використовуючи дані онлайн-банкінгу українців

24 коментарі

Підписатись на коментарі