Я, Михаил Сергеев, ведущий инженер компании CorpSoft24 расскажу о проблемах безопасности сервиса «Госуслуги» и как защититься от мошеннических действий при использовании гос-портала. Новые кибернетические риски – плата за прогресс и удобство, которые дают технологии. Очередное подтверждение этому тезису – всплеск сообщений о взломе аккаунтов граждан РФ на портале «Госуслуги». Доступ к критически важным данным пользователей, сосредоточенным на портале, открывает огромные возможности для мошенников.
Можно смело прогнозировать дальнейший рост подобных инцидентов: преступники «распробовали» портал. Поэтому пользователям следует быть в режиме повышенной готовности – пройтись по чек-листу ИБ-мер, затрудняющих задачу киберпреступникам.
На актуальность угрозы указывает и динамика роста успешных мошеннических операций в отношении банковских клиентов в этом году. По данным ЦБ, за I квартал 2021 г. преступникам удалось похитить в 1,5 раза больше средств, чем за тот же период в 2020-м.
Во втором квартале 2021 года с банковских счетов граждан было похищено более 3 млрд рублей, свыше 236,9 тыс. денежных переводов были проведены без согласия клиентов. При этом уровень возврата украденного снизился с 10% год назад до 7,3% – на сейчас.
Первый пик сообщений об инцидентах, связанных со злоупотреблениями аккаунтами граждан РФ на портале «Госуслуги», был зафиксирован весной-летом 2021 года. Тогда были опубликованы истории пострадавших, у которых мошенники «угоняли» доступ к аккаунту и далее совершали ряд злоупотреблений финансового характера.
Сегодня тема возвращается в повестку с проведением переписи населения в цифровом формате: это удобный предлог для мошенников, действующих от имени государственных служб. Работают на доверии: звонящий сообщает о необходимости проверить данные перед проведением переписи.
Далее в ходе разговора добывается информация, позволяющая войти в аккаунт на «Госуслугах» со всеми вытекающими последствиями.
Точки риска: какие опасности несет сайт «Госуслуг»?
Во-первых, существует сценарий, когда некоторые микрофинансовые организации предоставляют онлайн-займы через аккаунт на портале. Эта уязвимость присуща технологии «единой точки входа», когда подтвержденной учетной записи на одном ресурсе достаточно, чтобы подключаться к перечню порталов. Например, такой принцип реализуется при регистрации через соцсети – то самое «войти, используя учетную запись Facebook или ВКонтакте».
То есть, заводить отдельный аккаунт на сайте финансовой организации не нужно – этим и пользуются мошенники, которым достаточно залогиниться на «Госуслугах» через украденный аккаунт и войти на сайт микрофинансовой организации.
Во-вторых, через портал можно оформить юрлицо на ничего не подозревающего гражданина – ООО, ЗАО или ИП, на которое также можно навесить долги в виде займов, различных обязательств, сомнительных коммерческих операций и т.д. Так можно получить не только долг, но и внимание со стороны налоговой или МВД.
В-третьих, преступники могут зарегистрироваться с вашего аккаунта в букмекерской конторе и играть на занятые на вас же деньги. Причем вы в проигрыше в любом случае, если мошенникам везет – вам придется платить налоги с выигрышей.
Кроме того, ваш аккаунт могут угнать не в результате «точечной операции» именно против вас, а в ходе массовой автоматической атаки. Это делается для дальнейшей перепродажи данных учетных записей «оптом». В таком случае вас взламывают не для немедленных манипуляций с вашими данными, а для передачи их «специалистам».
Угнать квартиру
Сценарий с отъемом у жертвы недвижимости с помощью аккаунта на «Госуслугах» – не страшилки из Интернета, а вполне реальный опыт сограждан. Злоумышленникам удавалось получить мошенническим путем электронную подпись (для этого достаточно принести в удостоверяющий центр копию вашего паспорта и СНИЛСа), и далее они переоформляли жилье на другого человека, а затем продавали.
Базовый способ защиты, например недвижимости, заключается в наложении запрета на любые действия с вашей собственностью без вашего участия. Это делается в МФЦ и является общей профилактической мерой. По заявлению собственника в Единый государственный реестр недвижимости (ЕГРН) вносится отметка о запрете любых действий с недвижимостью без личного участия собственника или его законного представителя.
Даже если кто-то покусится на ваше жилье и сфабрикует документы, отправив их на перерегистрацию собственности в свою пользу, Росреестр их не примет и оповестит вас о факте обращения.
По-хорошему подобные меры необходимо ввести также в отношении финансовых продуктов: кредитов, займов и т.д. Но здесь возникает конфликт с отраслью банковских услуг. С одной стороны необходимо упрощать обслуживание в цифровой среде, сокращать издержки на офис и сотрудников, с другой – повышаются риски незаконных операций с активами клиентов без их ведома.
Моя оборона – моя забота
Для защиты аккаунта можно порекомендовать следующие меры.
Прежде всего, относитесь к этому серьезно. Даже взлом вашей учетной записи на портале, о которой вы уже забыли, несет потенциальную угрозу – особенно, если вы используете один и тот же пароль для множества сайтов и приложений.
«Госуслуги» – это ценная находка для любого мошенника. Как минимум ваши паспортные данные, ИНН и СНИЛС попадают в руки преступника сразу после доступа.
Поэтому выработайте привычку к информационной гигиене:
— сложный пароль, записан на носителе и хранится в таком месте, куда имеете доступ только вы;
— регулярная смена пароля;
— обязательная двухфакторная идентификация (2FA) на портале – «логин/пароль» + код в SMS для ввода и доступа к учетке;
— контрольные вопросы в случае, если забыли пароль.
Этот джентльменский набор существенно усложнят жизнь злоумышленникам. При разборе многих кейсов «взлома» выясняется, что пострадавший сделал все для облегчения задачи преступников. Держать ценнейшие данные и ЭЦП под паролем «123456789» в современном мире – это настоящий пик легкомыслия.
2FA-идентификация – высокий уровень сложности, на которой поднимаются немногие злоумышленники.
Не забываем и об общей технике безопасности – при работе на компьютере, с которого вы заходите на портал, также нужно использовать сложный пароль, не хранить его в открытом доступе, например, в текстовом файле на рабочем столе.
Никаких инсталляций подозрительного софта из неизвестных источников, никакой передачи данных для доступа третьим лицам – даже самым близким, их представления о безопасности данных могут сильно отличаться от ваших.
Самое главное – аккуратнее с сайтами-фальшивками или фишингом. Это крайне популярный способ мошенничества, когда злоумышленники создают точную копию нужного вам портала и размещают его по похожему адресу, например вместо gosuslugi.ru вы логинитесь на gosusslugi.ru и сами сообщаете мошенникам «логин/пароль».
Обращайте внимание, чтобы сертификат https был валидным, внимательно читайте адрес в строке URL браузера, вы должны быть уверены, что зашли именно на настоящий сайт.
Из хороших новостей: проблемой, похоже, озаботились. Не так давно на «Госуслугах» появилась «капча» – сервис, который препятствуют взломам путем перебора паролей (брутфорс). Взломов станет значительно меньше… до того момента, пока мошенники не придумают способ обойти сервис. Таким образом, сохранять бдительность следует всегда, не надеясь, что кто-то обеспечит вам защиту.
Новые комментарии: