Цифровой Ад, часть 2⁠⁠

В Банк России писать бесполезно. Они не разбираются в делах физ. лиц. Банк России проводит мониторинг таких случаев и далее может выдавать предписания другим банкам, либо инициировать проверки. Вам нужно идти в полицию, писать заявление. Потом идти в прокуратуру. И далее в суд

Кредитные договоры в Совкомбанке были подписаны с помощью электронно-цифровой подписи (ЭЦП). Технически, для этого нужен сертификат. Сертификат выдается одним из Удостоверяющих Центров (УЦ) на ваши ИНН/СНИЛС (так называемая ЭЦП физ. лица). Сертификат может быть простым, а может быть квалифицированным. Фактически, ЭЦП заменяет вашу рукописную подпись на документах и ваш паспорт (когда необходимо подтвердить вашу личность). Когда вы подписываете документы, например, в банке, то вы передаете свой сертификат банку. Банк его проверяет и так же сохраняет его у себя. В сертификате (а это файл с данными) указан УЦ, который его выдал (подписал), дата когда это было сделано и другая информация. Совкомбанк имеет информацию об УЦ, но не передает ее ни мне, ни следователю. А этих УЦ сотни. Точнее, 500+ по реестру на сайте Минкомсвязи. Я обзванил крупные 20, но сертификат не нашел. Нужно знать точно кто его выпустил. Тогда его можно отозвать.

Взять кредит более 1 млн вообще не проблема. Конечно, все зависит от физ. лица, его платежеспособности и хорошей кредитной истории. Мою КИ они сами заказали в разных БКИ просто через личные кабинеты, которые создали на сайтах БКИ (и подтвердили из через Госуслуги).

По времени события развивались так...
25.06 - я узнал о взломе личного кабинета на Госуслугах

26.06 - открытие кредитной карты в Сбербанке, вывод средств на карту Промсвязьбанка

26.06 - 28.06 - обращение в некоторые МФО, обращение в банки

28.06 - подписание кредитных договоров в Совкомбанке, получение денеждных средств

28.06 - 29.06 - тоже обращения в банки - пошли отказы

29.06 - я восстановил доступ к личному кабинету на Госуслугах

Фактически, во всех отчетах о кредитной истории последний день запроса КИ и кредитных продуктов в банках - 29.06

Я так понимаю, что в МФО они рассылали запросы через агрегатор money2day.ru Я стал получать от них регулярные СМС-ки. Уже потом я дозвонился до них, объяснил ситуацию и попросил удалить мой телефон из базы. Они пошли мне навстречу, СМС-ки прекратились. В банки же мошенники ходили пешком. Ходили по отделениям в Московской обл, г. Одинцово. Все счета и карты по поддельному паспорту были открыты именно там. А вот два вопроса, на которые нет ответа

1. Как они поменяли мой номер телефона в Сбербанке (а у меня там была простая дебетовая карта)

2. Как они получили на руки кредитную карту Халва в Совкомбанке (должны были предъявить поддельный паспорт)

Спасибо, держусь. Вы все правильно описали. Все мои знакомые в шоке от того, что может сделать с персональными данными. Людей своей историей напугал немало. Кстати, за быстрое открытие уголовного дела большое спасибо нашей полиции.

Кредит-то отдал? Или пришлось кота отдавать? ))

Все так. Только Совкомбанк ее предоставить отказывается. Тянет время. В базах Минкомсвязи (т.е. ЕСИА) такого сертификата нет. У меня есть распечатки кредитных договоров. На каждом из них стоит серийный номер, но это укороченный номер самой подписи, а не сертификата. Подписей, соответственно, столько, сколько документов было подписано - семь штук. Всякие анкеты, страховка, два договора, график выплат и т.п.

Во всех МФО можно и так брать до 30тр. В МаниМен так и сделали.

Про службы... ко мне везде относились с пониманием. Например в ПФР я был 4 раза. Решал свои проблемы без записи, без очереди, просто просил меня выслушать. Хотя в обычном порядке - это пишешь заявление и его рассматривают в течении 30 дней. А сейчас еще и по записи ждать 2 недели. В МФЦ тоже самое. Я был там 3 раза (разные обращения), и все разы без записи и просто как есть просил решить проблемы. В полиции опер с пониманием все сделал быстро и передал материал на возбуждение УД. Следователь в СУ тоже очень быстро принимал материалы, удовлетворял ходатайства. И вообще, куда бы я ни приходил, везде мне старались помочь. А представьте, что было бы, если бы я ходил "как все" через запись, ждал по 2-4 недели ответа и тп? Правда, сейчас я как раз и жду ответа от Совкомбанка уже три недели.

Да конечно понимаю. Я сам был в шоке, когда первый раз увидел копию скана паспорта с моими данными, но не моей фотографией и подписью. На тот момент я свой паспорт уже сдал на замену, но по всем базам он проходил еще как действующий.

Смотрите, все началось 25.06, в пятницу утром. До 30.06 (даже в выходные) я бегал как ужаленный между банками, мегафоном, ПФР, МФЦ, отд. полиции. За эти дни я почти не ел и потерял 6кг. Потом была передышка, ожидание (возбуждение УД 02.07) до 03.07, когда я узнал о существовании поддельного паспорта. Потом неделя с 05.07 по 10.07 была насыщена походами к следователю, в Сбер, в налоговую, письма в Роскомнадзор и Минкомсвязи, телеграммы в БКИ. 13.07 я получил первые отчеты о КИ. И все по новой. Походы в банки (14.07-15.07), письма в МФО, следователь. Где-то до 23.07 я вообще выпал из процесса на своей работе. Потом были редкие эпизоды. То звонок из банка, то ответ из МФО с запросом доп. документов, то мои звонки в Минкомсвязи и Совкомбанк. С 30.07 я пребываю в ожидании ответа от последней МФО и Совкомбанка. Можно сказать, что месяц с 25.06 до 23.07 я занимался только этой проблемой и больше ничем.

Однозначного ответа нет.

1.5 года назад у меня украли телефон (iPhone XS). На нем было приложение Госуслуг. В нынешней ситуации с Госуслугами у меня (и моих коллег) появилось подозрение, что доступ к личному кабинету получили с помощью приложения на том телефоне и так называемого длинного (вечного) токена. Однако, я нашел информацию, что в июне был большой слив данных с Госуслуг (логины и пароли). У меня не стояла двухфакторка, поэтому я узнал о взломе именно в тот момент, когда уже мой новый телефон был отвязан от системы.

Однако, есть обстоятельство, которое говорит за то, что это все же не был тот старый телефон. Когда я обратился в Промсвязьбанк (на его счет вывели деньги из Сбера), то там привязанным телефоном для доступа к личному кабинету оказался аппарат Samsung SM-G996B. Вряд ли мошенники использовали для взлома Госуслуг мой старый украденный iPhone XS, а в банки ломились с другого устройства. Да и номер телефона мошенников везде был один и тот же.

Главный же для меня вопрос остается к Сберу: как мошенники поменяли в банке мой основной номер телефона на свой. Служба безопасности Сбера мне так это и не объяснила, хотя я написал письменное заявление и попросил предоставить ответ.

Я сам писал в ЦБ, в электронную приемную. Никакой омбудсмен видимо моим делом не занимался. Через 2 недели я получил ответ на 4х листах. Там была полезная инфа, как именно я должен писать заявления в МФО и банки, как их информировать. Но не более того. Основной ответ - обращайтесь в суд с гражданским иском (в рамках уголовного дела) о признании кредитных договоров недействительными.

Не совсем. Просто счета не спасут. Нужны отказы по кредитным продуктам. Например, можно самому испортить свою кредитную историю если взять небольшие кредиты и просрочить пару платежей. Потом, конечно, все погасить. Но в КИ останется информация по этим просрочкам. Либо ждать, когда примут закон о запрете самому себе выдавать кредит.

Я в отделении Совкомбанка был 3 раза ))) Первый раз, когда только узнал о кредите, но не знал об ЭЦП. Написал заявление. Документы мне не предоставили, потому что я не показал свой новый паспорт. Второй раз уже с двумя постановлениями, написал еще одно заявление, предоставил паспорт, получил распечатку кредитных договоров и... узнал, что они подписаны ЭЦП. Написал заявление на предоставлении информации об УЦ. Ну и третий раз, 30.07, когда уже было и ходатайство следователю, и мне уже начали звонить с требованием платежа по кредиту. Тоже написал заявление, чтобы банк аннулировал договоры и предоставил ответ в письменном виде. С тех пор жду

Первое и самое главное правило - не передавать кому попало свои персональные данные. Далее, во всех системах (порталах) включать двухфакторную аутентификаци (по коду СМС). Менять пароли хотя бы раз в полгода (придумывать длинные и сложные). Через МФЦ можно оформить запрет на совершение регистрационных действий с недвижимостью (обращение в Росреестр). Потом вы его так же просто можете снять. Для себя я еще сделал так... У меня на смартфоне больше нет клиентских приложений банков, Госуслуг, налоговой и т.п. Доступ только через сайт, только со своего компьютера. Для доступа используется другой номер телефона (и другой аппарат). Все банки и важные системы только через отдельный номер. Есть неудобство, но это гарантирует сохранение доступа даже если у вас украли ваш смартфон.

Почитайте предыдущие посты. Я восстановил доступ к личному кабинету через удаление. Точнее, я делал это три раза по письменному заявлению в отделнии пенсионного фонда (ПФР). Когда я все-таки получил доступ, то в разделе "Электронная подпись" ничего не было. Я написал обращение в тех. поддержку Госуслуг. У меня есть номер тикета, обращение зарегистрировано аж 10 июля, но ответа нет до сих пор.

На Госуслугах есть двухфакторка. Но у меня она была не включена, я об этом писал ранее

На тот момент без

ЭЦП до этого не было. Ее уже после выпустили на мои ИНН/СНИЛС

Вот это не знаю, но ломают быстро. У меня за 40 мин сломали - пришла нотификация о смене пароля на эл. почту. А было 14 символов. Но сам телефон же был в аккаунте, так что возможно все было гораздо проще

Стоял пин код на анлок телефона. Не было защиты симки (сим-пин). Не была поставлена защита от неправильного пина на анлок (например, удаление данных). Был включен find my phone, но его отключили сразу после, как взломали apple id. Приложения банков и госуслуги тоже по коротким пин-кодам.

Паспорт поддельный в том смысле, что в нем данные моего паспорта, а фотография и подпись не мои. А так он выглядит как настоящий. Операционисты в банках проверяли его на УФ - проходит. По номеру он тоже бился, пока я не получил свой новый. И обращались мошенники в те банки, где у меня не было никогда счетов. Т.е. там гарантированно не было сканов ни одного моего паспорта и не было моей фотографии.

Да, наверно так. В моем случае такой продукт - кредитная карта

Это бесполезно. Я тут в ОКБ (БКИ) узнал, как всё происходит. Если у вас есть счета в банке, в любом, то банк раз в полгода (а то и чаще) сам запрашивает КИ. При этом банк сам передает актуальные паспортные данные в БКИ. Поэтому в БКИ они все равно будут. Да, паспорт мы светим много где. Его везде просят показать и удостоверить личность. Но главное, что его данные все равно просто так передают без вашего ведома.

Держусь, спасибо. Злодеев скорее всего не найдут. Разве что этого дропера, который с поддельным паспортом ходил. Но мне кажется, что за ним стоят совсем другие люди

В мое первое посещение отделения Совкомбанка я уже имел на руках новый паспорт, но не имел постановлений о возбуждении уголовного дела и признании меня потерпевшим. Поэтому был отказ банка предоставить данные. Во второй раз я показал свой новый паспорт и передал постановления + заявление.

Копии чего? Мне распечатали 7 документов, включая 2 кредитных договора. Все подписаны с помощью ЭЦП. В первой части (Цифровой Ад, часть 1) я приаттачил фотку с подписью. Больше никаких документов Совкомбанк мне не дал, хотя я их запрашивал. Ни справку об открытии счета (выпуске карты), ни выписки со счета, ни скана паспорта, который был предъявлен для получения карты Халвы. Ответ банка - мы разбираемся

Контуровский PKI софт как раз так и делает. Пользователь (с помощью их софта) генерит ключепару и сертификат реквест. Реквест подписывается закрытым ключом и отсылается в УЦ (в Контур). УЦ проверяет подпись с помощью открытого ключа и подписывает реквест своим закрытым ключом формируя сертификат. Ессессно, их (УЦ-шный) сертификат подписан вышестоящей СА (может и самим Минкомсвязи).

Спасибо за технически грамотное уточнение!

Так и есть, отпечаток подписи. Посмотрите фотку в аттаче в первой части (Цифровой Ад, часть 1). А графа в таблице - Серийный номер сертификата.

Я вам больше скажу, 15 июля 2021 вышло постановление о продлении срока действия паспорта до 90 дней http://government.ru/docs/42782/