Мошенники. Прочитай и расскажи другому.

[AT0N]

Шахрайський сайт під виглядом ПриватБанку заманює українців — пропонує дохід до $8500 на місяць.

[OlegRO]

кстати, по поводу цифровой подписи Джо Байдена на сайте петиций

 

...В Госспецсвязи отметили, что поиском виновных занимается следствие — но пока никого найти не удалось.

 

Проблема еще и в том, что согласно закону "Об электронных доверительных услугах", ЭЦП должна храниться на материальном носителе, которым владеет пользователь. Например, это может быть флеш-накопитель. Но если вы пользуетесь е-подписью через сервис Bank-ID, вы не используете материальный носитель, а используете телефон, который просто передает информацию.

 

"В Казахстане эту проблему решили следующим образом — ЭЦП разместили на SIM-картах, что соответствует международному законодательству", — комментирует Михаил Чайкин, руководитель направления СУИБ АТ "Укрэксимбанк". "У нас эта проблема не решена, поэтому АЦСК банков постоянно генерируют якобы валидные ЭЦП".

 

По словам Чайкина, единственный проект ЭЦП, соответствующий международным стандартам безопасности, — это Mobile ID, поскольку в качестве носителя там используется SIM-карта. "Но этот проект "загнулся", несмотря на большие инвестиции провайдеров. Вместо него появился сервис "Дія.Підпис", который непонятно каким стандартам соответствует", — сетует эксперт.

 

Чайкин, как и Баранович, тоже уверен в том, что есть большой риск генерирования поддельных ЭЦП, к примеру с целью организации мошеннических схем. Решить проблему может унификация системы ЭЦП в соответствии с международными стандартами, а также принятие жестких мер уполномоченными госслужбами в качестве реакции на подобные инциденты. Иначе ситуация будет повторяться.

 

Какие риски для государства и граждан несет поделка электронных цифровых подписей?

 

Все цифровые сервисы завязаны на публичную инфраструктуру ключей. В Украине работают около 20 АЦСК, которые выдают электронные цифровые подписи и ключи к ним, чтобы физические и юридические лица могли без проблем оформлять официальные документы в электронном виде и не плодить кипы бумаг. Поэтому так важно, чтобы ЭЦП не были скомпрометированы, иначе поставить фейковую подпись можно будет подпись на любом документе.

 

Все понимают, что если можно подделать две ЭЦП, то впоследствии смогут подделать и 10, и 100, причем на любые имена

 

Однако в Украине это уже второй подобный случай. В 2016 году на имя члена НАПК Руслана Рябошапки была выдана поддельная ЭЦП, где был указан код ГРФО 1234567892. Чиновник заявил, что эти данные не соответствуют действительности, а это значит, что подписанная налоговая декларация тоже может считаться фейком. Зачем это было сделано пять лет назад — непонятно. Возможно, чтобы скомпрометировать систему е-декларирования в целом, которую тогда активно вводили.

 

Как и кто создал фейки, по-прежнему неизвестно. Зато теперь все понимают, что если можно подделать две ЭЦП, то впоследствии смогут подделать и 10, и 100, причем на любые имена. Процесс можно повторить и даже автоматизировать.

 

При помощи

Показать

фейковых подписей злоумышленники смогут фальсифицировать самые разные документы, в том числе и финансовые, учитывая, что на них основаны все сервисы — налоговая отчетность, приложение "Дія", документы на открытие-закрытие счетов и предприятий.

 

А если у нас в стране будут проходить всеобщие электронные выборы, что помешает тем же самым людям сгенерировать 100 тыс. поддельных ЭЦП на разные имена, проголосовать за определенного кандидата и обеспечить ему победу? И никто даже не сможет понять, что это афера.

 

Чиновники спокойны: риск подделать ЭЦП есть, но он минимален

 

В Госспецсвязи считают, что риск подделки "миллиона подписей", безусловно, есть, но он "очень низкий и находится на приемлемом уровне". Фокус заверили, что "если будет строиться система электронного голосования, при ее проектировании и разработке эти риски будут изучаться, исследоваться, просчитываться. Система будет строиться таким образом, чтобы риски были минимизированы до приемлемого уровня".

 

Также мы попросили разъяснить, какие меры принимаются сегодня для того, чтобы подобных инцидентов больше не случилось. По словам чиновников, они уже проводят внеплановую проверку оператора услуг с тем, чтобы выявить: выполнялась/не выполнялась ли работа в соответствии с нормативными требованиями, что привело к конкретному ЧП.

 

"Если у оператора есть предпосылки к такого рода нарушениям, ему будет дано указание устранить и привести в соответствие процессы и систему, чтобы этого не более не повторилось", — говорят в Госспецсвязи.

Скомпрометировано ли приложение "Дія"?

 

Эксперт по кибербезопасности Константин Корсун в написанной для Фокуса колонке рассказал о еще одном любопытном кейсе — на имя гражданки Украины Людмилы Ж. через приложение "Дія" взяли кредит, оформление которого невозможно без применения ЭЦП. Проблема в том, что пани Людмила не брала кредит, не ставила электронную подпись и даже не имеет ID-карты — у нее до сих пор обычный бумажный паспорт, а потому приложением "Дія" она не пользуется. Людмила поначалу не могла решить этот вопрос, обращаясь и в службу "Дія", и в Нацбанк, и в киберполицию.

 

"Проблема заключается в том, что диджитализаторы отказываются брать на себя ответственность за безопасность всей технической цепочки: реестры — шифрование — серверы — каналы передачи данных — АЦСК — банки — РКІ — код приложения "Дія"— среда функционирования приложения. Ответственность за безопасность госреестров они перекладывают на владельцев/распорядителей этих реестров, за Bank-ID — на банки, за криптографию, ключи и сертификаты — на АЦСК, за безопасности серверов — на облачного провайдера. И всем этим организациям они почему-то "доверяют", безапелляционно рассчитывая на принципиальность, честность и высококвалификованность каждого работника этих звеньев", — пишет Константин.

 

За комментарием Фокус обратился еще и в Министерство цифровой трансформации Украины: мы попросили пояснить, каким образом сработали мошенники, рискуют ли пользователи приложения оказаться на месте Людмилы Ж. и как помочь самой Людмиле.

 

По словам чиновников, ответственность должен нести банк, выдавший кредит: "Работа приложения "Дія" полностью базируется на законодательно закрепленных процедурах и спроектирована таким образом, что цифровой паспорт гражданина не может быть использован без его воли. Если же работник любого банка или другого финансового учреждения решит, например, предоставить кредит с грубым нарушением действующего законодательства, то ни "Дія", ни любой другой инструмент (в том числе если кто-то захочет использовать бумажные копии документов) не помешают ему это сделать. Но за такие действия предусмотрена жесткая ответственность".

 

В Минцифры полагают, что у Людмилы Ж. "украли телефонный номер, получили доступ к ее банковскому аккаунту, подтвердив вход с личной почты. Далее с помощью скомпрометированного доступа к BankID состоялась авторизация в мобильном приложении "Дія".

 

Однако представители министерства уверяют, что подобный взлом "не мог бы завершиться получением кредита с помощью цифрового паспорта, если бы финансовое учреждение грубо не нарушило правила, установленные НБУ. В правилах этого финучреждения указано подтверждения личности человека с помощью фото, чего, очевидно, не было сделано".

 

Также в министерстве настаивают на том, что после данного инцидента были приняты необходимые меры для обеспечения безопасности, — "сразу после этого случая, еще в апреле, Минцифра отсоединила все кредитные учреждения от приложения "Дія" и обратилась к НБУ с просьбой осуществить внеплановую проверку финучреждений и предоставить подтверждения нарушений". А также уточняют, что Департамент киберполиции инициировал открытие уголовного производства по ст. 190 УК (мошенничество).

 

"Финансовое учреждение "Тенго" прекратило звонки к заявительнице и закрыло кредитное обязательство. Также выгружаются данные о создании заявки на кредит с целью идентификации причастных лиц, — сообщили Фокусу в Минцифры и отметили, что "мошенники не завладели средствами пострадавшей, ведь указанный кредит поступил на ее банковскую карточку".

 

"Вопрос киберзащиты является комплексным. Минцифры со своей стороны прилагает максимум усилий, но здесь также важна добросовестность и ответственность банков, финансовых учреждений. Они должны понимать, какую ответственность несут и какие последствия от пренебрежения правилами могут быть для клиентов", — резюмировали в министерстве — и пообещали в скором времени анонсировать проведение нового этапа баг-баунти (поиска уязвимости) в июле.

 

А пока гражданам остается только требовать от властей найти и наказать виновных, скомпрометировавших национальную инфраструктуру ключей.

 

"Это вопрос ответственности. Техническими методами эту проблему решить нельзя", — резюмирует Андрей Баранович.

 

буду ржать когда миллионы байденов проголосуют за таежный союз на референдуме о нато

[OlegRO]

 

В Украине появилась новая схема развода с выведыванием данных банковских карт.

Мошенники выискивают жертв на популярной платформе онлайн-объявлений OLX.

 

Схему развода описала пользовательница Фейсбука Любовь Лукашина, которая в последний момент раскусила аферистов.

 

По ее словам, она купила своему ребенку очень много одежды, которую тот даже не успевал носить. Многие детские вещи автор поста передавала в благотворительный фонд, но некоторые решила продавать через OLX.

 

6 августа к ней в Viber постучалась девушка Виктория, упомянула объявление Любови и заявила, что хочет приобрести предложенный в нем товар. Виктория уточняла детали товара, задавала вопросы о доставке. В общем, замыливала глаза.

 

После ответов на все интересующие ее вопросы о товаре женщины перешли к обсуждению доставки. Внезавно Виктория предложила попробовать доставку через некий "сейф-сервис" от "Новой почты" - и прислала скрин интерфейса сервиса.

 

 

Любовь не сразу поняла, в чем суть услуги, которая по сути является той же отправкой с наложенным платежом. Но не стала вникать в подробности и согласилась им воспользоваться.

 

Виктория попросила прислать ей ФИО, адрес отправки и вес товара, чтобы оформить накладную и отправить ее продавцу для подтверждения. А потом бросила ссылку на сайт якобы "Новой почты".

 

"Адрес такой странный. Перехожу. Там якобы заполненная накладная. Перехожу далее. И - вуаля! Да, форма для отправки данных моей банковской карты Короче, не задался день у Виктории или Виктора. Вечер в хату, часик в радость! Будьте бдительны, друзья", - написала Любовь, не став вводить данные потому что был очевиден факт мошенничества.

 

[templar]

Меня подобным образом пытались развести. Писал раньше

[OlegRO]

 

 

Жулики запустили мощную рекламную кампанию с призывом "Обязательная проверка карточек всех жителей Украины на компенсацию НДС", и продвигают этот слоган в соцсетях (в Facebook со страницы @ukrainebestcountry).

 

мошенники разгоняют новую схему выманивания денег у украинцев

 

В ЕМА отметили, что в рамках кампании нелегально используются фото известных личностей — телеведущей с канал 1+1. Также демонстрируется карточка Ощадбанка системы MasterCard. Так мошенники пытаются добавить своему сообщению достоверности.

 

При переходе с рекламного ролика преступников люди попадают на один из двух сайтов:

 

gos-viplata;

viplata-komitet.

 

Там людям обещают большие "компенсации НДС за оплату товаров иностранного производства за последние 36 месяцев". Без ограничений. Покупка может быть любой: от продуктов питания в супермаркете до лекарств в аптеке. Ясно, что такие приобретения делал чуть не каждый украинец, на что и делают ставку мошенники. Их задача — завлечь побольше людей обещаниями компенсаций. Чтобы запутать обывателей, сайты ссылаются на мифическое постановление 28/9329к непонятно кого (госорган, который утвердил документ - не уточняется). Такого документа, конечно, не существует.

 

Украинцев призывают зарегистрироваться на подозрительных сайтах, и по ходу регистрации ввести e-mail и данные банковских карт. А после обещают перечислить людям на счета компенсация по 30 тыс. грн, 50 тыс. грн и даже 80 тыс. грн. А еще по ходу выуживают 164 грн за юридические услуги по оформлению компенсации от государства. При этом советуют повысить карточный лимит по операциям в интернете, чтобы на счет якобы могли поступить крупные суммы.

 

После того, как человек поднимает свой интернет-лимит, у него со счета начинают исчезать деньги. Происходит взлом и идет атака.

 

"Эта схема выделяется из общего ряда, она очень хорошо спланирована, в разработку и продвижение явно брошены большие ресурсы. Но в остальном технологически очень старый и простой механизм, построенный на принципах социальной инженерии. Задача мошенников — убедить пользователя передать данные карты добровольно. В данном случае был подобран идеальный для этого момент. Накануне больших праздников украинцам проще поверить в какие-то доплаты со стороны государства. Использование известных лиц в рекламе, имитация расчета компенсации дополнительно усиливают эффект", - прокомментировал схему начальник отдела информационной безопасности Юнекс Банка Владимир Бородавкин.

 

Специалисты также отметили, что ранее похожий сценарий использоваться преступниками в соседней стране. Сначала его обкатали в РФ, а теперь запустили в Украине.

 

"Похожие схемы были распространены в России где-то четыре года назад, и теперь внезапно перекочевали к нам. Людям прежде чем доверятся кому-то достаточно просто погуглить истории с якобы бесплатным получением денег от государства, и быстро убедиться в том, что это надувательство и мошенническая схема. Важно уяснить ключевое — безосновательных, на ровном месте, выплат от государства в Украине не бывает", - отметил директор Украинской межбанковской Ассоциации членов платежных систем ЕМА Александр Карпов.

 

Он выделил три ключевых направления, на которых сейчас строятся схемы мошенников:

людям лгут, что они выиграли какой-то приз;

присылается сообщение-обманку о получении наследства;

раскручивается миф о новой государственной помощи.

Чаще всего обманывают пожилых людей, которые более легковерны, и меньше разбираются технологиях. Потому финансисты призывают родных им помогать.

 

"Бабушкам и дедушкам главные принципы должны объяснить их дети или внуки. А если карта в принципе не используется для оплаты в сети, им можно установить нулевой лимит на операции в интернет или физически затереть CVV код на обороте карты. Это не защитит от ряда других мошеннических схем, но существенно повысит безопасность", - заверил Владимир Бородавкин.

[MrGreenZ]

Усвоил один урок, а именно что ОЛХ-доставка это говно. Купил диск с игрой. Продаван, точнее мошенник моментально оформил накладную в новой почте. Сразу после этого его заблочили, а мне позвонили с олх и предупредили, что на продавца уже были жалобы. Приехал поддельный диск, я его не забрал само собой, но тут и открылась главная суть: деньги за доставку мне не вернули. Т.е. мошенник просто за мой счет попытался развести меня на деньги. А сам при этом вообще ничего не теряет и ничем не рискует. И так можно покупать до усирачки только что бы увидеть фуфло внутри посылки. Сервис конечно на высоте. Знали, что мошенник, но дали возможность купить и только после этого забокировали его.

[Outlawif]

ukrainebestcountry

Бесспорно...

 

[Terror]

но тут и открылась главная суть: деньги за доставку мне не вернули.

Я с этим недавно тоже столкнулся. Думал, что олх-доставка ничего от меня не требует, если товар, который я заказал по каким-то причинам мне не подошел и я сделал отказ. Но в этом случае всё же доставка в одну сторону списывается с меня

Хотя я понимаю и сам олх, ведь так покупатель может оформить 10000+ разных посылок ради развлечения, и от всех от них отказаться

 

[my_fair_lady]

мне недавно звонят с какого-то абсолютно обычного номера Водафон. включается робот и сообщает что меня приветствует Райфазен банк Аваль. потом робот, но уже другим голосом говорит "ваша карточка была заблокирована". вот тут надо было бросить трубку, потому что я никогда не обслуживалась в этом банке. но стало интересно.

 

дальше какой-то чувак с гоповатым говорком сначала говорит что он из нацбанка и его зовут так-то так-то. очень смешно, что интонация такая, с наездом. как будто коллектор звонит, как минимум :pod_stolom: называет мои ФИО и начинает чесать про карту. я его перебиваю и говорю, что никогда не обслуживалась в этом банке, у меня нет их карточек и я никогда ничего там не подписывала абсолютно точно. он орет: "дайте сказать!". я говорю: "нет уж, если я не клиент, о чем речь вообще". ну в общем дальше он в довольно неизящных выражениях сказал чтоб я закрыла рот и что я женщина с пониженной социальной ответственностью :ppc: ну и отключился.

 

интересно, кто-то на такой бред ведется?

[Дід]

На такий "бред ведутся женщіни с повищенной социальной ответственностю" :dc: