Как мошенники взламывают аккаунты на «Госуслугах»
До недавнего времени вход в личный кабинет на портале был возможен только по номеру телефона и паролю. Теперь нужно вводить ещё и одноразовый код из SMS. Казалось бы, мошенникам отрезали все пути. Но они умудряются пройти сквозь все кордоны защиты:
С номером телефона всё понятно – это не особо секретная информация. Сам владелец SIM-карты оставляет его во многих местах, к тому же базы клиентов мобильных операторов просачиваются в общий доступ.
С паролем сложнее, но злоумышленники придумали способы его получения. Помимо простого подбора, – а ведь многие граждане используют элементарные комбинации вроде даты рождения, – используются более хитрые подходы. Например:
Кража с помощью вирусных программ, которые незаметно попадают на компьютер, ноутбук или телефон и начинают пересылать сведения аферистам.
Создание фишинговых сайтов – подделок, которые мимикрируют под популярные ресурсы. Адрес такого сайта отличается от оригинала на 1-2 символа, и мало кто это замечает. Жертву заманивают на поддельный ресурс с помощью SMS или электронного письма, а там предлагают ввести пароль для достижения «полезного» результата.
Покупка мобильных номеров. Часто люди отказываются от использования SIM-карты и забывают про неё. Через некоторое время «передержки» оператор выставляет номер на продажу. Приобретя его, мошенники могут попытаться восстановить доступ к учётным записям бывшего владельца.
Социальная инженерия. Доверчивые граждане нередко сами «сдают явки и пароли». Например, мошенник звонит, представляется сотрудником техподдержки «Госуслуг», пугает взломанным аккаунтом и просит сообщить пароль для блокировки учётной записи.
После введения дополнительного фактора защиты – аутентификации по коду из SMS – задача аферистов стала труднее. Но и её они умудряются решать. Причём не всегда используются такие сложные способы, как кража смартфонов или изготовление клонов SIM-карт. Основной сегодняшний «конёк» злоумышленников – всё та же социальная инженерия.
Типичный сценарий: мошенник звонит жертве и вынуждает её сообщить код из SMS. Каким образом – зависит только от фантазии преступника:
-
одни представляются сотрудниками техподдержки портала, банка или полиции;
-
другие выступают от имени мобильного оператора и предлагают подтвердить продление договора;
-
третьи завлекают призами, якобы выигранными гражданином…
Во всех случаях человеку нужно подтвердить личность или намерение, а для этого – продиктовать код из сообщения, полученного от отправителя «gosuslugi». На том «конце провода» мошенник сидит за компьютером и для доступа в чужой личный кабинет ему не хватает заветных 6 цифр.
Ну а как только преступник попадает в аккаунт жертвы, он меняет персональные данные, блокируя доступ законному владельцу.
Как злоумышленники используют доступ к «Госуслугам»
Каким образом аферисты захватывают аккаунт жертвы, разобрались. Что дальше? Многих больше всего волнует: удастся ли мошенникам оформлять через «Госуслуги» кредиты? С этого аспекта и начнём. Сам портал не кредитует граждан, но может использоваться для подачи заявок в финансовые организации:
Взять кредит в банке через портал у аферистов вряд ли получится. Банковские структуры тщательно проверяют личность потенциального заёмщика. Впрочем, это зависит от креативности мошенников. Например, если они узнают паспортные данные, то могут подделать удостоверение личности. А ещё заказать справки о доходах жертвы в налоговой инспекции. Такой набор расширяет возможности для афер.
А вот оформить микрозаём в МФО через портал вполне возможно. Мало того, что злоумышленники завладевают паспортными данными, которые можно использовать при подаче онлайн-заявки. Есть микрофинансовые организации, которых устраивает, если клиент авторизуется на сайте с помощью учётной записи «Госуслуг». Если аферисты обратятся в несколько МФО, они «повесят» на жертву приличный долг.
Но на этом варианты использования чужого аккаунта на «Госуслугах» не заканчиваются. Вот другие возможности, которые даёт преступникам доступ в личный кабинет жертвы:
1. Масса личной информации.
Используются данные по-разному:
Одни взломщики продают ценные сведения «коллегам по цеху».
Другие с помощью персональных данных манипулируют человеком и его близкими. Их конечная цель состоит в том, чтобы жертва совершила какие-либо активные действия, а владение личными сведениями применяется для повышения доверия.
Например, мошенник звонит жертве и представляется следователем. Он сообщает о расследовании дела по поимке группы мошенников, орудующих в крупном банке, и просит помочь. Для этого человеку предлагается оформить кредит и отправить деньги на «специальный счёт правоохранительных органов». Но не каждый поверит в такую историю, правда? А если «сотрудник полиции» сообщит гражданину его паспортные данные? Это меняет дело, и многие попадаются на удочку.
2. Доступ на другие ресурсы.
С помощью аккаунта «Госуслуг» можно авторизоваться на многих официальных сайтах: ФНС, СФР, Росреестра, бюро кредитных историй и т.д. Таким образом, у мошенников появляются дополнительные сведения в «досье» жертвы.
Впрочем, авторизация на других ресурсах ценна и сама по себе. Например, оказавшись в личном кабинете налогоплательщика на сайте ФНС, злоумышленники:
подают заявление на получение налогового вычета, указывая реквизиты своего счёта для перечисления;
заказывают справки о доходах гражданина, чтобы использовать их для оформления кредита.
Кроме того, через «Госуслуги» можно авторизоваться на сайте мобильного оператора и оформить электронную SIM-карту на имя жертвы. Затем номер используется для обмана других граждан, пострадавшие обращаются в полицию, а «виновником» оказывается формальный владелец SIM-ки.
Аналогичным образом по личным данным открываются электронные кошельки на чужое имя. Потом аферисты мошенническим путём заставляют других людей переводить туда деньги – например, оплачивать покупки авансом, – и исчезают в неизвестном направлении. Требования о возврате средств предъявляются формальному держателю кошелька.
3. Подписание электронных документов.
Через подтверждённую учётную запись на «Госуслугах» можно оформить электронную подпись. Она позволит мошенникам совершать от имени жертвы сделки с имуществом, зарегистрировать компанию и выполнять другие операции.
Как защититься от взлома аккаунта на «Госуслугах»
Чтобы минимизировать риски утраты личного кабинета, нужна бдительность во всём:
Используйте сложные пароли, отличающиеся для разных сервисов. Учитывая, что «Госуслуги» – кладезь ценной информации, для портала нужно особенно постараться и изобрести уникальную комбинацию – минимум 12-14 символов. Набор должен быть неочевидным: никаких «123456» и собственных дней рождения.
Подключите на «Госуслугах» дополнительные факторы защиты. Возможные варианты предлагаются на вкладке «Безопасность» личного профиля. Помимо кода из SMS, можно настроить вход по:
-
электронной подписи;
-
биометрии;
-
одноразовому коду, приходящему в приложение.
Для подстраховки можно также подключить:
Уведомления на e-mail о случаях авторизации, благодаря которым вы рано узнаете, что в аккаунт заходит посторонний.
Контрольный вопрос, который пригодится для восстановления доступа и усложнит задачу аферистам: они не смогут зайти в профиль без правильного ответа, даже если обманом выманят у вас код из SMS.
Не сообщайте по телефону конфиденциальную информацию и коды из SMS – причём не только неизвестным личностям, но и знакомым и родственникам, памятуя о возможностях искусственного интеллекта.
Не переходите без предварительной проверки по любым ссылкам – особенно полученным от сомнительных отправителей по e-mail, SMS или через мессенджер. Если вам пришло якобы сообщение от «Госуслуг», лучше самостоятельно зайдите на портал по адресу gosuslugi.ru, авторизуйтесь и проверьте раздел «Уведомления».
Устанавливайте только надёжные программы, размещённые в магазине приложений или на сайте организации-владельца ПО.
Используйте антивирусные программы, особенно если вы любите скачивать информацию из Интернета.
Регулярно проверяйте кредитную историю, чтобы вовремя отследить мошеннические займы. Тем более, что это легко сделать онлайн, а дважды в год из каждого БКИ – ещё и бесплатно.
За комиссию можно оформить в бюро услугу по уведомлению о внесении новых записей в кредитную историю.
Что делать, если мошенники получили доступ в личный кабинет
Реакция на мошеннические действия зависит от того, в какой момент вы их вычислили и что успели натворить злоумышленники:
Если в результате взлома утрачен доступ в аккаунт – его можно восстановить.
На «Госуслугах» размещена подробная инструкция на этот счёт. Способов восстановления несколько:
-
на портале по номеру телефона или e-mail (если мошенники не успели их поменять);
-
через онлайн-сервисы банков-партнёров «Госуслуг»;
-
в центре обслуживания.
Когда доступ восстановлен:
Проверьте актуальность личных данных и установите новый пароль.
Посмотрите, что успели сделать мошенники. Для этого найдите в разделе «Безопасность» вкладку «Действия в системе».
В разделе «Согласия и доверенности» проверьте, какие разрешения выданы без вашего участия, и отзовите их.
Запросите кредитную историю, чтобы узнать, не «повесили» ли на вас финансовые обязательства.
Если злоумышленники оформили на вас кредит или микрозаём.
Действовать стоит оперативно, не дожидаясь, пока банк или МФО начнёт взыскивать долг через суд:
Проинформируйте о случившемся кредитную организацию, потребуйте провести внутреннее расследование и запросите материалы по займу: копии заявки и документов, предоставленных мошенниками вместе с анкетой, копию кредитного договора и сведения о счёте, куда были перечислены деньги.
Подайте заявление о мошенничестве в полицию, приложив к нему материалы от банка или МФО.
С талоном о принятии заявления органами МВД вернитесь к кредитору и подайте заявление об аннулировании кредитного договора. Пригодятся и другие сведения, подтверждающие вашу непричастность. Например, распечатка вкладки «Действия в системе» из личного кабинета, где указывается IP-адрес точки входа. Если он находится в другой стране, а вы в последнее время не покидали Россию – это доказательство в вашу пользу.
В случае отказа банка аннулировать кредит придётся отстаивать права в других инстанциях:
-
жаловаться в Центральный банк;
-
подать иск в суд о признании кредитного договора недействительным.
Однако иногда даже обращение в правоохранительные органы и суд не даёт результата. Кредитная задолженность «повисает» на ни в чём не повинном человеке. В компанию МФЦБ обращается немало жертв мошенников, и мы помогаем решить проблему раз и навсегда – организовываем банкротство. По итогам этой процедуры как личные, так и чужие долги безвозвратно списываются.
