Цифровий апокаліпсис в Україні оголошується відкритим

Костянтин Корсун

Громадянка України Людмила Ж. (це реальна людина, усі контактні дані та копії документів є) начебто «взяла кредит» через додаток Дія.

Звісно, вона цей кредит не брала. Звісно, вона навіть не зареєстрована у Дії. Звісно, на момент оформлення шахрайського кредиту у неї не було навіть ID-картки (а був старий паперовий паспорт-книжечка). Нікому не повідомляла свої паролі, не віддавала телефон, усвідомлювала можливі наслідки.

Пані Людмила звернулася зі скаргою у кредитну установу, яка надала кредит, але та відповіла, що «у Товариства відсутні достатні підстави вважати, що кредитний договір з Товариством замість хххх Людмила хххх укладено іншою особою».

Пані Людмила написала заяву в поліцію та кіберполіцію, три години провела у Дніпровському райвідділі, віддала їм купу документів та даних з банків, за якими можна встановити зловмисників, спілкувалася потім зі слідчим. Результат: «Ми вам зателефонуємо, якщо щось з’ясуємо». І тиша, протягом вже трьох місяців.

Постраждала також звернулася в Дію – і отримала стандартну відписку з набором штампів «у зашифрованому вигляді», «підтверджена сертифікатами безпеки», і що дані користувачів в Дії таки зберігаються (скріншот).

Ще пані Людмила звернулася в НБУ – і той відповів що «у Національного банку відсутні повноваження щодо розслідування та підтвердження або спростування фактів протиправного утворення кредитної заборгованості певних позичальників небанківських фінансових установ внаслідок вчинення шахрайських дій іншими особами (особою) та надходження погроз з вимогою погашення такої заборгованості.»

Усі держслужбовці начебто «розбираються», але питання залишається невирішеним, зате колектори продовжують вимагати повернути неіснуючий кредит. На законних, підкреслюю, підставах.

НБУ, замість допомоги, ввічливо повідомляє постраждалій, що загальна сума заборгованості станом на 07.06.2021 складає 11 677,50 грн, яка складається з:
– 2 430,00 грн – тіло кредиту;
– 9 247,50 – проценти, нараховані за користування кредитом.
На сьогодні вже більше.

І невідомо скільки аналогічних випадків вже трапилося і скільки ще трапиться. А про які нібито «зареєстровані у Дії» громадяни ще просто не знають.

І навіть якщо цей, поки що разовий випадок зможуть якось зам’яти, що буде коли шахраї поставлять процес на автоматизований потік, і таких випадків стане по тисячі в день? Увесь чиновницький апарат просто фізично не зможе з цим справитися, навіть якщо захоче.

Та й чи захоче? А якщо захоче – чи зможе?

Адже «дієві», стрімголов запустивши тотальну діджиталізцію, знехтували питаннями її безпечності («роль кібербезпеки трохи перебільшена»), поспішаючи догодити Найвеличнішому (який нікому нічого не винен, між іншим) швидкими результатами, які сподобаються (зе?)виборцям. А чи сподобається їм коли на них навісять неіснуючі кредити, відіжмуть квартири та автомобілі? І як бути з усіма іншими критично і не дуже мислячими виборцями? Користувачами Дії та її противниками? Та й чи залишимося усі ми виборцями – носіями джерела влади?

Адже випадок пані Людмили наглядно демонструє, що в сучасній Україні живій людині неможливо довести чиновницькому апарату, що саме вона є суб’єктом правових відносин, а не вкрадена у неї цифрова особистість. У країні, де чиновники та поліція існують точно не задля захисту інтересів простого українця.

До речі, подібні ситуації у професійному середовищі називаються Proof of Concept (РоС) – це коли фахівці завчасно моделювали, прогнозували, складали два і два та волали про очевидні наслідки, але практичних доказів теоретичних тверджень на той момент поки не було. А тепер вже є: ось вам «Підтвердження Концепції», Proof of Concept.

Найбільша ж проблема полягає у тому, що жижиталізатори відмовляються брати на себе відповідальність за безпеку усього технічного ланцюжка довіри: реєстри-шифрування-сервери-канали передачі даних-АЦСК-банки-РКІ-код додатку-середовище функціонування додатку-середовище всього вище іменованого.

Вони розуміють, що проблеми безпеки можуть існувати (і насправді дійсно існують) на кожному з цих критично-важливих вузлів. На кожному без виключення.

Але відповідальність беруть (на словах, звісно) лише за умовну «обгортку» всього цього ланцюжка – програмно-апаратне рішення «Дія». Відповідальність за безпеку державних реєстрів вони перекладають на власників/розпорядників цих реєстрів, за Bank-ID – на банки, за криптографію, ключі та сертифікати – на АЦСК, за безпечність серверів – на хмарного провайдера, за шифрування даних при їх передачі – взагалі розробнику протоколу TLS/SSL ( спитайте когось з «дієвих» чи нають вони що таке IETF).

І усім цим організаціям жижиталізатори чомусь «довіряють», безапеляційно розраховуючи на принциповість, чесність та високо-кваліфікованість кожного працівника цих ланок. А коли мінцирковим вказують на глибоку хибність та небезпечність такого підходу, – ображаються, пишуть принизливі коменти («ваши пости – дно» О. Вискуб) та самоізолюються зі своїми симпатиками у теплих броньованих ванних. Як підлітки.

Біда ж полягає у тому, що у стані «паперовий паспорт, ніякої Дії» перебуває більшість українців. І кожен з них (з нас, насправді) відтепер знаходиться у зоні ризику (разом зі щасливими користувачами Дії, між іншим).

Зі слів недолугих пропагандистів з Мінцирку, у Дії начебто зареєстровано близько 10 мільйонів українців. Але тепер і ця цифра під великим питанням. Хто може гарантувати, що більшість з них – не боти Федорова? Я не можу цього гарантувати, інші фахівці з кібербезпеки теж не можуть, бо ніяких документів на Дію не показують, вихідний код засекречено, реальна можливість переконатися у захищеності усіх ключових елементів інфраструктури Дії відсутня. Реальна статистика та результати розслідування інцидентів безпеки Дії – майже військова таємниця. Авторитетні незалежні міжнародні компанії також не запрошують засвідчити безпечність небезпечної поробки.
Ефемерна ж «безпека» Дії забезпечена лише словами чиновників та працівників Мінцирку, яких неодноразово ловили на брехні.

Що це все означає?

А це означає, що відтепер забудьте про свою безпеку та стабільність: Дія рано чи пізно відніме у вас все, що ви вважаєте своїм: приватність, персональні дані, майно, громадянські права. Відтепер повісити неіснуючий кредит можна на будь-якого громадянина/громадянку України.

І не важливо, чи людина реєструвалася у Дії, чи замінила паспорт-книжечку на пластик з чіпом, і що взагалі думає про жижиталізацію та чи любить партію та уряд. І чи голосувала за зелених пройдисвітів.

Сьогодні шахраї через Дію повісили на невинну людину кредит.

Влада – Мінцирку, Кіберполіція, НБУ – ніяк на це не реагує, усі надсилають відписки та між собою вважають постраждалу хитрою шахрайкою.

Потім це явище стане масовим. Паралельно за тією ж схемою будуть переписувати квартири, підприємства та компанії. Як варіант – телеканали, політичні партії, громадські організації.

А вибори перетворяться у голосування Дія-ботів зі 100% підтримкою партії влади. А якщо якийсь нахабний виборець прийде на виборчу дільницю і кричатиме щось про свої виборчі права, розмахуючи паперовим паспортом громадянина України, аваківські соколи вдягнуть йому кайданки та намалюють кримінальну справу, поки від його імені Дія-бот проголосує за Найвеличнішого лідара, за 3 секунди до часу закриття дільниці. І потім нічого довести вже буде неможливо. Це видно на кейсі пані Людмили.

І що характерно – захиститися від цього нікому з нас неможливо. Все узаконено – підпис с Дії є аналогом оригінального підпису, згідно Закону України. Піди доведи, що в тебе немає, не було і ніколи не буде Дії. Що це не ти її встановив і підписав кредитну угоду, продав квартиру, подарував телеканал.

І ти можеш про все це взнати далеко пост-фактум. Або твою квартиру перепродадуть десять раз, і за півроку новий абсолютно добросовісний покупець приїде до вас зі спецназом та болгаркою.

Що робити, кажете, як рятуватися?

Теоретично, можна писати відкриті листи та підписувати петиції. Але це недієвий інструмент (тобто неефективний). Влада просто ігнорує +25 000 підписантів будь-яких петицій. Численні попередження професійної кібербезпекової спільноти також не помічаються, а проти особливо активних та наполегливих фабрикують кримінальні розслідування (Одеський аеропорт, Український кіберальянс).

Тим більше, що інститут петицій остаточно скомпрометований – там вже повно фейкових акаунтів.

Пікетувати офіси Мінцирку та ДП Дія чи виходити на протести? Навряд чи збереться більше 20-30 людей, та й ті розійдуться після другого безрезультатного заходу. Над подібними потугами протестувати зе-влада лише посміється. Деякі медіа, можливо, про це напишуть. І на тому протест закінчиться.

Цей метод впливу стане актуальним тоді, коли кількість випадків шахрайства сягне кількох тисяч і надалі наростатиме на фоні бездіяльності та безпорадності чиновництва та правопорехонців.

Я серйозно замислююся про перспективи створення політично-технократичної організації (чи навіть партії) АнтиДія чи якогось громадського руху Дія-Геть. Хоча і це звучить досить утопічно: для такого масштабного проекту необхідні великі гроші та сміливі люди. Поки що спостерігаю брак і першого, і другого.

Не голосувати за федорових-вискубів на наступних виборах, кажете? Так а за них і раніше ніхто не голосував. Їх призначили ті, за кого проголосували. У них повний карт-бланш на руйнацію усього, до чого дотягнуться їхні рученята. Правовий нігілізм, антинауковий підхід до цифровізації, агресивний само-піар, демонстративне нехтування основами кібербезпеки, безвідповідальність за наслідки своїх «дій», нездатність навіть спрогнозувати такі наслідки – ось головні характеристики улюбленців Зеленського, які семимильними кроками штовхають суспільство до цифрової катастрофи та руйнації основ демократичного суспільства. І між іншим: саме вони будують таку систему, за якої ми вже не зможемо голосувати на власний холопський розсуд.

Тобто у мене немає готових рецептів як протидіяти всьому цьому цифро-жаху. Я вже кілька років намагаюся доносити слова об’єктивної реальності про кібербезпеку та її важливість, і начебто багато хто мене підтримує, але влада просто робить вигляд, що не помічає цього, свідомо продовжуючи свою небезпечну справу. Собака гавкає (я), а караван іде далі (жижиталізатори).

І ось починають з’являтися перші наслідки цієї стабільної ситуації, яка усіх наче влаштовувала. Далі цих наслідків буде більшати, а їх характер стане масштабніший. І торкнутися це може усіх: і звичайних громадян, далеких від ІТ-технологій, і працівників каральної системи охорони режиму, і корумпованих бізнесменів навколо зебілів, і рядових «слуг», і навіть великорозумних професійних кібербезпечників, які «не хочуть лізти у політику».

Одного дня прозріння таки прийде, але буде вже запізно: квартиру твою продали, кредит на тебе повісили, на виборах замість тебе проголосували. І нема кому буде захистити. Тому що ви/ми зробили це разом.

Ласкаво просимо до цифрового кібер-панку 2021. У цифрових джунглях виживуть не всі, і не факт, що найсильніші. Лише ті, кому «не пофіг».

P.S.:
Я розмовляв вчора в панею Людмилою по відео-дзвінку. Приємна доброзичлива киянка, ніколи не брала ніяких (!) кредитів, не має великих статків, працює менеджером у невеликій компанії. Звичайна пересічна українка, непублічна, як і мільйони інших наших співвітчизників. Ніколи не встановлювала собі Дію і не збирається. Не хоче ніякого хайпу, аби лише якось вирішилося це питання з фейковим кредитом та припинити цькування з боку колекторів. Заради цього готова до зустрічей та інтерв’ю.

Розказала мені ще купу фактів як шахраї намагалися угнати її фінансовий номер та добавити свій, зареєструвати в інших кредитних та банківських установах, відкрити рахунки у інших банках, замінити її дані своїми, та інші детективні подробиці.

Тому я звертаюся до небайдужих громадян журналістів, адвокатів, депутатів які пам’ятають себе людьми, чиновників із залишками совісті, – до усіх, для кого моя думка щось важить: домопожіть, будь ласка, пані Людмилі. Вона відкрита до спілкування, їй нема чого приховувати, вона чесна людина з чистою совістю.

Щоб захистити пані Людмилу від тиску з боку чиновників та інших додаткових неприємностей, я не повідомляю її персональні дані та контакти. Але готовий «прокомунікувати» (модне слово) з людьми, яким можу довіряти: пишіть мені у ФБ-месенджер. Тегайте у дописі корисних для цієї справи людей, поширюйте його, можна копіювати цей текст і розміщувати де завгодно. Давайте спробуємо врятувати хоча б першу офіційну жертву Дії.

Врятувати_рядового_Людмилу

Але, разом з тим, от просто зараз нам треба серйозно думати, як врятувати себе та країну від вже існуючої, абсолютно реальної загрози безжальної федорівської діджиталізації.

UPD: Багато хто запитує “шо, дійсно можна взяти кредит через Дію?”. Ось тут “дієві” самі розказують, як це зробити.

* * *

Продовження історії про те, як через додаток Дія шахраї взяли кредит на невинну людину.  Початок вище.

Спочатку про «перемогу».

На сьогодні шахрайський кредит на пані Людмилу якимось загадковим чином анульовано, колектори вже два тижні як не дзвонять, кредитна історія сяє кристальною чистотою.

Але ось який пікантний момент: повідомили постраждалу про «закриття кредиту» не кредитна організація, ні.
І не НБУ. І не кіберполіція. І не «захист прав споживачів».
Вгадаєте з одного разу – хто?
Барабанний дріб….
Міністерство наше цифрових наших трансформацій!

Просто зателефонували пані Людмилі і просто повідомили: «кредит закрито, все в порядку». Щоправда, ніде та ніяким документом цей святковий факт не підтверджено, і невідомо хто та яким чином може видати довідку про відсутність заборгованості. Натомість дали надзвичайно цінну пораду: «Щоб хтось від Вашого імені не зареєструвався в Дії, зареєструйтеся у ній самі».
Геніально, авжеж?

Якщо ти не віриш брехливим федоровим-вискубам та їхньому небезпечному ІТ-рукоблуддю, ти маєш скористатися тим самим таким небажаним софтом. Зробити саме те, чого ти так відчайдушно не хотів робити. Щоб себе ж захистити. Від тих, хто це придумав та нав’язав мільйонам українців.

Щоб твій сарай не спалив лиходій – спали його сам. Бамбіть Варонєж, поки не прийшли солдати НАТО.
Я ж кажу – геніальна порада геніального міністерства.

Але давайте поміркуємо глибше: яким таким дивом кредит сам собі закрився?

Кіберполіція розкрила цей злочин? Ха-ха три рази. Пані Людмилі телефонували з Мінцирку про успішне закриття кредиту десь наприкінці червня, а від кіберполіції на той момент не було жодної звістки. Лише за тиждень після дзвінка з Мінцирку зателефонували з кіберополіції і запросили «під’їхати», але то дату візиту переносили, то «слідчий поїхав у термінових справах», то телефоном ставлять досить дивні (як для поліції) уточнюючі питання, типу «а ви точно не маєте рахунку в ПриватБанку?». Романтичне побачення із бравою кіберполіцією наразі так і не відбулося.

Якщо зібрати докупи усі ці факти (закритий кредит, дзвінок з Мінцирку, раптова активність поліції), то стане очевидно, що неіснуючий «кредит» закрила волохата рука всемогутнього міністерства цифрових ілюзіоністів. Вони вручну «нагнули» кредитну установу, щоб та відмовилася від виданого шахраям кредиту, хоча могли цього і не робити.

«Вплинули» на кіберполіцію.

Самі, від свого імені зателефонували жертві, щоб заробити додаткове очко до репутації «ось дивіться, як ми захищаємо простий нарід».

Але який висновок може зробити людина, схильна до критичного мислення?

Що Мінцирку знаходиться в центрі цієї шахрайської павутини і смикає за ниточки. Інакше як може цивільне міністерство з невизначеним законодавчим статусом впливати на незалежну комерційну компанію приватної форми власності? Причому так, щоб фірма відмовилася від своєї цілком формально-законної здобичі?

Нехай спробує якесь інше міністерство «вплинути» на поліцію. Дуже про це пошкодує. Але для Мінцирку все це не є проблемою. Клацнули пальцями – і вуаля, кредитна угода скасована, кримінальне розслідування внєзапно активізовано, шахраїв ось-ось спіймають, кредитна історія стала чистою.

Інше питання: чому «дієві» все ж вирішили «вручну» зам’яти цей випадок.

І тут взагалі все просто, як на мене: суспільний резонанс. Ми разом з вами надали такого розголосу цій справі, що надалі ігнорувати її було просто неможливо. Журналісти запитують, медіа цікавляться, соцмережі хвилюються.

Але чи вирішена проблема як така?
Категорично заявляю: абсолютно ні.
Зеленкою замазано одну маленьку плямку алергічного висипу по всьому тілу.
Чи розслідувано даний інцидент належним чином? Невідомо, але, скоріш за все, ні.
Чи оприлюднено результати хоча б якогось декоративного розслідування? Ні.
Чи Держспецзв’язку якось прокоментувала «кредит через Дію», як вони коментували «кейс Байдена»? Ані пари з вуст. Хоча цей випадок має значно небезпечніший для влади потенціал, ніж «кейс Байдена», оскільки жертвами такого фінта можуть стати значно більше людей.

Тому що усі ті підроблені ЕЦП, крах системи довірчих послуг, можливі зловживання з реєстром нерухомості – то все фігня на фоні того, що кожен з 35 мільйонів дорослих виборців будь-якої миті може стати через Дію боржником-безхатьком. Як тільки таке усвідомлення прийде до достатньо великої кількості голів – йтиметься не просто про програш на виборах, а про більш активний протест, результати якого складно передбачити.

Отже. Проблема загалом залишилася невирішеною: кредит через «Дію», як і раніше, загрожує кожному з нас кожної миті. І мені, усьому такому крутому як поросячий хвіст кібербезпечнику, – також.

Яким чином шахраям вдалося зареєструватися від імені Людмили в Дії – невідомо.
Чи якимось чином підтверджено факт «ідентифікації через Дію» у кредитній установі? Невідомо.
На чию картку перераховані кредитні кошти? Невідомо.

Поліція мовчить.
НБУ (який мав би контролювати ринок видачі кредитів) пише відписки у стилі «а я тут ніпрічьом». Та їм і не того зараз.
Держспецзв’язку робить вигляд, що їх це взагалі не стосується.
Мінцирку – головний винуватець – також тримає рота на замку.
Тотальна змова мочання. Omerta – так це називається у сицилійської мафії.

Ми самі повинні здогадуватися, що зроблено (і чи зроблено) рідною державою для того, щоб випадок з пані Людмилою не масштабувався до розмірів епідемії буквально завтра.

Моя здогадка така: а нічого не зроблено.
Щоб припинити антирекламу непродуманої безвідповідальної діджиталізації, питання «порішали» вручну і тишком-нишком. «Телефонне право» – називали таку практику за часів совка.
Щоб системно вирішити проблему несанкціонованого використання акаунтів громадян в Дії, потрібно, перш за все, призупинити дію Закону України про прирівняння цифрових документів до справжніх. А на це жижиталізатори нізащо не підуть, адже це означатиме публічне визнання провалу «досягнення», яким вони так пишаються: «ми перші у Світі, які це зробили». Чому інші країни не пішли на таку авантюру – зелені клоуни не хочуть напружувати звивини. Чи шо там у них замість них.

І не буде проблема вирішуватися системно. Тому ще не хочуть і тому що не розуміють як.
А значить, аналогічні випадки продовжуватимуться і ставатимуть все частішими.

За деякими інсайдами, Мінцирку примусила кредитну установу анулювати кредит тому, що вони начебто не додали до документів фото отримувача позики. Але ж якщо шахраї змогли зареєструвати на людину акаунт в Дії, то знайти її фото не становитиме жодної проблеми. Як у тому анекдоті: «…просто писанини добавилося».

Фактично держава нас з вами не просто не захищає, але створює нові механізми шахрайства та сама ж їх «кришує». Тому треба думати як захиститися від такої держави власноруч.

Наприклад, щоб перевірити свою кредитну історію, потрібно зайти на сайт Українського бюро кредитних історій, завантажити копію паспорта та коду, вказати свій номер телефону, дату народження. Якось мені таке не до душі, тому перевіряти на собі я не став. Хоча може і даремно. Але у разі потреби все ж доведеться. Після першого дзвінка колектора.

Як перевірити чи ваша квартира все ще ваша? По реєстру нерухомості. Для цього треба мати ЕЦП – електронний цифровий підпис.

Як отримати ЕЦП: піти з паспортом, кодом та флешкою до найближчого АЦСК – авторизованого центру сертифікації ключів. Зазвичай за гроші, але можна і безкоштовно – в місцевій податковій. Знайти найближчу АЦСК ще простіше: гуглите абревіатуру АЦСК та ваш населений пункт.

А ще сам Мінюст рекламує цікаву послугу: СМС-маяк, «Сервіс моніторингу реєстраційних дій щодо об’єктів нерухомого майна фізичних та юридичних осіб».

Тобто якщо відбуваються якісь зміни у реєстраційних даних вашої нерухомості – вам проходить смс-повідомлення. 30 гривень обслуговування на місяць за один об’єкт.

Слухайте, а нормальна тема.
Однією рукою створюєш проблему, а другою пропонуєш вирішити її за гроші. Вночі проколюєш колеса автомобілям, а зранку розкладаєш листівки щодо послуг платної охоронюваної парковки.
І чому я не здивований, це ж Україна, бейбі?

І останнє.
В Україні захистити свої права може лише той, хто голосно кричить про проблему. Лише тоді влада буде якось реагувати, і далеко не факт, що відреагує на користь «маленького українця». Який він/вона не депутат, чиновник, член правлячої партії чи генерал поліції.

Спринтери-розробники Дії всіляко намагаються зам’яти випадок з панею Людмилою або ж виставити його як «поодинокий».

Я вважаю, що це неправда. Що аналогічних випадків – немало, точно більше одного. Адже шахрайська схема системно не викорінена, просто локалізовано один з випадків, який став відомим.

Для пані Людмила уся ця неприємна історія може вважатися завершеною, дякуючи небайдужим громадянам. Але усі ми все ще залишаємося під великим ризиком і можемо будь якої миті опинитися винні шахраям.

Перегляд «Кіберзахист від держави» у YouTube буде корисним, але не захистить від всепроникної Дії.

Із засобів захисту від Неї у нас є лише схрещені пальці.