Ще 10 років тому мобільний телефон був просто пристроєм для дзвінків і смс. Тепер у нас у смартфоні кілька десятків застосунків для роботи та розваг. Ми не лише замовляємо їжу, викликаємо таксі, рахуємо калорії, але і, наприклад, зберігаємо документи в «Дії» й керуємо фінансами через інтернет-банкінг. Тепер втрата телефону – це не просто втрата пристрою за енну суму. Це загроза, що злочинці отримують доступи до ваших фото, карток і персональних даних. А з персональними даними візьмуть на вас кредити.

Розбираємося, які схеми використовують шахраї та як можна від них захиститися.

Варіант 1. У вас викрадають телефон

Чому це небезпечно

Якщо злодії розблокують ваш телефон, то отримають доступ до ваших соцмереж, електронної пошти й, за певних умов, до банківських застосунків чи «Дії» з документами. Доступ до банківських застосунків допоможе їм вивести кошти з ваших карток, а доступ до документів – узяти на вас кредит.

Випадки

Киянка Антоніна Оксанич розповіла, як у неї викрали iPhone, після чого оформили кредитну лінію в одному з банків і зняли 39 000 гривень. «У такі моменти розумієш, що ми повністю живемо в інформаційній епосі, а доступ до телефону – це доступ до сейфа й особистого життя. Шахраї також видалили мій iCloud зі всіма 10 000 фотографій», – написала вона.

Інша користувачка Наталя Сом поділилася історією про свою подругу, у якої з кишені куртки витягли телефон. Він був захищений паролем і Face ID, але вже за 15 хвилин злодії змінили ID на телефоні та подали заявку на оформлення кредиту в мікрофінансових організаціях.

Що саме сталося в цих випадках і як саме злочинці отримали доступ до інформації в телефоні, має встановити слідство. Але ось два найпростіші варіанти, як це могло статися (і може статися з будь-ким):

1. Піддивилися, як ви вводили пароль на телефон у транспорті або черзі в магазині

Навіть якщо телефон захищений вашим унікальним відбитком пальця чи Face ID, після невдалих спроб він попросить ввести пароль або графічний ключ. Якщо ви вводили свій пароль десь у публічному місці, це могли помітити шахраї, які потім і вкрали ваш мобільний.

2. Вгадали, бо ваш пароль – qwerty

За даними розробника сервісів із безпеки Nord Security, qwerty – найпопулярніший пароль в Україні, а 123456 – у світі. Ось тут зібрали 200 найбільш поширених паролів у світі й те, як швидко їх можна зламати. Спойлер: на більшість із них потрібна лише 1 секунда.

Поради:

– Не вводити свій пароль чи графічний ключ від телефону в публічних місцях або робити це так, щоби ніхто не зміг підгледіти.

– Встановити надійний пароль на смартфон.

Звісно, злочинці можуть й отримати повний доступ до вашого мобільного телефону за допомогою хакерів. Але, на думку експерта лабораторії комп'ютерної криміналістики Cyberlab Сергія Денисенка, частіше вони так не роблять, бо це надто дорого.

«Це коштує грошей, і немалих. У DarkNet можна знайти оголошення про «послуги» зі зламування акаунтів мобільних телефонів. Але це коштує від 300 доларів і вище. Запитання: чи потрібно звичайним шахраям це робити? Вони роблять ставку на соціальну інженерію, а не на хакерські атаки», – вважає експерт.

Уявімо, шахрай зміг розблокувати вкрадений телефон. Чи він отримує доступ до ваших банківських сервісів і застосунку «Дія»? Апріорі ні, адже вони захищені окремими паролями. Але є декілька варіантів, як це може статися:

1. Ви заходили в застосунки протягом останніх декількох хвилин, і сесія не завершилася

У такому разі злодій відкриє застосунок і, маючи доступ до вашої SIM-картки, зможе розпоряджатися вашими банківськими картками. Він зможе перекинути собі всі ваші гроші або, скажімо, підвищити кредитний ліміт і загнати в борги.

2. Ваші паролі до застосунків ненадійні

Ми вже згадали про найпоширеніші паролі у світі та в Україні, які можна зламати за 1 секунду. Навіть якщо ваш пароль складніший, можливо, він збігається з вашим паролем від телефону, який підгледіли шахраї? А, можливо, ваш пароль – це дата вашого народження? Коли злодій має ваш смартфон, то він може дізнатися вашу дату народження, якщо ви на пристрої зберігаєте свої документи.

3. Ви зберігаєте ваші паролі десь на телефоні

Ми користуємося безліччю сайтів і застосунків, які вже самі вимагають, щоби пароль був складний – мав літери, цифри та символи. Запамʼятати всі ці паролі буває важко, тому деякі записують їх собі в блокнот чи нотатки на телефоні. Згадайте, чи немає у вас такої нотатки на телефоні? Якщо злодій вкрав ваш гаджет, то він може отримати разом із ним і всі паролі.

Поради:

– Встановити різні (і однаково надійні) паролі на різні застосунки.

– Знайти спосіб їх запамʼятати, не використовуючи нотаток на телефоні. Якщо без цього ніяк, встановіть пароль на цю нотатку. І не називайте цю нотатку «паролі».

– Не заходити в застосунки банкінгу чи «Дію» через публічні Wi-Fi мережі. Відразу виходити із застосунків, якщо ви відкривали їх у публічних місцях.

– Встановити двофакторну аутентифікацію на банківських застосунках.

Це елементарні правила. Вони не гарантують, що шахраї не отримають доступ до ваших акаунтів, якщо вкрадуть телефон. Але так хоча б їм доведеться над цим попрацювати.

«Паролі від усіх сервісів, на які ви заходите з мобільних телефонів, зберігаються в памʼяті, навіть якщо ви цього не хочете. Згадайте, як ви приєдналися до мережі Wi-Fi в готелі, поїхали, за рік повернулися – а телефон памʼятає цей пароль. Так і з рештою паролів. І якщо злочинці отримають доступ до цього блоку памʼяті, то вони можуть користуватися всіма цими даними», – пояснює Денисенко.

Що робити, якщо телефон вкрали

  • Насамперед (!) заблокувати SIM-карту

Щойно ви зрозуміли, що у вас викрали телефон, треба відразу заблокувати SIM-карту. Для цього потрібно зателефонувати вашому мобільному оператору та розповісти, що сталося. Це треба зробити терміново, адже з активною SIM-картою злочинці можуть перевстановити паролі до ваших застосунків у телефоні.

«Шахраї отримали ваш телефон. Щоби зайти в якийсь банківський застосунок, їм пропонують ввести пароль. Вони вказують, що забули пароль. Тоді на телефон приходить повідомлення з новим паролем. А коли ви заблокували SIM-карту, то шахраї не зможуть увійти до застосунків. Тож спочатку варто заблокувати SIM-карту», – пояснює експерт із кібербезпеки.

  • Скористатися функцією видалення всієї інформації з телефону

Ось тут інструкція для iPhone та для телефонів на Android.

  • Оновити паролі до онлайн-банкінгу

Це потрібно, щоби шахраї не змогли вивести ваші кошти з карток.

  • Змінити пароль до «Дії»

У Мінцифри радять авторизуватися в застосунку на іншому смартфоні, видалити інші під’єднані пристрої та після цього оновити пароль від «Дії».

  • Змінити паролі до всіх соціальних мереж, месенджерів та електронної скриньки

Користувачі, чиї телефони викрали, скаржилися на те, що шахраї від їхнього імені писали друзям і просили грошей у борг. Щоби не постраждали ще ваші знайомі, поверніть собі доступ до соцмереж і попередьте знайомих, щоби не переказували кошти на невідомі рахунки.

Варіант 2. Шахраї перевипускають вашу SIM-карту

Навіть, якщо ваш смартфон у вас у руці, це не означає, що ваші гроші та кредитна історія в безпеці. Шахраї використовують іншу схему: звертаються до мобільного оператора від вашого імені та заявляють про втрату SIM-карти. Оператор перевипускає її, і сімка у вас в телефоні блокується.

Чому це небезпечно

На наш номер телефону завʼязані наші банківські рахунки, електронна скринька й інші мобільні застосунки. Якщо шахраї перевипускають ваш номер телефону, то теоретично вони можуть отримати доступ до вашого онлайн-банкінгу. Або, дізнавшись ваші персональні дані, узяти на вас мікрокредит.

Випадки

Львів'янка Ірина Ілик розповіла, як її SIM-карту деактивували. У неї зник мобільний звʼязок, а в «Дії» прийшло сповіщення про перевірку кредитної історії. Після цього вона дізналася, що на неї взяли кредити в кількох «швидкозаймах». Гроші з карток зняти не встигли: каже, що швидко їх заблокувала.

Киянин Іван Буян повідомив про випадок, що стався з його тестем: шахраї перевипустили SIM-карту чоловіка, після чого, імовірно, зламали застосунок з онлайн-банкінгом і взяли на нього кредити на 40 000 у різних кредитних установах.

Як таке взагалі можливо?

Кожен мобільний оператор має свою процедуру відновлення номера в разі втрати або пошкодження SIM-карти. Ось тут можна ознайомитися з такими правилами для «Київстар», Vodafone та lifecell. Якщо ви користуєтеся номером за контрактом, то перевипустити вашу SIM-карту можна лише з паспортом чи іншим документом, що посвідчує особу. Але якщо ви передплатник і не привʼязували ваш номер до документів, то тоді вашу сімку можуть перевипустити без вашої участі. Для цього зазвичай потрібно назвати номери, на які ви телефонували, суму і дату останнього поповнення телефону.

Як злочинці можуть отримати цю інформацію? По-перше, вони можуть самі поповнити вам рахунок, приміром, на 10 гривень. По-друге, можуть надіслати повідомлення нібито від банку з проханням перетелефонувати та підтвердити якусь інформацію для продовження обслуговування картки.

«З цією інформацією вони можуть піти до мобільного оператора та перевипустити SIM-карту. Для того, щоб себе вберегти від таких дій, треба привʼязати свою SIM-карту до паспорта. У такому разі її перевипускати можна буде лише у відділенні оператора з документом. Це головний спосіб захисту», – пояснює експерт Cyberlab Денисенко.

Інформацію про номери, на які ви частіше телефонуєте, також можна отримати з відкритих джерел. Наприклад, Андрій Гнатюків каже, що через базу даних OpenDataUA знайшов усю інформацію на себе, зокрема контакти рідних, які й могли бути його найчастішими контактами.

Поради:

– Привʼязати свій номер телефону до паспорта.

– Не телефонувати на номери незнайомців. Якщо бачите, що вам поповнили рахунок, будьте насторожі та краще відразу звʼяжіться з оператором.

– За можливості мати окремий фінансовий номер (не той, яким ви користуєтеся щодня для звʼязку).

До чого тут узагалі «Дія»

У багатьох повідомленнях ошукані користувачі згадували застосунок «Дія» і стверджували, що саме з його допомогою на них узяли кредити. Чи це так?

У Мінцифри стверджують, що це неможливо. Адже відкрити карту чи кредит можна тільки з фото- або відеоверифікацією клієнта.

«Так само як із паспортами на бланку, під час використання е-паспортів банк або інша фінансова установа перед проведенням будь-якої фінансової операції має визначити, чи надаються документи особою, якій вони належать. Уся процедура документально фіксується та може бути перевірена після проведення операції. У разі виникнення підозри фінансова установа відмовляє заявнику в проведенні такої операції», – пояснили в Мінцифри.

Так у міністерстві кажуть зараз, хоча ще у 2020 році через «Дію» можна було авторизуватися на сайтах онлайн-кредитування (і про це був пост у соцмережах). Але, за словами Chief Product Officer сервісу Євгенія Горбачова, цю функцію вимкнули у квітні 2021 року. Тепер «Дію» не можна використати для віртуальної верифікації в МФО.

Щобільше, у застосунку запустили push-сповіщення, якщо на них намагатимуться відкрити кредит. Тільки за місяць роботи функції користувачі отримали понад 3 млн таких сповіщень. За даними Мінцифри, завдяки цьому зупинили видання понад 20 незаконних кредитів.

Представник «Дії» виклав інструкцію, як перевірити, чи хтось скористався застосунком для передання ваших цифрових документів. Ось вона:

1. Увійти в застосунок «Дія».

2. Перейти в «Меню» (справа в нижньому кутку).

3. Перейти в розділ «Підключені пристрої».

4. Знайти потрібну сесію за датою та часом.

5. Натиснути на цю сесію та зайти всередину.

6. Знайти внизу екрану пункт «Запити на копії цифрових документів».

7. Якщо через «Дію» кудись передавали документи, то там буде лічильник у вигляді кружечка з цифрою всередині, яка означає, скільки було операцій у межах цієї сесії.

8. Якщо такого лічильника немає, це означає, що через «Дію» документи не передавали (тобто ніхто не відкрив рахунок і не намагався брати кредит).

9. Якщо лічильник є, тоді можна зайти в розділ «Запити на копії цифрових документів» і побачити, що це були за запити та чи вони були успішними. У разі успіху на зеленій плашці буде написано «Виконано», в іншому разі буде напис на сірій плашці.

Але постраждалі фіксували, що до їхнього застосунку «Дія» хтось заходив – і це були не вони. Хоч сам застосунок і не дає можливості авторизуватися й узяти на вас кредит, він містить ваші персональні дані – повне імʼя, дату та місце народження, номер біометричного паспорта (ID-картки чи закордонного), ідентифікаційний номер. Ці персональні дані разом із вашим банківським номером телефону дійсно можна використати для того, щоб узяти на вас кредит у мікрофінансовій установі.

Але також для цього можна використати й ваш онлайн-банкінг. Ось тут кредитна установа CreditPlus підтвердила, що шахрайський кредит у ній оформили через інтернет-банкінг постраждалого.

Щобільше, зайти в «Дію» – далеко не єдиний спосіб добути наші персональні дані. І ми дуже часто самі добровільно їх роздаємо.

«По-перше, ми залишаємо їх, коли створюємо якісь картки лояльності в мережі магазинів або на АЗС, під час перебування в готелі, навіть коли повертаємо товар, який нам не підійшов. По-друге, наші дані містяться в базах даних різних установ та органів влади, зокрема повʼязаних із бізнесом і ФОПами. Тут запитання до тих, хто тримає ці бази: як вони їх зберігають, чи немає витоку, чи вони ними не торгують. Тому що ми знаємо факти, коли представники одного з наших центральних банків просто завантажували бази, а потім продавали їх у DarkNet за 300 доларів. Отже, так, за допомогою «Дії» можна взяти кредит (і це запитання до цих установ, як вони верифікують особу). Але легше шахраям скористатися джерелами даних, які вже сталися раніше та продаються на сайтах типу DarkNet», – вважає фахівець Cyberlab.

Ще один варіант отримати дані – через електронні листи або застосунки, які збирають інформацію.

«Ми на телефон часто встановлюємо якісь застосунки для розваг. Наприклад, у нас були випадки, коли люди встановлювали застосунки для перегляду фільмів, які копіювали інформацію з телефону та передавали їх на певні сервери. Починаючи від контактів і завершуючи кодами доступу до всіх сервісів, зокрема до соцмереж. Щоб такого не було, не треба встановлювати невідомі застосунки. А якщо встановлюєте, то у всіх телефонах є функція сповіщення про те, що застосунок просить отримати доступ до камери, до телефонної книги. Якщо цей застосунок не стосується тієї чи тієї памʼяті, але просить доступ, то відразу потрібно його видаляти. Іще один момент: багато людей користуються електронними скриньками на телефонах. Бажано не відкривати сумнівні вкладення в листах. Це може бути шкідливе програмне забезпечення, за допомогою якого шахраї зможуть отримати повний доступ до вашого мобільного телефону: переглядати ваш екран, вмикати камеру, мікрофон і викрадати ваші дані», – розповідає Денисенко.

До речі, після масштабної кібератаки на державні ресурси в січні 2022 року подібні листи надходили користувачам з офіційних адрес судової влади. У листах були посилання на RAR і ZIP-архіви. У разі їхнього розпакування на комп’ютер встановлювалася програма Remote Utilities, яка надавала прихований доступ до гаджета третім особам.

Як захиститися:

Не залишати свої персональні дані будь-де.

Не зберігати документи в телефоні без будь-якого захисту. Якщо ви пересилали їх комусь у месенджері чи поштою, краще їх видалити.

Не передавати НІКОМУ ваші паролі та пін-коди. Навіть представники банку не мають права запросити цю інформацію.

Перевіряти застосунки, які ви завантажуєте на телефон, та не відкривати підозрілі посилання в листах.

Що робити, коли на вас узяли кредити

Якщо найгірше сталося, тоді треба звернутися до правоохоронних органів і домогтися, щоб вони відкрили кримінальне провадження.

«З тими матеріалами, які зберуть правоохоронці, треба звертатися до організації, яка надала кредит. І в судовому порядку розв’язувати питання щодо його анулювання. У випадку, якщо у вас вкрали мобільний і на нього взяли кредит, зрозуміло, що ви матимете рацію. Але ви це будете доводити в межах розслідування та судового розгляду», – пояснює експерт із кібербезпеки.