Фішинг додатка Дія в Україні: як шахраї використовують цифрові держпослуги

Дія стала одним із найважливіших додатків в Україні. Запущена у 2020 році, вона зберігає цифрові версії паспортів, водійських посвідчень, ІПН, свідоцтв про реєстрацію транспортних засобів та десятків інших державних документів для понад 20 мільйонів українців. Під час війни Дія стала незамінною для отримання виплат, доступу до держпослуг та підтвердження особи на блокпостах. Ця критична роль зробила Дію високоцінною мішенню для фішингових атак та крадіжки ідентичності.

Розповідаємо, як шахраї використовують Дію та як захистити себе.

Чому Дія — пріоритетна ціль

Дія — це, по суті, цифровий гаманець для всієї вашої ідентичності. Доступ до чийогось акаунту Дії означає доступ до паспортних даних, ІПН, водійського посвідчення та інших державних документів. Цю інформацію можна використати для крадіжки ідентичності, шахрайського відкриття банківських рахунків та незаконного отримання допомоги.

Глибока інтеграція додатка з автентифікацією BankID означає, що компрометація доступу до Дії може також відкрити шлях до банківських даних. Шахраї знають це й розробляють дедалі витонченіші методи обману.

Поширені фішингові схеми Дії

1. Підроблені державні сповіщення

Вам надходить SMS або повідомлення у Viber нібито від Міністерства цифрової трансформації чи Кабінету Міністрів. У повідомленні сказано, що ви маєте незатребувану державну виплату, ваші цифрові документи потребують повторної верифікації або є проблема з акаунтом Дії. Посилання веде на підроблену сторінку входу, яка збирає ваші дані BankID.

Чому це працює: Українці регулярно отримують легітимні державні сповіщення про програми допомоги, повідомлення єВорог та оновлення документів. Підроблені повідомлення зливаються зі справжніми.

2. Фейкові виплати єПідтримка

Шахраї надсилають повідомлення про те, що ви маєте право на новий раунд державних виплат через Дію. Щоб «отримати» виплату, потрібно увійти через надане посилання й підтвердити дані банківської картки. Фішингова сторінка збирає й дані Дії, й банківську інформацію.

3. Фейкові запити на верифікацію документів

Вам надходить повідомлення, що ваш цифровий паспорт або водійське посвідчення в Дії закінчилося або потребує повторної верифікації. Посилання веде на клонований інтерфейс Дії, де вас просять повторно ввести персональні дані — ІПН, номер паспорта, дату народження. Ці дані потім використовуються для шахрайства з ідентичністю.

4. Підроблені завантаження додатка Дія

Фішингові повідомлення містять посилання для завантаження «нової версії» Дії. Завантажений APK (на Android) виглядає ідентично справжньому додатку, але містить шкідливе ПЗ, яке фіксує все, що ви вводите, включно з банківськими даними та OTP-кодами.

5. Соціальна інженерія через «дзвінки підтримки Дії»

Вам телефонують і представляються працівником центру підтримки Дії або Мінцифри. Кажуть, що є проблема безпеки з вашим акаунтом, і проводять вас через кроки, які насправді надають їм доступ до ваших цифрових документів і пов'язаних банківських послуг.

На що звертати увагу

Як захистити свій акаунт Дії

1. Завантажуйте Дію лише з офіційного App Store або Google Play — ніколи через посилання в повідомленнях
2. Завжди перевіряйте URL перед введенням будь-яких даних — єдиний легітимний домен diia.gov.ua
3. Увімкніть біометричний вхід (відбиток пальця або Face ID) у додатку Дія
4. Ніколи не діліться даними BankID з будь-ким, включно з тими, хто представляється від імені держави
5. Пам'ятайте, що Дія ніколи не надсилає посилання через SMS — легітимні сповіщення з'являються всередині додатка
6. Встановіть унікальний пароль для BankID, який ви не використовуєте деінде
7. Регулярно перевіряйте, які пристрої підключені до вашого акаунту Дії, та видаляйте невідомі
8. Увімкніть двофакторну автентифікацію на банківському рахунку, пов'язаному з BankID

Що робити, якщо акаунт Дії скомпрометовано

1. Негайно зверніться до банку, щоб захистити BankID та заблокувати несанкціонований доступ
2. Повідомте про інцидент через додаток Дія за допомогою чату підтримки
3. Подайте заяву в Кіберполіцію на cyberpolice.gov.ua
4. Перевірте кредитну історію на предмет несанкціонованих заявок через Українське бюро кредитних історій
5. Змініть пароль BankID та увімкніть додаткові заходи безпеки
6. Моніторте банківські рахунки на предмет несанкціонованих транзакцій

Ризик крадіжки цифрових документів

Коли шахраї отримують доступ до вашого акаунту Дії, вони здобувають набагато більше, ніж просто логін і пароль:

• Ваш цифровий паспорт — для шахрайства з ідентичністю
• Ваш ІПН — для фінансового шахрайства та податкових махінацій
• Ваше водійське посвідчення — на продаж у даркнеті
• Свідоцтво про реєстрацію ТЗ — для страхового шахрайства
• Сертифікат вакцинації — для підробки документів

Тому безпека акаунту Дії — це не просто захист додатка, а захист усієї вашої юридичної ідентичності.

Безпечний обмін конфіденційними документами

Коли потрібно поділитися сканами паспорта, ІПН чи інших документів Дії з роботодавцем, орендодавцем або держорганом, не надсилайте їх через Viber чи Telegram, де вони назавжди залишаться в історії чату. Скористайтеся LOCK.PUB, щоб створити захищене паролем посилання з автовидаленням. Одержувач вводить пароль, переглядає документ, і він зникає після встановленого часу — жодних копій у гілках повідомлень.

Підсумок

Дія трансформувала взаємодію українців із державними послугами, але ця зручність пов'язана з ризиками. Шахраї постійно створюють нові фішингові схеми, що використовують довіру до цифрових державних платформ. Головне правило: Дія ніколи не просить переходити за посиланнями в SMS, завантажувати оновлення поза офіційними магазинами додатків або повідомляти дані по телефону.

Захищайте свою цифрову ідентичність так само, як захищали б фізичний паспорт. А коли потрібно передати конфіденційні документи — використовуйте зашифровані інструменти з автовидаленням, як-от LOCK.PUB, замість того щоб залишати їх незахищеними у месенджерах. Ваша цифрова ідентичність — це ваша реальна ідентичність — бережіть її відповідно.