Уявіть, що одного дня ви дізнаєтеся про мільйонний кредит, оформлений на ваше ім’я, — про який ви навіть не здогадувалися. Або про те, що ваш автомобіль перереєстровано на незнайомця. Звучить як сценарій гостросюжетного фільму? На жаль, це нова реальність, у якій поєднання сучасних технологій і старих, як світ, шахрайських схем створює небачені досі загрози. І в центрі цієї бурі опинився державний застосунок «Дія», яким користуються мільйони українців.
Нещодавнє викриття злочинної групи, яка за допомогою штучного інтелекту та викрадених даних оформлювала кредити на громадян України, змусило по-новому поглянути на безпеку цифрових документів. Зловмисники, діючи з території України та Польщі, використали слабкі місця в системі ідентифікації, щоб отримати доступ до чужих акаунтів у «Дії» та банківських застосунках.
Схема вражає своєю зухвалістю. Як повідомила пресслужба Нацполіції, її організаторка, 33-річна жінка, отримувала доступ до персональних даних користувачів онлайн-банкінгу — фінансових номерів телефонів, паролів і кодів авторизації. Цю інформацію вона передавала спільникам, які входили до банківських додатків і, використовуючи систему BankID, авторизувалися у «Дії» від імені своїх жертв.
Але як їм вдавалося обійти фото-верифікацію, яка, здавалося б, має надійно захищати користувачів? Відповідь криється у використанні технології DeepFake. Отримавши доступ до цифрових документів, шахраї створювали короткі підроблені відео, накладаючи обличчя потерпілих на обличчя організаторки. Цих фейкових роликів виявлялося достатньо, щоб обдурити автоматизовані системи перевірки банків.
У результаті на імена щонайменше 286 громадян було відкрито рахунки, а на частину з них оформлено кредити на загальну суму понад 4 мільйони гривень. Отримані кошти злочинці переводили на підконтрольні рахунки, конвертували у криптовалюту та виводили готівкою.
Цей випадок вкотре порушив питання, про яке експерти з кібербезпеки попереджали ще з початку запуску «Дії». Проблема полягає не стільки в коді самого застосунку, скільки в архітектурі системи, що покладається на два потенційно вразливі методи автентифікації: BankID, доступ до якого можна отримати, заволодівши фінансовим номером телефону, та відеоідентифікацію, яку, як виявилося, можливо обійти за допомогою штучного інтелекту.
Коли «Дія» дозволяє проводити юридично значущі операції — від оформлення кредитів до укладання правочинів, що раніше вимагали особистої присутності з паспортом, — будь-яка «дірка» в системі безпеки стає критичною.
Історія з шахраями з Миколаєва та Польщі — це тривожний сигнал, який змушує замислитися: наскільки надійно захищені наші цифрові документи і які ще «сюрпризи» можуть чекати на українців у світі, де технології розвиваються значно швидше, ніж способи захисту від них.
