Министерство внутренних дел ОАЭ предостерегло граждан от инвестиционного мошенничества, советуя не поддаваться на «обещания быстрых, гарантированных прибылей». По мнению властей, подобные обещания часто используются для хищения средств.
Министерство внутренних дел ОАЭ предостерегло граждан от инвестиционного мошенничества, советуя не поддаваться на «обещания быстрых, гарантированных прибылей». По мнению властей, подобные обещания часто используются для хищения средств.
Полиция Дубая также недавно выпустила аналогичное предупреждение для жителей относительно мошеннических инвестиционных схем, распространяющихся в социальных сетях и на цифровых платформах. Эти схемы привлекают жертв обещаниями быстрого и гарантированного финансового дохода.
Министерство внутренних дел ОАЭ выделило ряд признаков, на которые следует обращать внимание при инвестировании. К ним относятся давление с требованием срочного или немедленного вложения средств, а также обещания высокой доходности за короткий период времени.
Другие тревожные сигналы включают расплывчатость в отношении характера бизнеса или способа получения прибыли, запросы личной или банковской информации, а также невозможность проверить лицензию компании или ее фактическое местоположение.
Помимо очевидного риска потери денег, инвестиционное мошенничество влечет за собой и другие проблемы. Среди них — невозможность возместить потерянные средства и неправомерное использование личных данных. Пострадавшие также могут испытать значительный психологический и эмоциональный ущерб.
Власти также предложили инвесторам ряд мер для самозащиты. Необходимо проверять лицензию организации перед принятием любого инвестиционного решения, а также консультироваться с квалифицированным специалистом до совершения финансовых операций.
Инвесторам рекомендуется работать исключительно с официально лицензированными структурами, проявлять осторожность к предложениям о крупных гарантированных доходах, никогда не переводить средства на личные счета и не делиться личными данными или одноразовыми паролями (OTP).
Кроме того, следует проявлять бдительность в отношении неизвестных, непроверенных или поддельных приложений и веб-сайтов.
В 2020 году в Дубае был арестован экспат, который предположительно использовал Emirates ID другого человека для получения чеков в рамках мошеннической схемы на сумму 350 000 дирхамов, в которой участвовали сообщники и множество транзакций. Этот случай подчеркнул, как могут быть использованы документы, удостоверяющие личность, если люди не соблюдают протоколы доступа и проверки.
Риск мошенничества не всегда начинается с организованных преступных схем. Чаще всего он зарождается в рутинных ситуациях, когда жителям предлагают передать или отправить копии Emirates ID в магазинах, пунктах доставки или сервисных центрах. Однако такие, казалось бы, стандартные запросы могут привести к утечке конфиденциальных личных данных, если они скопированы, сохранены или распространены без надлежащей защиты.
Карты Emirates ID содержат обширную биометрическую и личную информацию, включая номер проживания, данные паспорта, отпечатки пальцев и сканы радужной оболочки глаза. При неправильном обращении с копиями, небезопасном хранении или бесконтрольном распространении они могут быть использованы для самозванства, мошенничества или захвата учетных записей.
Эксперты, беседовавшие с Khaleej Times, отметили, что проблема заключается не в наличии самой карты, а в неконтролируемом дублировании ее данных в повседневных операциях, которые часто происходят вне регулируемых систем. Власти ОАЭ посоветовали жителям избегать передачи чувствительной информации и уметь отличать законные требования верификации от ненужных запросов на сбор данных. Не каждая организация имеет законное право хранить копию Emirates ID.
Федеральное управление по вопросам личности, гражданства, таможни и портовой безопасности (ICP) предупредило, что карты Emirates ID нельзя использовать для коммерческих стимулов, таких как скидки или бонусы, а также предоставлять в качестве залога для услуг. Управление также подчеркнуло, что частные компании не могут хранить удостоверения личности, если это не разрешено законом, и запрещает их удержание без судебного или официального разрешения.
Согласно Федеральному декрету-закону № 45 от 2021 года о защите персональных данных, любая структура, которая собирает, хранит, копирует или использует данные Emirates ID, обрабатывает персональные данные. Такая обработка должна быть законной, справедливой, прозрачной и ограничена определенной целью, с надежными мерами защиты от несанкционированного доступа, злоупотребления или раскрытия.
Юридический эксперт считает, что вопрос не в том, являются ли запросы Emirates ID действительными в принципе, а в том, являются ли они пропорциональными и должным образом контролируемыми. Никихат Сардар Хан, юрист по судебным разбирательствам и DIFC, заявила: «Вопрос не в том, что Emirates ID никогда не могут запросить». Она уточнила, что некоторые организации могут иметь законное основание для такого запроса — например, для KYC, банковского соответствия, регистрации телекоммуникаций или оформления клиента. Тем не менее, запрос должен быть пропорциональным. Копирование или хранение данных Emirates ID без законной цели не оправдано, и организация должна гарантировать, что они не будут использованы неправомерно.
Она добавила, что у людей есть законные средства защиты в случае неправомерного использования. Субъекты данных могут подавать жалобы на организации, нарушающие закон при обработке их данных, а также требовать исправления, удаления, ограничения или доступа к своей информации. В более серьезных случаях, связанных с нарушениями, организации также несут обязательства по уведомлению и отчетности.
Никихат также привела пример из судебного дела в Дубае, чтобы продемонстрировать, как неправомерное использование удостоверений личности может привести к крупному мошенничеству. Суд в Дубае рассматривал спор, связанный с сотрудником, который якобы использовал Emirates ID своего работодателя для открытия корпоративного счета и представления себя в качестве уполномоченного подписанта. До отъезда работодателя сотрудник якобы получил чек на небольшую сумму, а затем изменил его номинал в отсутствие. Он также отключил банковские SMS-оповещения работодателя через телекоммуникационный канал, снизив видимость транзакций. Ситуация обострилась, когда был открыт новый корпоративный счет, и сотрудник стал уполномоченным подписантом, предположительно из-за того, что поставщики услуг не проверили все должным образом. Сумма чека увеличилась примерно с 96 дирхам до 1 000 000 дирхам, что позволило снять около 350 000 дирхам. Часть средств была возвращена. Никихат отметила: «Дело было лишь частично успешным, поскольку Суд установил, что работодатель также был небрежен, оставив Emirates ID доступным в офисе».
Эксперт по кибербезопасности Раяд Камаль Аюб из Rayad Group заявил, что мошенничество, связанное с Emirates ID, обычно следует узнаваемым схемам, а не является изолированными инцидентами. Он перечислил распространенные сценарии мошенничества: SIM-swap мошенничество, поддельное оформление KYC, социальная инженерия, связанная с UAE PASS, и «сшивание» личности. Мошенничество типа SIM-swap включает использование личных данных для захвата телекоммуникационных аккаунтов и перехвата банковских OTP. Поддельное оформление KYC создает мул-аккаунты или мошеннические финансовые профили. «Сшивание» личности объединяет фрагменты утечек данных, такие как контактная информация, для создания полных профилей личности с целью мошенничества.
Раяд также указал на постоянную операционную слабость, связанную с неофициальным обменом документами. Он отметил: «Одной из самых устойчивых слабых точек остается неофициальный обмен документами. Жителей часто просят отправлять копии Emirates ID через WhatsApp, электронную почту или другие незащищенные каналы для таких услуг, как проверка доставки, контроль доступа или административная обработка. После обмена люди часто теряют контроль над тем, где хранятся данные, кто имеет к ним доступ и как долго они сохраняются».
Система Emirates ID спроектирована для обеспечения безопасной идентификации. Чип карты содержит зашифрованные данные, доступ к которым имеют только авторизованные системы. Кроме того, карта обладает рядом физических мер безопасности, а основная база данных хранит записи об идентификации для официальных проверок. Раяд объяснил: «Большинство рисков исходят не из самой системы. Что-то простое, как сканирование, фотографирование, отправка по электронной почте или пересылка копии Emirates ID, считается 'обработкой' персональных данных согласно Закону о защите персональных данных. Это влечет за собой юридические обязательства для организаций применять принципы минимизации данных, ограничения цели и безопасного хранения».
Регуляторы и эксперты по кибербезопасности сходятся во мнении относительно простого набора шагов, которым должны следовать как частные лица, так и организации. Основные рекомендации включают: делиться данными Emirates ID только при строгой необходимости и для определенной цели; по возможности отдавать предпочтение верификации через UAE PASS вместо обмена документами; добавлять водяные знаки, даты и метки цели на любые предоставленные копии; избегать отправки изображений Emirates ID через WhatsApp или незащищенные каналы; никогда не передавать копии Emirates ID вместе с банковскими учетными данными или OTP; проверять легитимность запросов, особенно в неформальных или спонтанных ситуациях; а также безопасно хранить любые собранные копии с использованием шифрования и контроля доступа.