ПоделитьсяПетербуржец потерял контроль над своим аккаунтом в «Госуслугах», а спустя неделю увидел в своем паспорте чужое фото и подпись. Теперь он пытается отбиться от миллионного долга, который нажил его «двойник» в Подмосковье.
Полтора года назад у петербуржца Юрия украли айфон, на котором были установлены «Госуслуги» и пара банковских приложений. Пароль на «Госуслугах» был длинный — 14 символов. Воришки успели-таки вывести три тысячи рублей с карточки одного из банков, но остальные счета удалось защитить. Юрий написал заявление в полицию. Отыскать злодеев не удалось.
«До уголовного дела не дошло, потому что ущерб был небольшой», — говорит Юрий. Он перевыпустил банковские карты, сменил пароли, начал пользоваться «Госуслугами» на новом устройстве и вскоре перестал вспоминать об этой неприятности. Так продолжалось до 25 июня 2021 года.
Все началось с того, что приложение «Госуслуг» на смартфоне Юрия внезапно само собой вышло из аккаунта. «Я был на работе, поэтому быстро вошел в свой аккаунт с компьютера. И увидел, что мои контактные данные изменены, — рассказал Юрий «Фонтанке». — Тут меня выбросило из системы, и больше войти в «Госуслуги» я уже не мог ни с одного своего устройства».
Свои злоключения Юрий связывает с тем, что не подключил двухфакторную аутентификацию через СМС на «Госуслугах» после кражи айфона. А мошенники, в свою очередь, воспользовались уязвимостью в системе защиты данных «Госуслуг» — «вечным» токеном.
«Во время первого входа с устройства система запрашивает логин и пароль. Если они верны, устройству выдается токен — последовательность байт для быстрого входа, — говорит Юрий. — Обычно действие этого токена ограничено по времени. Если браузер предлагает сохранить логин и пароль, он, как правило, сохраняет этот токен. Вы входите в системы через приложение на смартфоне. Система генерирует токен. И в настройках приложения можно увидеть все авторизованные таким образом устройства. После кражи смартфона я сменил пароль, но не отвязал устройство от приложения. Еще полтора года назад, через 40 минут после кражи, мне пришло сообщение, что в мой телефон совершен вход по ПИН-коду. Затем был взломан apple id. Поэтому я не успел стереть данные или воспользоваться функцией «найти айфон». Видимо, мой смартфон какое-то время ходил по рукам, пока не попал к профессионалам, которые запустили «Госуслуги»: токен в них оставался валидным, и система его приняла. Так мой действующий смартфон потерял связь с «Госуслугами».
Затем Юрий позвонил на горячую линию «Госуслуг» и последующие пять дней пытался вернуть контроль над личным кабинетом.
Уже на следующий день, 26 июня, мошенники оформили от имени Юрия кредитную карту в Сбербанке и вывели с нее 420 тысяч рублей на карту банка ПСБ. А еще взяли несколько займов по 30 тысяч рублей в микрофинансовых организациях. Все они, как и «окученные» жуликами отделения банков, находились в подмосковном Одинцово.
«С 25 по 29 июня я каждый день ходил по инстанциям, — говорит Юрий. — В отделении ПФР Центрального района на Фурштатской и в МФЦ на Чайковского сотрудники, понимая мою ситуацию, принимали меня без записи и без талона. В ПФР срок рассмотрения обращения — 30 дней. В банках — в среднем 10 дней. Пока я звонил на горячую линию банка, мошенники выводили деньги с кредитного счета, и оператор ничем не мог мне помочь, он не мог заблокировать операцию».
Юрий признается, что в какой-то момент у него начали сдавать нервы. Чтобы добраться до банковских приложений, мошенники позвонили в «Мегафон», абонентом которого Юрий является с 1999 года, и сменили его основной контактный номер.
«Этим номером я пользовался с 2004 года, на него у меня были завязаны банки, коды подтверждения и так далее», — говорит Юрий.
25 июня, сразу после «угона» «Госуслуг» Юрий написал заявление в 78 отдел полиции. В тот момент в истории еще не было материального ущерба, и его заявление должно было достаться участковому. Но было не до того: в городе в полный рост разворачивались «Алые паруса» и чемпионат Европы по футболу.
«26 и 27 июня я снова приходил в отдел полиции, писать объяснения. Материальный убыток у меня уже был — обналиченный кредит в «Сбербанке», — говорит Юрий. — Мое дело передали оперативнику 28 июня, и то, потому что я буквально повис на шее у одного из руководителей отдела. Затем мы весь вечер с этим оперативником оформляли детали дела. А 29 июня оно было передано в следственное управление. Прокуратура могла принять решение об открытии дела, только получив его материалы от следователя. И вот с 29 июня по 1 июля я каждый день ходил в отдел полиции, чтобы узнать, открыто ли мое дело. Открыли его 2 июля. Еще неделю я ждал, в какой следственный отдел передадут дело. Затем случайно узнал фамилию начальника этого отдела и прорвался к нему на прием. Так у меня прошли 2,5 недели».
3 июля, на следующий день после открытия уголовного дела, Юрий получил рекламную СМС от Газпромбанка. Речь в ней шла про кредиты. Получить такое сообщение от банка, в котором у тебя нет счетов, странно, и Юрий сначала позвонил на горячую линию, а потом пришел в отделение Газпромбанка. И там узнал, что на его имя оформлена дебетовая карта и оставлен запрос на кредит наличными и кредитку.
В наличке банк отказал самостоятельно. А за дебетовой картой в отделение банка в подмосковном Одинцово приходил некий человек с паспортом, в котором содержались все данные Юрия: номер, ФИО, прописка, сведения о ранее выданных паспортах. Только фото было вклеено чужое. Незнакомец любезно оставил в паспорте свой автограф. Когда сотрудники банка показали Юрию скан этого документа, мужчине стало так плохо, что едва не пришлось вызывать скорую.
Выяснилось, что дебетовая карта Газпромбанка понадобилась жуликам, чтобы перевести на нее 420 кредитных тысяч рублей, ранее переброшенных из Сбербанка на карту ПСБ. Человек с паспортом на имя Юрия выполнил эту нехитрую операцию и снял все деньги в банкомате. Юрий получил все выписки и написал в Газпромбанк заявление о мошенничестве. Теперь ему были известны номер телефона и адрес электронной почты, которыми злодеи пользовались в украденном у него аккаунте на «Госуслугах» и во всех банках. А еще — некий адрес в Одинцово, который жулики указали даже в личной карточке Юрия в ПФР как место его проживания.
Первый кредит наличкой в микрофинансовой организации на 30 000 руб некто от имени Юрия взял 26 июня. Собеседник «Фонтанки» подозревает, что на тот момент у жуликов уже мог быть «его» поддельный паспорт. Но Юрий узнал о документе слишком поздно, а свой паспорт начал менять только 29 июня, когда осознал масштабы бедствия. 5 июля новый паспорт был выдан — только после этого старый попал в реестр недействительных паспортов на портале МВД. «Именно на этом портале паспорта проверяют сотрудники банков. У них нет какой-то собственной базы данных паспортов», — говорит Юрий.
Мужчина оставил обращение на горячую линию в ЦБ и там ему объяснили, как правильно подавать заявления в микрофинансовые организации, в которых жулики взяли займы на его имя. МФО сами должны передавать данные о таких случаях в полицию, так как ответчиками выступают не они, а некие неустановленные лица.
6 июля Юрий обратился в Объединенное кредитное бюро (ОКБ) и попросил выписку по своей кредитной истории по данным старого паспорта. 7 июля он получил этот документ и ему снова стало нехорошо. 28 июня он якобы получил кредит наличными на 600 000 руб и кредитку с лимитом 30 000 руб в «Совкомбанке» в Одинцово. В банке ему объяснили, что эти суммы были выданы, по всей видимости, по все тому же поддельному паспорту. Так причиненный Юрию материальный ущерб перевалил за миллион рублей.
Но и на этом сюрпризы не закончились.
12 июля Юрий пришел в следственное управление, передал туда все добытые им сведения и получил копии постановлений о возбуждении уголовного дела и признании его потерпевшим. С этими документами мужчина отправился в новый трип по банкам.
«В «Совкомбанке» выяснилось, что кредитные договоры и другие документы за меня оформили удаленно с помощью электронно-цифровой подписи, даже поддельный паспорт не понадобился, — говорит он. — Подпись, точнее, сертификат был получен с помощью номеров моего ИНН и СНИЛС, украденных на «Госуслугах». Отозвать сертификат можно только в том удостоверяющем центре, в котором он был выпущен. Когда я вернул себе контроль над личным кабинетом на «Госуслугах», я не нашел там никаких данных о ЭЦП. Эти данные, видимо, есть у «Совкомбанка». Я направил соответствующие запросы в банк и в Минкомсвязи, но пока ответа не получил. Два дня я пытался найти удостоверяющий центр, выдавший «мне» сертификат электронной подписи, обзванивая УЦ в Одинцово и окрестностях. Безуспешно. Потом дозвонился до Минкомсвязи и выяснил, что все сертификаты должны предоставляться в ЕСИА. А она с физлицами не работает, нет ни контактов, ни горячей линии. Написал официальную претензию на электронную почту Минкомсвязи. Как ни странно, до сих пор мне даже не пришло никакого подтверждения, что мое письмо получено или взято в работу. А этот вопрос с электронной цифровой подписью — самый важный».
Затем Юрий пообщался с оперативником из Одинцово, который занимается его делом в Подмосковье. Но, чтобы прийти по указанному жуликами адресу и хотя бы выяснить, живет ли там кто-нибудь, нужна санкция суда. «Даже если бы я сорвался и поехал туда сам, постучаться в дверь, скорее всего, мне бы открыла какая-нибудь старушка — божий одуванчик, которая не имеет к происходящему никакого отношения, — говорит Юрий. — Самое печальное в моей истории то, что нет какого-то единого центра, куда такие, как я, могли бы обращаться и оперативно получать ответ. Мне 45 лет, я законопослушный гражданин. Я больше двух недель плохо сплю, почти не ем, похудел на 6 килограммов. Но у меня все равно хватает сил идти дальше: звонить в банки, добиваться от следователей каких-то ответов. Но в МФЦ приходят пожилые люди с кнопочными телефонами. И им, чтобы тот же сертификат о прививке получить, приходится заводить аккаунт на портале «Госуслуг». Смогут ли они, в случае чего, постоять за себя?»
Лишь 14 июля две микрофинансовые организации ответили на обращения Юрия и признали два кредита на 30 тысяч рублей на его имя недействительными. Такие обращения мужчина написал еще в три МФО. Вопрос с банками, в которых на имя Юрия взяли липовые кредиты на 420 и 630 тысяч рублей, скорее всего, придется решать через суды. Такие дела могут рассматриваться годами, а соответствующие записи все это время будут портить истцу кредитную историю.
«У меня нет свободного времени, я все эти недели хожу на работу в офис, — говорит Юрий. — Посмотрев на меня, все мои коллеги кинулись ставить на устройства двойную аутентификацию. Теперь я боюсь использовать любые цифровые приложения и где-либо «светить» свой новый паспорт. Когда у меня его где-то спрашивают, я разворачиваюсь и ухожу. Если верифицировать мои новые данные в МФЦ, они окажутся на «Госуслугах», а я этого не хочу. Путешествовать пока не собираюсь. Не вакцинировался и пока не буду, потому что ковидом переболел. Так что пока научился жить без «Госуслуг». Если надо куда-то отправить заявление или обращение, иду на почту и шлю телеграммы, заверенные оператором».
В Сбербанке «Фонтанке» рассказали, что по ситуации, описанной Юрием, проводится проверка, о результатах которой банк не имеет права сообщать третьим лицам.
«Это нетипичная ситуация, — отмечают в Сбербанке. — Всё же одним из наиболее распространенных методов мошенничества сегодня остается социальная инженерия посредством телефонных звонков». Похожий ответ дали в пресс-службе Минкомсвязи, сообщив, что ведомство рассмотрит заявление Юрия, но давать по его делу информацию кому-то, кроме него, не может.
В пресс-службе «Мегафона» после вопроса «Фонтанки» провели собственное расследование, проверив всю историю обращений Юрия на горячую линию.
«В call-центр компании поступило обращение от абонента с просьбой заблокировать текущий номер и подключить к его сим-карте новый, — рассказали в «Мегафоне». — Для прохождения процесса идентификации оператор в соответствии с требованиями безопасности запросил ФИО, дату рождения, адрес прописки и паспортные данные. Полученная информация была проверена и соответствовала указанной в договоре. Кодовое слово не требовалось, поскольку не было установлено абонентом. Клиенту был предоставлен новый номер и привязан к существующей сим-карте. После обращения абонента в контактный центр и указания на факт мошенничества на его сим-карту вернули прежний номер. Доступ третьих лиц к номеру абонента после замены был исключен, воспользоваться им было невозможно. Позже абонент обратился в салон для замены сим-карты и установки кодового слова. Никаких дальнейших обращений, касающихся этого номера, в контактный центр не поступало».
Руководитель департамента сетевой безопасности в компании по борьбе с киберпреступностью Group-IB Никита Кислицин в беседе с «Фонтанкой» отметил, что эпизод с возможностью взлома «Госуслуг» с помощью «вечного» токена требует открытого обсуждения на каком-либо профессиональном ресурсе для IT-специалистов.
«Если смартфон защищен простым ПИН-кодом, злоумышленники действительно могут его угадать и похитить со счетов деньги, — говорит Никита Кислицин. — Но история о токене, который остается действительным 1,5 года, лично у меня вызывает сомнения. Это значит, что все это время приложение остается открытым на устройстве. Мне, например, при каждом обращении к приложению «Госуслуг» приходится вводить логин и пароль заново. Поэтому я бы не спешил говорить об уязвимости на «Госуслугах». Проблема кредитования онлайн действительно есть. Поэтому сейчас рассматривается законодательная возможность ограничивать возможность оформлять кредиты, если гражданин хочет отказаться от любых кредитных продуктов в принципе. Мы передаем копии паспорта в множество мест — и утечка такой копии гораздо опаснее, чем гипотетический взлом «Госуслуг».
Венера Галеева, «Фонтанка.ру»
