Шахраї підробляють додаток "Дія" — як не стати жертвою

Шахраї активно підробляють український додаток "Дія". Вони хочуть виманити в людей дані карток, забирати чужі посилки та виїжджати за кордон.

Про це повідомляє Forbes.

Фейковий додаток "Дія"

На початку листопада пресслужба "Дії" прокоментувала новину про те, що Держприкордонслужба не приймає е-документи в додатку для перетину кордону. Однією з причин стало те, що був зафіксований факт підробки додатка. 

Начальник відділу організації прикордонного контролю штабу Західного регіонального управління ДПСУ Ігор Матвійчук в інтервʼю "Інтерфакс-Україна" розповів, що один з чоловіків стверджував, що він є багатодітним батьком. Українець показав фейковий додаток з підробленими свідоцтвами про наявність трьох дітей.

У Telegram-каналі "Дії" йдеться, що перетин кордону із цифровим закордонним паспортом у застосунку не передбачений та ніколи не був упроваджений. Виняток — коли потрібно підтвердити особу при в’їзді в країну.

Підробка "Дії"

Головний інспектор відділу комунікації Департаменту кіберполіції Артем Олещенко розповів, що найпоширенішою шахрайською схемою є розповсюдження фейкових посилань. 

"Зловмисники дублюють контент та бренд-елементи офіційних платформ, у тому числі Єдиного порталу державних послуг "Дія", — розповів Олещенко.

За його словами, під приводом отримання фінансової допомоги від держави шахраї переконують людей перейти за фішинговими посиланнями.

"За задумом аферистів жертва має ввести конфіденційну інформацію — номер банківської картки, термін дії та cvv-код — на підконтрольних зловмисникам ресурсах", — говорить Олещенко. 

У серпні цього року зловмисники створили фейкову сторінку "Дії" та обіцяли виплатити українцям по 9 500 грн. Шахраї просили в українців пін-коди карток.

Засновник аудиторської компанії з інформаційної безпеки Disl.Tech Андрій Перевезій наголосив, що використання фейкової "Дії" для махінації з виплатами не найгірший кейс. 

"Використання фейку на блокпосту чи на пошті — більш ризиковані випадки", — наголосив він.

У листопаді минулого року студенті зі Львова зробив замовлення в одному з магазинів та заволодів персональними даними продавця. Він відмовився забирати посилку від свого імені та зробив повернення на продавця. Після цього чоловік прийшов забрати її з фейковою "Дією" від його імені. 

Перший раз забрати посилку безкоштовно вдалося, але з другої спроби шахрайство викрили. 

Боротьба проти шахрайства

Мінцифри напряму не займається питанням шахрайства зі своїм найпопулярнішим продуктом.

"Ми не правоохоронний орган", — сказав керівник з розвитку електронних послуг Мстислав Банік.

У Мінцифри наголосили, що шахрайськими справами займається кіберполіція. 

Перевезій наголосив, що відповідальність за підробку лежить не лише на шахраях — магазини, пошти та інші сервіси рідко перевіряють інформацію клієнта в додатку.

"Вони технічно не можуть або не хочуть у деяких випадках відсканувати QR-код", — каже він.

Усі інциденти, які досліджував голова підкомітету з питань кібероборони та кіберрозвідки Олександр Федієнко, на 99% сталися з вини користувачів.

"Кіберполіція займається злочинами, але кіберполіція не захищає вас. Неможливо соціальну відповідальність громадян України перекласти на Мінцифри або кіберполіцію", — наголосив він.

Як не стати жертвою шахраїв

Кіберполіція радить українцям ретельно перевіряти правильність URL-адреси необхідного сайту.

"Навіть найменша невідповідність може означати, що користувач потрапив на фішинговий сайт", — каже Олещенко. 

Ще одним слабким місцем є мобільні номери за передплатою (припейд). Варто зазначити, що передплата не вимагає пред’яви документів, підписання будь-яких договорів, а послуги надаються лише при наявності грошей на рахунку.

"Якщо у вас припейд номер, ви вже у зоні ризику на 100%", — каже Федієнко. 

Зловмисники можуть вкрасти дані банківської картки, доступ до "Дії", цифровий підпис, якщо знатимуть мобільний номер та прізвище користувача.

Федієнко каже, що захиститися від цього сценарію допоможе перехід на контрактний номер телефону, який підв’язаний до паспорта людини. Для безпеки даних у "Дії" також потрібно прив’язати додаток до контрактної SIM-картки.

Перевезій додав, що працівники магазину чи пошти мають сканувати QR код електронних документів у "Дії" або ж просити фізичні документи, якщо немає технічної можливості відсканувати.

Нагадаємо, Україна активно готується до зими та можливих проблем з електропостачанням, оскільки існує загроза повторних обстрілів Росією. Саме тому в додаток "Дія" планують додати мапу банків, які працюють в період блекауту.