У додатку «Дія» почали з’являтись сповіщення про кредити, які жінка не оформляла. Як виявилось, невідомі отримали доступ до її цифрового профілю і скористались функцією «Дія.Підпис» для оформлення позик у кількох банках.
За словами потерпілої, все почалось із повідомлення про перевірку її кредитної історії, на яке вона не звернула уваги. Наступного дня в «Дії» з’явилось сповіщення про оформлення кредиту в «А-Банк», а в службі підтримки банку їй підтвердили, що кредитний рахунок дійсно було відкрито. Жінка запевняє, що не втрачала телефон, нічого не підписувала і не давала згоду на жодну операцію, — пише Focus.
Згодом стало відомо, що на її ім’я не лише відкрили ФОП-рахунок у кількох банках, а й використали вже наявну кредитну лінію в розмірі 100 тисяч гривень, а також оформили новий кредит на 30 тисяч за програмою «Швидка готівка». Усі кошти були переказані на інші рахунки в українських і закордонних банках.
Постраждала звернулася до банків і поліції, але конкретної допомоги не отримала. В «А-Банку» їй повідомили лише частину інформації — модель пристрою та ім’я користувача, через якого відбувся злам, проте повторно цю інформацію відмовились надавати, вимагаючи офіційного запиту правоохоронців. Жінка також розповіла, що для захисту подала заявку на зміну паспорта, однак не врахувала, що зловмисники використали також і її закордонний документ.
Свою історію українка оприлюднила також в Instagram, щоб застерегти інших. Вона наголосила, що шахраї змогли скористатися всіма можливостями цифрових сервісів «Дія» й банків, а система виявилася абсолютно незахищеною від подібного сценарію.
У Мінцифри відреагували, пояснивши, що злам не відбувався — авторизація у застосунку можлива лише через біометричні документи або BankID, і якщо стороння особа має доступ до цих даних, вона може ввійти в «Дію». При цьому у вкладці «Підключені пристрої» видно, з яких телефонів було здійснено вхід, але видалити окремі сесії неможливо — лише всі одразу.
У відомстві порадили обмежити доступ до BankID, змінити паролі до банкінгу й закрити непотрібні рахунки.
Фахівець із кібербезпеки Костянтин Корсун підтвердив, що подібні інциденти трапляються з 2019 року, і жертви зазвичай залишаються наодинці з проблемою. Він додав, що банки цілковито довіряють «Дії» й не допускають навіть гіпотетичної можливості витоку або зловживання з боку застосунку. За його словами, користувач самостійно захиститися від подібних атак практично не може.