Портал госуслуг вновь проверяют на прочность
В новом виде мошенничества используются личные данные жертвы и предлагается привязать QR-код к странице на «Госуслугах». Как защититься от мошенников?
Читать на полной версииВ минувшие выходные «Коммерсантъ» написал о новой схеме мошенничества. Аферисты представляются по телефону сотрудниками портала, предлагают активировать или привязать к странице пользователя QR-код с данными о вакцинации или перенесенном заболевании и просят продиктовать код из СМС. Если назвать его мошенникам, они получат доступ к аккаунту и смогут украсть личные данные.
После того как стало известно о новой схеме мошенничества, портал госуслуг разослал письма с предупреждением: никому не сообщайте код из СМС, сотрудники сайта его никогда не спрашивают. В Минцифры россиянам тоже дали совет: если вам позвонили и предложили привязать QR-код к странице — сразу кладите трубку. Такая система безопасности вызывает вопросы. На портале госуслуг хранится много личной информации, в том числе данные паспорта, электронная цифровая подпись, банковские карты, сведения о недвижимости и автомобилях. По словам экспертов, с таким набором мошенники могут, например, легко оформить кредит или выдать себя за другого человека. Но проблема не в сайте, а в самих пользователях, говорит начальник отдела анализа цифровых угроз компании Infosecurity Александр Вураско:
Александр Вураско начальник отдела анализа цифровых угроз компании Infosecurity «Используются легкие пароли, причем одинаковые пароли для доступа к разным сайтам. Эти данные утекают, все это попадает в базу публичных утечек, потом можно просто перебором пробоваться атаковать, все это находить. Сам сервис достаточно хорошо защищен. Речь идет не о том, что взламывают сам сервис. Это социальная инженерия. Либо человек оставляет свои данные на фишинговом сайте, либо его как-то убеждают ввести где-то логин и пароль или передать их. Наверное, 99% всех атак связаны именно с этим. Против социальной инженерии не помогут никакие технические средства. Даже если нужно будет ввести десять кодов подряд, человеку также позвонят и попросят его предоставить десять кодов».
В рассылке от «Госуслуг» пользователям предложили два варианта, как защитить свой аккаунт. Настроить контрольный вопрос или подключить вход с подтверждением по СМС. Это можно сделать в личном кабинете. Такую двухфакторную аутентификацию Минцифры планирует сделать обязательной. Сейчас, по данным источников «Известий», около 90% пользователей входят на портал только по логину и паролю. Двухфакторная аутентификация делает аккаунт более защищенным, но стопроцентную безопасность никто не гарантирует. Продолжает руководитель аналитического центра Zecurion Владимир Ульянов:
Владимир Ульянов руководитель аналитического центра Zecurion «Очень важна просветительская работа в отношении тех людей, которые пользуются сервисами. Мы все переходим в цифровое пространство. Приходится осваивать эти новые сервисы, в том числе и людям старшего поколения, которым, безусловно, это тяжело. Задача владельцев сервисов — это не только сделать удобный и красивый сервис, но и донести до пользователей, как использовать его безопасно. Второй момент — исключить, наверное, утечку информации о потенциальных жертвах. Когда злоумышленник звонит человеку, и, если он пытается узнать, кто этот человек, какой у него аккаунт, конечно, нормальный, адекватный человек пошлет куда подальше. Но если обращаются по имени и отчеству, знают, что вот конкретный человек, что он когда-то там сдавал какие-то анализы, QR-коды получал, конечно, это вызывает высокий уровень доверия у жертвы».
Это уже не первая схема мошенничества с «Госуслугами», напоминает «Коммерсантъ». В сентябре прошлого года злоумышленники рассылали пользователям электронные письма от имени портала и похищали логины и пароли. Позже придумали новый способ: создали почти 50 фейковых сайтов госуслуг — внешне они были очень похожи на настоящий портал. С их помощью мошенники продавали фальшивые QR-коды, получали доступ к личным данным или заражали девайс жертвы вирусом. Хотя система безопасности «Госуслуг» здесь играет второстепенную роль: чтобы решить проблему, в первую очередь нужно повысить цифровую грамотность — лучше все же воспользоваться дополнительной защитой, которую портал предложил в письме.