Сьогодні в LinkedIn побачив цікавий кейс - у дівчини шахраї через Дію взяли кредити
З її поста відомо що:
- Вона побачила як до її Дії приєднався новий пристрій
- В OTP банку виявили що кілька днів тому на її старому рахунку ФОП створили акаунт в додатку і віртуальну карту
- До цього акаунту прив'язали її старий номер, який не активний півтора роки
- В Дії був інший номер телефону
Думаю що саме через доступ до OTP банку шахраї змогли авторизуватися в Дії (в банківському додатку використали старий номер, а далі вже через BankID отримали доступ). Хоча сама дівчина пише що номер в Дії був інший, тому не розуміє як це сталось.
Що було далі:
- Шахраї почали подавати заявки на кредити
- Дівчина бачила цю активність в реальному часі
- Підтримка Дії порадила видалити пристрій через кнопку, яка не спрацювала
- Кількість кредитів продовжувала зростати
Якщо чесно, цей випадок показує наскільки все погано з безпекою:
- Захисні механізми в Дії реально заважають тільки звичайним користувачам
- Навіть в топових банках типу Монобанку немає нормальної 2FA
- Достатньо доступу до SIM щоб пройти всі "перевірки"
- Через Дію можна зареєструватись де завгодно і набрати кредитів
Найцікавіше, що навіть сама жертва не розуміє як саме змогли додати новий пристрій до її Дії, бо номери телефонів різні.
Але як нам відомо, роль кібербезпеки перебільшена 😉
З її поста відомо що:
- Вона побачила як до її Дії приєднався новий пристрій
- В OTP банку виявили що кілька днів тому на її старому рахунку ФОП створили акаунт в додатку і віртуальну карту
- До цього акаунту прив'язали її старий номер, який не активний півтора роки
- В Дії був інший номер телефону
Думаю що саме через доступ до OTP банку шахраї змогли авторизуватися в Дії (в банківському додатку використали старий номер, а далі вже через BankID отримали доступ). Хоча сама дівчина пише що номер в Дії був інший, тому не розуміє як це сталось.
Що було далі:
- Шахраї почали подавати заявки на кредити
- Дівчина бачила цю активність в реальному часі
- Підтримка Дії порадила видалити пристрій через кнопку, яка не спрацювала
- Кількість кредитів продовжувала зростати
Якщо чесно, цей випадок показує наскільки все погано з безпекою:
- Захисні механізми в Дії реально заважають тільки звичайним користувачам
- Навіть в топових банках типу Монобанку немає нормальної 2FA
- Достатньо доступу до SIM щоб пройти всі "перевірки"
- Через Дію можна зареєструватись де завгодно і набрати кредитів
Найцікавіше, що навіть сама жертва не розуміє як саме змогли додати новий пристрій до її Дії, бо номери телефонів різні.
Але як нам відомо, роль кібербезпеки перебільшена 😉