В Україні викрили схему з фейковою версією застосунку «Резерв+», яку використовували для імітації відстрочки від мобілізації. За даними Служби безпеки України, клонований застосунок зовні повністю копіював офіційний сервіс Міністерства оборони, але не був справжнім державним продуктом.
Кіберфахівці СБУ та Департаменту кіберполіції Нацполіції провели спецоперацію у Києві, Рівному та Черкасах. Правоохоронці заявили про нейтралізацію хакерського угруповання, яке створило платну копію «Резерв+» для військовозобов’язаних, що намагалися уникнути мобілізації.
Що саме виявили правоохоронці
За офіційним повідомленням СБУ, доступ до фейкового сервісу коштував 1200 грн на місяць. У псевдододатку користувачі могли самостійно змінювати свої облікові дані та «дописувати» собі відстрочку від призову.
Після цього такі військовозобов’язані показували фейкові електронні документи представникам ТЦК та Національної поліції під час перевірок. За даними слідства, у підробленому сервісі авторизувалися понад 4 тисячі користувачів.
Під час обшуків у трьох містах правоохоронці вилучили комп’ютерну техніку, мобільні телефони, флешнакопичувачі, банківські та SIM-картки. Роботу фейкового застосунку заблокували.
Двом затриманим повідомили про підозру за кількома статтями Кримінального кодексу: перешкоджання законній діяльності ЗСУ в особливий період та підроблення документів, вчинене за попередньою змовою групою осіб. Їм загрожує до 8 років позбавлення волі.
Що відомо про технічну сторону
З відкритих офіційних повідомлень випливає, що схема була побудована на імітації інтерфейсу, а не на підтвердженому зламі офіційного «Резерв+» або реєстру «Оберіг».
СБУ прямо зазначає, що клонований застосунок зовні повністю імітував офіційний додаток Міноборони. Водночас користувачі могли змінювати дані саме у фейковому електронному кабінеті. Тобто публічно відомі факти вказують на підробку візуального документа, який мали показувати під час перевірок, а не на реальне внесення відстрочки до державних реєстрів.
Це важливе уточнення. Офіційний електронний військово-обліковий документ у «Резерв+» має юридичну силу лише за умови формування через державний сервіс і наявності QR-коду. Уповноважені органи можуть перевіряти чинність такого документа через QR-код. Саме перевірка актуальності даних, а не лише перегляд екрана смартфона, є ключовим запобіжником від подібних підробок.
Чому схема могла працювати
Фейковий застосунок, судячи з повідомлень правоохоронців, був розрахований на ситуації, коли під час перевірки людина просто демонструє екран смартфона. Якщо інтерфейс виглядає як справжній «Резерв+», а дані на екрані оформлені переконливо, це могло створювати враження легального документа.
Але така схема має слабке місце: справжній електронний військово-обліковий документ повинен перевірятися через QR-код і підтягувати актуальні дані з державних систем. Якщо документ не проходить перевірку, його не можна вважати чинним підтвердженням статусу.
Саме тому історія з фейковим «Резерв+» показує не лише проблему шахрайства, а й важливість правильної перевірки цифрових документів. Для державних сервісів недостатньо просто мати впізнаваний інтерфейс — критично важливо, щоб під час перевірки використовувалися механізми валідації.
Чого не варто стверджувати
У цій історії немає публічних підтверджень, що хакери зламали офіційний застосунок «Резерв+», отримали доступ до реєстру «Оберіг» або реально вносили відстрочки до державних баз даних.
Також немає офіційних даних, що всі понад 4 тисячі користувачів фейкового сервісу справді успішно уникли мобілізації. У повідомленнях правоохоронців ідеться про те, що вони авторизувалися в підробленому сервісі та намагалися використовувати його для демонстрації фальшивих даних.
Тому коректніше говорити не про «злам Резерв+», а про створення платного клона державного застосунку, який імітував офіційний документ і дозволяв користувачам показувати підроблену інформацію про відстрочку.
Що це означає для користувачів
Користувачам варто завантажувати «Резерв+» лише з офіційних магазинів застосунків або через офіційний сайт сервісу. Будь-які сторонні APK-файли, посилання в Telegram, «модифіковані версії» чи платні сервіси, які обіцяють змінити військово-облікові дані, можуть бути шахрайськими або кримінально небезпечними.
Для перевіряючих органів ця історія також є показовою: цифровий документ потрібно не просто дивитися на екрані, а перевіряти через передбачений механізм валідації. Інакше навіть якісно намальований клон інтерфейсу може вводити в оману.
Схема з фейковим «Резерв+» стала прикладом того, як популярність державного цифрового сервісу може бути використана для шахрайства. Але з наявних даних не випливає, що була скомпрометована офіційна інфраструктура Міноборони. Йдеться про окремий підроблений продукт, який імітував державний застосунок і використовувався для створення фейкових електронних документів.
