Шахраї "крадуть" Дію і беруть мільйонні кредити: експерт розповів, як українцям захиститися

Експерт з кібербезпеки розкрив схему, як злочинці ламають "Дію"

Ви давно не користуєтесь старим банківським рахунком? А можливо, забули про сім-карту, яку не поповнювали вже рік? Одна жінка теж так думала, поки не прокинулася вранці з повідомленнями про кредити, які вона не брала. За ніч на неї переоформили позики, гроші вивели через десятки рахунків, а доступ до "Дії" виявився в руках зловмисників.

Як працюють схеми злому месенджерів та електронних документів, чому "Дія" залишається вразливою через банківську авторизацію та що робити, якщо ваш акаунт потрапив до рук зловмисників, з'ясовував "Телеграф".

Як шахраї ламають месенджери: шкідливі посилання від знайомих і не тільки

Більшість зламів месенджерів починаються з того, що користувач натискає на підозріле посилання, пояснює Костянтин Корсун, експерт з кібербезпеки, автор онлайн-курсу "Особистий кіберзахист". Часто такі лінки приходять від знайомих людей, чиї акаунти вже зламали. Людина бачить повідомлення від друга чи родича, не підозрює нічого поганого та переходить за посиланням. У цей момент смартфон інфікується шкідливим програмним забезпеченням.

"Коли зловмисник має доступ до смартфона, він має доступ і до месенджерів. Далі вже змінює паролі до електронної пошти, прив'язує свої номери та отримує повний контроль", — каже експерт.

Але існує простіший спосіб. Шахраї викрадають основний мобільний номер, до якого прив'язані всі сервіси. Схема працює так: зловмисник телефонує жертві вночі, коли людина спить та не помічає активності. Дзвінок відразу скидається, а людина передзвонює на незнайомий номер. Оператор мобільного зв'язку фіксує вихідні дзвінки та вважає, що це легальний власник номера. Потім шахрай звертається до оператора, називає три останні вихідні дзвінки та просить змінити пін-код або переоформити сім-карту.

80% хакерських атак проводяться заради грошей: хто за цим стоїть

Абсолютна більшість зламів месенджерів та банківських акаунтів відбувається заради грошей. Як тільки зловмисник отримує доступ до чужого месенджера, він намагається максимально швидко цим скористатися. Найпростіший варіант — розіслати всім контактам повідомлення типу "Захворіла мама, скинь гроші на карту".

Але шахраї можуть піти далі. Вони розсилають той самий шкідливий лінк, який використали для злому, всім контактам жертви. "Так запускається ланцюгова реакція: зламали один акаунт, потім другий, третій, четвертий. Кожен новий злом дає доступ до нових контактів та нових можливостей вкрасти гроші", — каже Костянтин Корсун.

Невеликий відсоток зламів припадає на діяльність спецслужб. Це групи хакерів, які працюють на уряди різних держав. Їхня мета — не гроші, а інформація. Через аналіз великих даних вони можуть просуватися по ланцюжку контактів та дістатися до військових чи політичних осіб.

"Два-три-чотири-п'ять рукостискань і можна дійти до дуже впливових людей. А там найцінніша інформація", — каже експерт.

Навіть якщо номер телефону сам по собі нічого не говорить, у зламаному акаунті він може бути підписаний умовно як "Саша СБУ" або "генерал ГШ". Люди записують номери з асоціаціями, щоб запам'ятати, чий це контакт. Ця інформація стає золотою жилою для ворожих спецслужб.

Чому шахраї не бояться покарання

Якщо у вас зламали месенджер або банківський акаунт, поліція навряд чи серйозно цим займатиметься, оскільки таких випадків дуже багато. Виняток — якщо ви високопосадовець або публічна особа.

Шахраї це розуміють та використовують. Вони знають, що поліція не буде глибоко розслідувати крадіжку грошей у звичайної людини. Тому спокійно продовжують працювати за своїми схемами. Єдине, чого вони бояться, — привернути увагу високопосадовців.

Саме тому злочинці намагаються уникати зайвого галасу. Вкрасти гроші тихенько — ось їхня головна мета. Але принципова можливість злому залишається, і це загроза не лише для звичайних людей, але й для державної безпеки.

Як зламати "Дію" через старий банківський рахунок

За словами Костянтина Корсуна, у 2025 році сталося кілька випадків злому "Дії" через старі банківські акаунти. Одна з історій особливо показова. У жінки був банківський рахунок, яким вона не користувалась три-чотири роки. До нього був прив'язаний старий номер телефону, який теж давно не використовувався.

Тут спрацювала особливість роботи банків та мобільних операторів. Банк не закриває акаунт, якщо ним не користуватись три роки, а от мобільний оператор припиняє обслуговування номера через 12 місяців неактивності та виставляє його на продаж.

Шахраї використовують цю лазівку. Вони мають зв'язки серед працівників у банках. Просять знайти сплячі акаунти та дізнатись, які номери телефонів до них прив'язані. Потім злочинці шукають ці номери в продажу, купують їх цілком легально та відновлюють доступ до банківського рахунку.

"Через цей старий номер за допомогою дзвінка чи смс вони відновлюють доступ від імені тієї людини до старого банківського акаунту, про який вона може вже й не пам'ятати", — розповідає експерт.

Чому експерти з кібербезпеки критикують "Дію" ще з 2019 року

Потрапивши в банківський акаунт, зловмисники можуть авторизуватися в "Дії". Система побудована так, що електронний додаток довіряє банківській авторизації. За словами Костянтина Корсуна, це головна проблема, на яку фахівці з кібербезпеки вказують ще з 2019 року.

Через "Дію" шахраї заходять в інші банки та набирають кредити. Не всі операції їм доступні, бо деякі послуги вимагають відеоідентифікації з обертанням голови або електронного підпису. Але в реальному випадку з тією жінкою злочинці якось обійшли ці обмеження. За одну ніч на неї переоформили кредити, гроші одразу переказали через десятки акаунтів та вивели.

Жінка прокинулась вранці та побачила повідомлення про кредити. Вона відразу почала телефонувати до всіх банків та вимагати заморозити операції. Це правильна реакція, бо банківські платежі йдуть не миттєво. Інколи транзакція може тривати день-два, а інколи кілька годин. Якщо звернутись протягом години, є шанс заморозити операції та забрати гроші назад.

"Дію" критикують саме за те, що вона не має власної системи авторизації, а покладається на банківську. Банки мають спеціальні фонди для покриття збитків від шахрайства — страховки, чарджбеки (процедура опротестування банківської операції за карткою, з якою клієнт не згоден). Ці витрати закладені в їхні операційні ризики.

"Дія позиціонується як електронний паспорт, і тут не має бути таких вразливостей. Фахівці намагалися докричатися ще з 2019 року, але не були почуті", — підсумовує Корсун.

Попри всі вразливості, злами "Дії" залишаються точковими випадками. Це не масове явище, бо для реалізації схеми потрібні зв'язки в банку, час на пошук сплячих акаунтів та відповідних номерів телефонів. Це складна робота, яка вимагає підготовки.

Чи можна зламати застосунок: що кажуть у "Дії"

У Мінцифри тим часом заспокоюють. Михайло Федоров наголошує: масово "зламати Дію" неможливо, бо застосунок не зберігає персональні дані у власній базі. Він лише підтягує інформацію з державних реєстрів у момент запиту. Жодного витоку даних, за словами Михайла Федорова, міністра цифрової трансформації, не було.

Проте ще у 2021 році Федоров підтверджував, що схема, за якою шахраї оформлюють кредити через "Дію", існує. За його словами, шахрайку за цією справою тоді викрили. Як сказав міністр, шахрайство з кредитами, яке приписували "Дії", виявилося складною багатоетапною схемою, де застосунок був лише кінцевим інструментом.

Спочатку зловмисники отримували доступ до паспортних даних жертви, зламували її електронну пошту та викрадали мобільний номер (робили дублікат SIM-картки). Контролюючи номер, вони могли відновити доступ до старого банківського рахунку і через нього авторизуватися в "Дії" за допомогою BankID. Далі шахраї зверталися до мікрофінансових організацій, які, порушуючи правила ідентифікації, видавали кредити на ім'я жертви, використовуючи її цифрові документи.

Що робити, якщо зламали месенджер або банківський акаунт

Перше і найважливіше — негайно звертатися до банку. Потрібно повідомити про ситуацію та попросити заморозити всі транзакції. Час тут критичний. Якщо звернутись протягом години після злому, є шанси заблокувати платежі та повернути гроші.

Також варто перевірити всі старі банківські акаунти. Якщо є рахунки, якими ви не користуєтесь кілька років, краще їх закрити. Перевірте, які номери телефонів до них прив'язані. Якщо це старі сім-карти, які ви вже не використовуєте, терміново змініть номер у банку на актуальний.

Будьте обережні з посиланнями в месенджерах. Навіть якщо лінк прийшов від знайомої людини, перевірте, чи справді вона його надсилала. Зателефонуйте та уточніть. Шахраї розсилають шкідливі посилання саме від зламаних акаунтів, бо люди довіряють своїм контактам.

Не передзвонюйте на незнайомі номери, особливо якщо дзвінок відразу скинувся. Це може бути частина схеми викрадення вашого номера. Оператор мобільного зв'язку зафіксує вихідний дзвінок, і зловмисник використає цю інформацію для переоформлення сім-карти.

Нагадаємо, раніше "Телеграф" писав про те, що шахраям треба не лише гроші. Вони полюють на ваші соцмережі з іншою важливою метою.