Мошенничество с микрокредитами через BankID/Дія.Підпис в мае 2026: схема и как защититься

В мае 2026 года специалисты по кибербезопасности и представители финансового рынка фиксируют заметный рост числа мошеннических схем, связанных с компрометацией BankID и Дія.Підпис. Злоумышленники получают доступ к верифицированным учётным записям жертв и в считаные минуты оформляют микрокредиты в онлайн-МФО, не вступая в какой-либо физический контакт с заёмщиком. Особую опасность представляет то, что некоторые микрофинансовые организации до сих пор полагаются исключительно на BankID как единственный способ идентификации клиента. В результате жертва узнаёт о займе уже после того, как деньги были выведены.

Как работает схема

Схема состоит из трёх последовательных этапов, каждый из которых несложен технически, однако вместе они образуют замкнутую цепочку, позволяющую мошенникам действовать быстро и практически анонимно.

Шаг 1. Компрометация BankID или Дія.Підпис

На первом этапе злоумышленник получает доступ к учётной записи жертвы. Наиболее распространённые методы — фишинговые сообщения с поддельными ссылками на сайты банков или Дії, подменные приложения, имитирующие официальный интерфейс, а также SIM-swap — переоформление SIM-карты жертвы на нового владельца без её ведома. SIM-swap позволяет перехватывать SMS-коды подтверждения, после чего злоумышленник получает полный контроль над привязанным номером телефона. В социальных сетях распространяются сообщения о том, что мошенники также используют скомпрометированные базы данных с логинами и паролями от различных сервисов — если человек использует одинаковый пароль везде, риск многократно возрастает.

Шаг 2. Оформление займа в МФО

Получив контроль над BankID или Дія.Підписом жертвы, мошенник переходит на сайт или в приложение МФО. Процесс верификации через BankID занимает от 5 до 15 минут и в ряде организаций не предусматривает никакой дополнительной проверки — ни видеоверификации в реальном времени, ни сравнения с архивными фото, ни анализа поведенческих паттернов. Займ одобряется автоматически, поскольку система «видит» верифицированную подпись BankID и считает её достаточным подтверждением личности. Именно здесь и кроется системная уязвимость: BankID подтверждает личность лишь до момента компрометации учётной записи — после этого он превращается в инструмент в руках злоумышленника.

Шаг 3. Вывод средств

Одобренная сумма мгновенно переводится на так называемые дроп-карты — счета, зарегистрированные на подставных лиц или открытые по поддельным документам. Оттуда деньги конвертируются в криптовалюту или переводятся через цепочку счетов, что существенно затрудняет их отслеживание. По данным НБУ и киберполиции, цикл от компрометации до вывода средств в отдельных случаях занимает менее часа.

Признаки компрометации

Большинство жертв узнают о мошенничестве с запозданием. Чтобы обнаружить угрозу как можно раньше, стоит обращать внимание на следующие признаки:

• SMS или push-уведомление о новом входе в банковское приложение или смене пароля, которых вы не инициировали. Даже если сообщение выглядит техническим и безобидным — это повод немедленно проверить активные сессии.
• Электронные письма от незнакомых МФО с подтверждением заявки, договором или графиком платежей. Если вы не подавали никакой заявки — это явный признак того, что кто-то воспользовался вашими данными.
• Действия в Дії, которые вы не совершали, — в частности, запросы на BankID-верификацию от сторонних организаций. Историю запросов можно просмотреть в разделе «Авторизации» приложения Дія.
• SMS о переоформлении SIM-карты или внезапная временная потеря мобильной связи без видимых технических причин. Это может свидетельствовать о SIM-swap — переоформлении вашего номера на другое лицо.
• Неожиданное ухудшение кредитного скоринга или снижение кредитного лимита в банке без видимых причин. Кредитные бюро фиксируют запросы и новые обязательства, и их появление в вашей кредитной истории без вашего ведома — прямой сигнал тревоги.

Как защититься: 6 шагов

Превентивные меры не требуют технических знаний — достаточно базовой цифровой гигиены, которую можно внедрить за несколько минут:

• Используйте уникальный сложный пароль для каждого банковского приложения. Пароль не должен повторяться ни на одном другом сервисе. Длина — не менее 12 символов, обязательно с цифрами, буквами и специальными знаками. Для хранения паролей используйте менеджер паролей.
• Замените SMS-подтверждение на push-уведомления или аппаратный токен, где это технически возможно. SMS перехватываются при SIM-swap, тогда как push-коды привязаны непосредственно к конкретному устройству.
• Регулярно проверяйте историю входов в BankID и Дію. В приложении Дія доступна функция просмотра авторизаций — список сервисов, запрашивавших верификацию. Любой незнакомый сервис в этом списке требует проверки.
• Никогда не передавайте фотокопии паспорта, идентификационного кода или селфи с документами через мессенджеры, даже если запрос поступает якобы от банка или МФО. Официальная верификация происходит исключительно через защищённые каналы или в отделении.
• Проверяйте свою кредитную историю не реже одного раза в 2–3 месяца. Бесплатный запрос в кредитное бюро позволяет выявить несанкционированные займы на раннем этапе, ещё до появления первых требований о погашении.
• Используйте лимитированные виртуальные карты для расчётов в интернете. Они привязаны к основному счёту, но имеют отдельный номер и установленный лимит — даже если реквизиты будут скомпрометированы, доступ к основным средствам останется закрытым.

Что делать, если схема уже применена против вас

Если вы обнаружили признаки несанкционированного оформления займа, важно действовать быстро и последовательно. Каждый час промедления затрудняет возврат средств и оспаривание записей в кредитной истории.

1. Немедленно заблокируйте BankID в вашем банке. Позвоните на горячую линию банка и попросите приостановить или полностью отключить функцию BankID. Одновременно смените пароль и PIN-код от приложения и проверьте активные сессии — завершите все незнакомые.
2. Обратитесь в МФО с заявлением о мошенничестве. Заявление следует подавать письменно — по электронной почте или через официальную форму обратной связи с обязательным сохранением подтверждения отправки. Фиксируйте дату, время и содержание всех звонков и переписки. МФО обязаны рассматривать такие обращения в установленные законом сроки.
3. Подайте заявление в киберполицию. Это можно сделать онлайн через официальный портал cyberpolice.gov.ua или лично в ближайшем отделении полиции по форме 102. Сохраните копию заявления и номер регистрации обращения — они понадобятся на последующих этапах.
4. Обратитесь в Национальный банк Украины с жалобой на МФО, если считаете, что займ был выдан с нарушением требований идентификации клиента. НБУ вправе инициировать проверку финансового учреждения и обязать его пересмотреть решение по займу.
5. Подайте заявление в УБКІ или другое кредитное бюро о блокировании или оспаривании неправомерной записи. Кредитное бюро обязано рассмотреть обращение и пометить запись как «оспариваемую» на время проверки, что защитит вас от негативного влияния на скоринг в период рассмотрения дела.

Первый шаг после обнаружения подозрительного займа — проверить кредитную историю и оформить оспаривание. Пошаговый план с образцами заявлений мы разобрали в отдельном материале — «Как оспорить негативную запись в кредитной истории».

Контекст: реакция рынка и регулятора

По данным НБУ, регулятор находится в процессе ужесточения требований к процедурам идентификации клиентов (KYC) в небанковских финансовых учреждениях, в частности в МФО. Рост числа мошеннических инцидентов с участием BankID побудил регулятора пересмотреть минимально достаточные стандарты верификации — одного лишь подтверждения через BankID может оказаться недостаточно для автоматического одобрения займа. Рынок реагирует: отдельные МФО уже внедряют обязательную видеоверификацию в реальном времени как дополнительный уровень защиты поверх BankID, а также анализ поведенческих паттернов и проверку устройства, с которого поступает запрос.

Киберполиция фиксирует рост числа обращений, связанных с несанкционированным использованием BankID для получения финансовых услуг. Специалисты подразделения отмечают, что схема не является технически новой, однако её масштаб в мае 2026 года существенно вырос — по всей видимости, вследствие появления новых инструментов автоматизированного фишинга и SIM-swap-атак. Параллельно с расследованием конкретных случаев киберполиция проводит разъяснительную работу с финансовыми учреждениями по усилению процедур верификации на этапе выдачи займов.

Вместо вывода

BankID и Дія.Підпис — удобные и в целом надёжные инструменты цифровой идентификации. Проблема не в самой технологии, а в том, как ею пользуются — и как её защищают. Компрометация начинается не со взлома государственных систем, а со слабого пароля, перехода по подозрительной ссылке или неосторожно раскрытых персональных данных. Регулярная проверка кредитной истории — это не паранойя, а базовая финансовая гигиена, позволяющая обнаружить угрозу до того, как она превратится в реальный долг. Уделяйте этому 10 минут раз в несколько месяцев — и вы будете на шаг впереди мошенников.