Пользователи «Госуслуг» пожаловались на взлом личных кабинетов: что произошло и как от этого защититься

Содержание

Если у вас взломали личный кабинет банка

Очень много случаев, когда мошенники проникают в личный кабинет клиента банка, могут там набезобразничать. Зачастую, в личном кабинете уже висит предодобренное предложение банка взять кредит онлайн, мошенникам остается всего несколько действий, затем они может быть даже смогут вывести деньги на свои счета.

Иногда клиенты могут вовремя заподозрить что их взломали и успеть принять меры. Чаще всего взламывают личные кабинеты в Альфа-банке, ВТБ-онлайн, иногда мобильное приложение Хоум кредит.

Признаки взлома личного кабинета

Чтобы попасть в ваш личный кабинет, мошенники должны получить логин, пароль, а зачастую и код из СМС. Также войти в личный кабинет можно по полному номеру карты + дополнительные сведения и код из СМС. Но как все это получить? Допустим, номер карты и номер телефона они как-то получили, дальше самый прямой путь – позвонить вам и через социальную инженерию вынудить вас назвать код из СМС или звонящему, или продиктовать его воображаемому “роботу”. Но в этой статье мы рассмотрим способы без всяких звонков.

Также надеюсь, что вы достаточно благоразумны, чтобы не ставить по чьей-либо просьбе на свой смартфон приложение удаленного доступа к нему типа TeamViewer и не давать никому доступ (никому и никогда!).

В 2020 году очень много случаев было по банку ВТБ с фишинговыми сайтами, очень похожими на личный кабинет ВТБ-онлайн. Возможно, такие же фальшивые сайты есть и для Альфа-банка. Жертвы попадают на эти сайты, набирая какие-то запросы в Яндексе типа “зайти в личный кабинет втб онлайн” и кликая не глядя на попавшуюся рекламу, например.

Попав на фальшивый сайт, люди сами вводят свой логин, пароль, а затем и код из СМС:

Nikomu ne govorite etot kod, dazhe sotrudnikam banka! Kod xxxxxx. Vhod v VTB-Online. VTB

Но вход не получается, потому что с этим одноразовым кодом в личный кабинет в это самое время входят мошенники. Поэтому нужно быть очень внимательным именно в момент захода на сайт и получения СМС от банка с кодом.

Первый признак взлома: вы не смогли зайти в личный кабинет, не подошел СМС-код

В этом случае я бы сразу позвонил в банк и попросил блокировать личный кабинет (блокировка карт, кстати, не особо поможет).

Дальнейшие разборки нужно производить только в офисе банка с паспортом и ни в коем случае не разблокировать личный кабинет до полного выяснения всех обстоятельств.

Что делать в банке?

  1. Попросить список и/или количество устройств вместе с их названиями, с которых через мобильное приложение банка были входы в ваш личный кабинет. Если можно, получить об этом какой-то документ на бумаге. Свои устройства вы должны знать сами, если в списке есть лишние, то п.2
  2. Сбросить привязку ВСЕХ устройств, с которых были входы, включая ваше
  3. Узнать состояние ваших счетов, и если по какому-то счету явно не хватает денег – брать в банке выписку по счету за период, а затем справку по каждой непонятной операции, если ЭТО уже случилось, т.е. если деньги уже украдены

Еще я бы посоветовал удалить приложения банка с телефона, проверить, нет ли лишних приложений и поставить антивирус на свой телефон.

Если на вас взят кредит

Если оказалось, что мошенники успели взять кредит, но деньги никуда не ушли, нужно срочно получить все документы по кредиту. Ваша задача в этот же день:

  1. Вернуть деньги за страховку, наверняка банк ее включил в сумму кредита.
  2. Как можно быстрее полностью погасить кредит (взятыми деньгами), т.к. проценты капают каждый день.

Есть описание подобного случая:

В феврале 2019 г. без моего ведома Банк ВТБ предварительно одобрил предложение по кредиту в моем личном кабинете. От кредита отказывалась после звонка сотрудника ВТБ, но предложение так и продолжало висеть в моем личном кабинете. Заявку предварительно оформили не смотря на то, что с ноября 2018 г. официальной являюсь безработной и имею долгосрочную ипотеку в банке, которую ни разу не гасила досрочно. Заявкой на кредит смогли воспользоваться мошенники, взломав мой личный кабинет 22.02.2019 г. В течение часа-двух я перезвонила в банк ВТБ, чтобы уточнить вопрос по взламыванию моего личного онлайн кабинета, так как мошенники представлялись службой безопасности банка ВТБ. В банк ВТБ сказали, что это мошенники и заблокировали мой личной кабинет, и приняли заявление, что кредит взяли мошенники, взломав мой личный кабинет. посетила отделение банка на Химкинском бульваре в Москве с тем же вопросом, мне сказали, что на мне нет никаких кредитов, а вечером 25 февраля на мой счет пришел кредит на сумму 522 000 руб. и 75 000 руб. страховки, итого 597 254 руб. В этот же день мною было подано заявление в банк об аннулировании кредита. Так как оно рассматривалось 3 недели до 19 марта, приняла решение погасить кредит досрочно и вернуть сумму кредита и страховки в банк, чтобы на моем счету не висела огромная сумма, и на нее не считался процент, что и было сделано. Но в банке мне уже насчитали проценты по мошенническому кредиту в размере около 700 руб.

Как определить, что к вашему кабинету уже кто-то подключился?

  • Сбербанк – в мобильном приложении списка привязанных устройств нет. Но в личном кабинете Сбербанк-онлайн на сайте есть полный список с точным указанием модели. Слева вверху шестеренка (Настройки), пролистать чуть вниз:

image

  • Райффайзенбанк – в мобильном приложении можно посмотреть перечень устройств с точным указанием модели, самостоятельно: справа внизу “Ещё” – “Подтверждение операций” – там сразу показывает список “Мои устройства”. image И я не читал ни про один случай взлома в Райффайзен-банке.
  • Альфа-банк – ни в приложении, ни в личном кабинете Альфа-клик нет информации о подключенных устройствах. Но про них можно узнать через чат у службы поддержки, они могут посмотреть, с каких устройств происходил вход за последнее время.
  • ВТБ-онлайн – в мобильном приложении видно список подключенных устройств. Настройки – Уведомления от банка – Настроить уведомления

Технологии UG.RU 8 ноября 2022, 20:38

Фото: picjumbo.com, pexels

Безопасность персональных данных может оказаться под угрозой, если аккаунт на Госуслугах окажется взломанным.

Что делать, если взломали аккаунт

Сотрудники сервиса обращают внимание, что главным в случае взлома остается максимально быстрое восстановление доступа к учетной записи. После этого о взломе нужно заявить в полицию. Сервисом предлагаются следующие шаги.

Во-первых, необходимо восстановить доступ к учетной записи. Это несложно сделать онлайн через банк — если данные паспорта на Госуслугах совпадают с данными в банке.  В этом случае нужно перейти на сайт или в приложение банка-партнера, повторить регистрацию – банки сверят личность по паспортным данным либо другим документам. Затем придет пароль для входа на госуслуги.

При несовпадении данных восстановить доступ возможно лишь очно в центре обслуживания. Для этого понадобятся паспорт и СНИЛС. Эти документы нужно предъявить сотруднику центра и сказать о намерении восстановить пароль от Госуслуг. После проверки документов сотрудник узнает ваш актуальный адрес электронной почты и телефон, затем пришлет одноразовый пароль. При первом входе в аккаунт нужно использовать данный пароль и СНИЛС как логин, затем – необходимо сменить пароль.

Во-вторых, нужно подключить вход по смс. Это делается для защиты учетной записи на госуслугах. При каждом входе код доступа будет приходить в смс. В-третьих, нужно определить, где использовалась учетная запись, пока она находилась в чужих руках. Для этого в личном кабинете надо через раздел «Безопасность» перейти на вкладку «Действия в системе». Если аккаунт был использован на Госуслугах, следует обратиться в службу поддержки. Если это произошло на стороннем ресурсе — в службу поддержки этого интернет-ресурса.

В-четвертых, нужно подать заявление в МВД, чтобы сообщить о взломе и обо всей известной информации – времени взлома или чужих контактных данных, указанных в профиле.

Как обезопасить аккаунт от взлома

Чтобы защитить свою учетную запись на Госуслугах, нужно использовать уникальную связку логина и пароля. Важно хранить данные для входа в безопасном месте и никому их не передавать. Хорошо использовать двухфакторную аутентификацию и подключить уведомления от Госуслуг на электронную почту. Также стоит добавить в личном кабинете контрольный вопрос — он запрашивается при восстановлении доступа.

Следует помнить, что лучше не заходить в личный кабинет со случайных гаджетов, из интернет-кафе либо других непроверенных мест. Важно использовать лишь лицензионное программное обеспечение, устанавливать все рекомендованные обновления безопасности. Важно также иметь последнюю версию лицензионного антивирусного ПО. Не стоит загружать программы и данные из непроверенных источников, а также посещать сомнительные сайты.

«Продвинутым» пользователям эксперты советуют регулярно контролировать журнал регистраций событий на портале госуслуг. Так можно быть уверенными, что посторонних входов в персональный аккаунт не было. Историю посещений можно увидеть через вкладку «Действия в системе», сообщает РБК.

Стоит также отключить на портале госуслуг возможность передавать личную информацию третьим лицам и делать это лишь по запросу самого пользователя – так никакая кредитная или микрофинансовая организация не сможет от его имени оформить кредит. Кроме того, обращайте внимание на написание названия сайта в адресной строке. Мошенники нередко используют фишинговые веб-ресурсы, когда вместо доменного имени «Госуслуги.ру» пользователь сможет попасть на портал с похожим адресом, например «Госуслуги123.ру» или аналогичным.

Как придумать надежный пароль

Насколько устойчив ваш пароль, сегодня помогают проверить различные онлайн-сервисы. Важно составить такой пароль, который, как рассчитывают эти сервисы, можно взломать через миллионы лет. Аферисты могут взломать пароль методами перебора, персонального взлома, социальной инженерии, фишинга. Программа для перебора и словарик из 10 тысяч самых популярных паролей позволяет открывать файлы пользователя. Это самый простой метод, который дает возможность взломать пароль почти в трети случаев.

Чтобы составить надежный пароль, можно взять за основу фразу из песни, каждое слово которой написать с прописной буквы (либо любого символа). Можно переставить слова в обратном порядке. Вместо пробелов можно вставлять цифры по количеству букв в предыдущем слове. Другой вариант: заменять в слове часть букв цифрами, менять местами последнюю и первую буквы. Полезно в середине слова использовать какой-то символ.

Оценить:Читайте также Образование UG.RU

СПбГУ объявил студенческий конкурс на создание марки к 300-летию вуза

Образование UG.RU

Расширен перечень иностранных вузов и научных организаций, признаваемых в России

Новости от партнёровНовости СМИ2 Время прочтения 8 мин Просмотры 52K Информационная безопасность *

В последнее время в СМИ обсуждаются множественные случаи взлома портала “Госуслуги”. В этой статье я постараюсь выяснить что из этого миф и выдумки, а что является правдой, а для этого придется самому взломать госуслуги.

Внимание! Данный текст является описанием возможности в экспериментальных целях. Напоминаем, что повтор подобных действий может привести к нарушению законодательства.

Для экспериментов я использовал свой собственный аккаунт, содержащий доступ к моим данным и данным моего юр лица. Доступ осуществляется как с помощью связки логин/пароль + смс, так и ЭЦП. В ходе экспериментов я буду выключать те или иные функции безопасности аккаунта (чего вам делать крайне не рекомендую) и проверять изменения и возможность захвата аккаунта. Также я зарегистрирую новый аккаунт для проверки функций безопасности, настроенных по-умолчанию.

Верхний аккаунт физ. лицо, защищен при помощи 2FA, нижний, юр. лицо, защищен при помощи ЭЦП.

Миф первый. Взлом аккаунта

Онлайн-мошенники начали взламывать аккаунты граждан на сайте госуслуг и через них брать кредиты и микрозаймы, предупредили опрошенные РБК эксперты. РБК.

Я предполагаю что журналисты имели ввиду брутфорс аккаунтов, только не знали как это называется. Что ж, проверим насколько аккаунт защищен от атак грубой силы.

Для начала попробуем сбрутить известный мне пароль, добавив его в пару десятков других. В результате через несколько попыток получаю отлуп в виде капчи (формально конечно reCAPTCHA):

Ок, попробуем другой метод – будем пытаться “попасть” в пароль с первой попытки: для этого возьмем несколько учеток и один пароль (из популярных) и попробуем взломать аккаунт. Базы email/телефонов валяются в интернете на каждом шагу, но я сделаю синтетическую, чтобы случайно не затронуть чужой аккаунт. Возможно к старым аккаунтам получить учетную запись и пароль реально, но вот к свежим аккаунтам это довольно проблематично – система просто не даст создать простой пароль.

Ввод пароля к новому аккаунту

Ок, еще можно попробовать взять заведомо валидный или часто встречающийся пароль и попробовать сбрутить логин под эту связку.

Брутфорс по имени пользователя

К моему сожалению на третьей попытке получаем капчу (.

Как еще злоумышленники могут получить пароль учетной записи? С помощью фишинга и т.н. credential stuffing, используя “утекшие” или скомпрометированные на других ресурсах учетные записи пользователей.

Пример фишинг-сайта

От такого рода атак (если вы везде используете один пароль) вас спасет только 2FA. Говорить при этом что взломали ваши госуслуги как сервис или почту – ну такое себе.

Провести успешные атаки на аккаунт с ЭЦП не удалось.

Выводы: взлом аккаунтов на самих госуслугах это миф. Пользовательские аккаунты могут быть захвачены в результате фишинговой/credential stuffing атаки.

Рекомендации: включить 2FA, не использовать одинаковые пароли.

Миф второй. Может быть уязвимо веб-приложение?

Интернет-пользователи пожаловались на хакеров, которые взломали их аккаунты на «Госуслугах» и дали согласие на обработку персональных данных для одного из сервисов «Единой России». В партии считают это информационной атакой. Взлом мог затронуть значительное количество пользователей, полагают эксперты по кибербезопасности. Forbes.ru.

Ну раз эксперты говорят что значительное число, значит скорее всего взломали сайт. Ок, давайте проверим на прочность само веб-приложение и веб-сервисы.

Анализ служебных заголовков, проверка возможности предиктивности кук или сессионных ключей не привели к возможности перехвата чужого аккаунта.

GET /health/?_=0.37814359301759837&pageId=overview&event=/api/pay/v1/informer/fetch/&timing=987&referrer=https://www.gosuslugi.ru/&result=0&new-lk=true HTTP/1.1 Host: www.gosuslugi.ru Cookie: userSelectedLanguage=ru; usi_portal=rBApZWEatnY7Ga/NXc+tAg==; TS01725984=01474e7625a71dda9f8456d6ce5cd5dc41ef0a96249ef858efe85de5e983f9201abd763e4e56ecc2246ef9c01435f9883b192ef137e28d0929808520b579d93803ed91d91568b1f83ebc088aca999ee10393da247ae222a208b24e0ed85c09d5ee5fca8e25; TS01f05634=01474e7625fcda3a0e24f4b7579b3dbc89b2cf6aeba3b975dc39efce481f1bfe2918eb3adfa394893f39f8222c918bca249796ef5fbaecc29e0a0a4aae58505c8c8ec858d8e168be74c3f657bf3a654508289c4f7fd57bbb17edf1f090f3cce2d572ff98b9ba8d695b141102f50f102b58b4f2e76b; userSelectedRegion=25401000000; ns-nlb=ffffffffaf18361245525d5f4f58455e445a4a423660; timezone=3; login_value=XXXX; bs=gixPqiaMdSyF7xRHfD4UZzuqvbvnKGgr4PaZjoLtbsbfPyLSltE-tX-dNcSlExYQjoOu7fUiZIzJAZzADA79buS_BYfmP_AKZTDfpYmhDmizTmEdLUwKP-eNbP2nskZFob2l-LRt5B5FDxy3_93mZkvgj9rQQRVj5ziqe031VV8R4aby8VczbjfodDDo6toZCc8h2usCjiA9Cj6SYyOpPyKbeIZ9XqeTS0PRiEelzghwOkpYvEl7WnP8KO69YNO8UeYbIWFZMYKrMkSfJI6guzamRhlNhGpOtllbU0Di5KR1LQDnSWd44ylThA-68cFPNERdhCJ2PkWrByIYVFx9G-6W-deh_Icd-bouk7yZyRu95ln9Zfl-17jTJOgoMfZt5F34jGEza78RytYza5QTYljyzFZxeFq_U8ddwfI3chscFwURN5cgfTyXy8aiY_w3Eyasu2reh9WzrCBbehn1hw|MTYyOTE0MTMzNg|U0gxQVMxMjhDQkM|yqpAYnGPY4EpY3wDXOJpBA|ZKg3q_Wol4sWJx38nbEUv0Lf9XE; NSC_q00qhvtubu=ffffffffaf18375345525d5f4f58455e445a4a423660; acc_t=eyJ2ZXIiOjEsInR5cCI4IkpXVCIsInNidCI6ImFjY2VzcyIsImFsZyI6IlJTMjU2In0.eyJuYmYiOjE2MjkxNDEzNDcsInNjb3BlIjoiaHR0cDpcL1wvZXNpYS5nb3N1c2x1Z2kucnVcL3Vzcl9pbmY_bW9kZT13Jm9pZD0xMTUzNjYzNDkzIGh0dHA6XC9cL2VzaWEuZ29zdXNsdWdpLnJ1XC91c3Jfc2VjP21vZGU9dyZvaWQ9MTE1MzY2MzQ5MyBvcGVuaWQgaHR0cDpcL1wvZXNpYS5nb3N1c2x1Z2kucnVcL3Vzcl90cm0_bW9kZT13Jm9pZD0xMTUzNjYzNDkzIiwiaXNzIjoiaHR0cDpcL1wvZXNpYS5nb3N1c2x1Z2kucnVcLyIsInVybjplc2lhOnNpZCI6IjE2ODg2NTU4LTk0YTAtNDEyYS05MWM2LWFmNjExZDgzNDA3MiIsInVybjplc2lhOnNial9pZCI6MTE1MzY2MzQ5MywiZXhwIjoxNjI5MTc3MzQ3LCJpYXQiOjE2MjkxNDEzNDcsImNsaWVudF9pZCI6IlBHVSJ9.UJiZPWQ_WpX6GB_U9SNQQJqgCVHKn0YmuAx5lCCqkfxV2nx7KYqtU3X6_IXRoCvNE2HHRdtYJkQ2WRzD7wjbUxuutHsByMLy-YNzIW-eR4ts8bWMwChykIifQoyp6wuliLSihBIkpoqBsRYf7CyxXZqWvyDupWEkQkwFfHc_r4VbO0IN89nedrcjPuVQsRMIhsle8Zwhlr9OU-whvBxIPQsHJFZTPB4HuuNfZbjR1l4f5MyqqulYh5njfj0rk7oPgYimAtF5lU5GuJMtDmggRLj7dbRg95kRTMtbJrgJD2FEP2nNBh-ez_y8sZX3SppnYGCy6ga9V_OW1C6ylKNjhA; u=1153663493; nau=b1d60b0a-cfea-5cfb-47b3-73f3beb22879; marked_as_delivered=eyJ2ZXIiOjEsInR5cCI6IkpXVCIsInNidCI6ImFjY2VzcyIsImFsZyI6IlJTMjU2In0.eyJuYmYiOjE2MjkxNDEzNDcsInNjb3BlIjoiaHR0cDpcL1wvZXNpYS5nb3N1c2x1Z2kucnVcL3Vzcl9pbmY_bW9kZT13Jm9pZD0xMTUzNjYzNDkzIGh0dHA6XC9cL2VzaWEuZ29zdXNsdWdpLnJ1XC91c3Jfc2VjP21vZGU9dyZvaWQ9MTE1MzY2MzQ5MyBvcGVuaWQgaHR0cDpcL1wvZXNpYS5nb3N1c2x1Z2kucnVcL3Vzcl90cm0_bW9kZT13Jm9pZD0xMTUzNjYzNDkzIiwiaXNzIjoiaHR0cDpcL1wvZXNpYS5nb3N1c2x1Z2kucnVcLyIsInVybjplc2lhOnNpZCI6IjE2ODg2NTU4LTk0YTAtNDEyYS05MWM2LWFmNjExZDgzNDA3MiIsInVybjplc2lhOnNial9pZCI6MTE1MzY2MzQ5MywiZXhwIjoxNjI5MTc3MzQ3LCJpYXQiOjE2MjkxNDEzNDcsImNsaWVudF9pZCI6IlBHVSJ9.UJiZPWQ_WpX6GB_U9SNQQJqgCVHKn0YmuAx5lCCqkfxV2nx7KYqtU3X6_IXRoCvNE2HHRdtYJkQ2WRzD7wjbUxuutHsByMLy-YNzIW-eR4ts8bWMwChykIifQoyp6wuliLSihBIkpoqBsRYf7CyxXZqWvyDupWEkQkwFfHc_r4VbO0IN89nedrcjPuVQsRMIhsle8Zwhlr9OU-whvBxIPQsHJFZTPB4HuuNfZbjR1l4f5MyqqulYh5njfj0rk7oPgYimAtF5lU5GuJMtDmggRLj7dbRg95kRTMtbJrgJD2FEP2nNBh-ez_y8sZX3SppnYGCy6ga9V_OW1C6ylKNjhA; ns-nlb-ds=ffffffffaf18365645525d5f4f58455e445a4a423660 User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:91.0) Gecko/20100101 Firefox/91.0 Accept: */* Accept-Language: ru-RU,ru;q=0.8,en-US;q=0.5,en;q=0.3 Accept-Encoding: gzip, deflate Dnt: 1 Referer: https://lk.gosuslugi.ru/ Sec-Fetch-Dest: script Sec-Fetch-Mode: no-cors Sec-Fetch-Site: same-site Te: trailers Connection: close

Ничего интересного обнаружить не удалось, далее проверим сайт на уязвимости по OWASP TOP 10. Для этого я попытался использовать OWASP ZAP и Burp Suite Pro в режиме активных сканеров и получал ожидаемую капчу и блокировку WAF’ом.

Ок, автоматика нам не помогла, поищем “руками”. В течение пары часов потыкав формы и параметры удалось обнаружить self-XSS в third-party сервисе, но раскрутить эту уязвимость до приемлемого вектора не удалось, да и уязвимость “такая себе”, что ее зачастую не валидируют и в bug bounty программах.

Self-XSS. Можно выстрелить себе в ногу.

Хотя уязвимость и пустяковая – на всякий случай зарепортил через контакты, оставленные по известному многим исследователям и багхантерами well-known пути: gosuslugi.ru/security.txt.

# Rostelecom Cybersecurity Center responsible for vulnerability management and incident response Contact: mailto:infosec@gosuslugi.ru

# Our OpenPGP key Encryption: https://gosuslugi.ru/.well-known/pgp-key.txt

Expires: Sun, 21 Jul 2026 08:00:00 +0300

Дальнейшие попытки для выявления более серьезных векторов нещадно карались защитными средствами. Были выявлены несколько вроде как устаревших js-библиотек, но проэксплуатировать эти уязвимости не представлялось возможным. Также было выявлено несколько мелких логических уязвимостей.

Выводы: взлом сайта госуслуги является мифом. Даже если высококвалифицированный злоумышленник и сможет что-то найти, то при попытке эксплуатации/обхода средств защиты получит бан и пативен от команды SOC.

Рекомендации: внедрение bug bounty программы для выявления логических уязвимостей.

Миф третий. Утечка данных

Но эксперты по кибербезопасности уверены: произошла утечка информации с серверов портала. Благодаря этому аферисты легко могут подменить данные для входа в систему и получить доступ к любому аккаунту. Vesti.ru

Опять послушаем экспертов и попробуем поискать утечки. В первую очередь используем google-dork’и.

Поиск pdf-файлов.

Ничего полезного найти не удалось, поэтому решено было продирбастить каталоги и файлы, вдруг разработчики оставили что-то критичное. Пришлось немного оттюнить выхлоп ffuf, чтобы отсеять лишнее.

Ffuf отработал, нашлось немного (

При анализе найденных файлов не удалось найти какую-то критичную информацию.

В основном попадались сервисы обращений, какие-то скраперы и т.д.

Проверка теневых форумов также не выявила возможностей получить/купить доступ или аккаунты.

Ничего интересного найти не удалось.

Выводы: Массовая утечка аккаунтов это миф. В публичном доступе на момент публикации статьи отсутствуют данные о каких-либо утечках.

Рекомендации: использовать средства мониторинга внешних источников.

Миф четвертый. Берем кредит на госуслугах

Особое возмущение Ивана Цыбина вызвал тот факт, что с помощью портала «Госуслуг» можно подтвердить личность любому кредитному учреждению и брать займы. Fontanka.ru

Ок, проверим что же это такое. Найдем сайт (их тысячи) оформления кредита и попробуем авторизоваться через госуслуги.

Авторизация в сервисе.

Действительно, авторизоваться в сервисе можно с помощью госуслуг, но в тоже время это можно сделать и через соцсети/почту и т.д.

При наличии 2FA авторизации необходимо ввести еще и смс и только тогда сторонний сайт получит доступ к вашим данным.

Давайте разберем подробнее. Ваша верифицированная учетная запись содержит ваши персональные данные – паспорт, СНИЛС, ИНН – это как ваш бумажник, только электронный.

Для идентификации ваших данных на различных ресурсах может использоваться Единая Система Идентификации и Аутентификации портала Госуслуг, условно это аналог знакомого многим OAuth. Что это значит: в онлайн – микрозаймы удостоверяют ваши данные с помощью ЕСИА > госуслуги/соцсеть/почта подтверждают ваши данные > микрозайм выдает кредит (не госуслуги!). Оффлайн: вы приходите в микрозаймы > даете паспорт > микрозайм выдает кредит (не паспортный стол!). Я думаю аналогия понятна.

Можно ли получить микрозаем через Госуслуги: https://www.gosuslugi.ru/help/news/2019_02_06_microloan

Выводы: выдача кредитов госуслугами это миф. Кредиты выдают микрозаймовые организации.

Рекомендации: по умолчанию всем пользователям включить использование дополнительных средств верификации/MFA.

Цифровая гигиена

Если вы живете в эпоху цифровизации и хотите безопасно пользоваться ее плодами – следуйте нескольким простым советам (это касается не только госуслуг):

Защитите свои данные.

Тем более что и на самих госуслугах это крайне рекомендуют.

Подытожим:

  • Используйте сложный, уникальный пароль от аккаунта.

  • Включите двухфакторную аутентификацию по смс/с помощью специального приложения.

  • Включите историю входов и активностей.

  • Расскажите про это и проверьте настройки у ваших родственников/знакомых чтобы обезопасить их данные.

В России активизировались мошенники, вскрывающие личные кабинеты сотовых абонентов, рассказали «Известиям» источники, близкие к операторам связи. В компаниях заявили, что знают о такой схеме. По словам собеседников издания, в конце апреля такие случаи были крайне редкими, а сейчас счет идет на сотни инцидентов в неделю. Злоумышленники вымогают данные для входа в личные кабинеты, представляясь сотрудниками операторов — доступ к ним позволяет переадресовывать входящие звонки на телефоны третьих лиц. Таким образом аферисты получают доступ к банковским счетам жертв, аккаунтам в соцсетях и мессенджерах, предупредили связисты. Эксперты отметили, что атака на мобильных абонентов — возрождение забытой мошеннической схемы, которая была распространена несколько лет назад. Злоумышленники стали снова ее использовать, так как появившиеся позже приемы дискредитировали и исчерпали себя, считают специалисты.

Угон по SMS: мошенники грозят утерей переписок из Telegram Кому интересны ваши чаты и почему не надо открывать ссылки от незнакомцев

Кабинетные мошенники

Об активизации мошенников, взламывающих личные кабинеты сотовых абонентов, «Известиям» рассказали источники, близкие к двум операторам. По словам одного из них, до конца апреля такие инциденты были единичными, а теперь еженедельно счет им идет на сотни.

— Злоумышленники обзванивают абонентов под видом службы клиентской поддержки оператора. Они указывают различные причины звонка: предложение по смене тарифного плана, временная блокировка карты, подключение опций, скидок, необходимость замены карты, — перечислил один из собеседников «Известий». — Цель этих действий — войти в мобильный личный кабинет абонента. Для этого у жертвы запрашивают необходимое для входа SMS-подтверждение, которое приходит на номер абонента.

В личном кабинете злоумышленники настраивают переадресацию SMS либо звонков с номера жертвы на свой — это позволяет им получать аутентификационные сообщения для подтверждения разного рода операций, пояснил собеседник «Известий». Например, мошенники могут вывести средства с банковских карт абонента или оформить на него кредит, предупредил собеседник «Известий».

Фото: РИА Новости/Павел Бедняков

Более того, зачастую аферисты вынуждают жертву самостоятельно подключать услугу переадресации вызовов или SMS со своих мобильных устройств, добавил источник редакции. Для этого в ходе разговора злоумышленники просят набрать USSD-команду и номер, на который будут перенаправлены звонки и сообщения.

Отборный номер: в России появилась общая система блокировки спама Как абоненты смогут уменьшить количество нежелательной рекламы

— Нам известно о таком способе мошеннических действий, — подтвердили в пресс-службе «Вымпелкома» (работает под брендом «Билайн»). — Хотелось бы подчеркнуть, что представители оператора связи никогда не запрашивают коды и другую конфиденциальную информацию для доступа в личный кабинет.

Об этом же напомнила представитель Tele2 Дарья Колесникова.

Если у клиента запрашивают такие данные, следует немедленно прервать диалог. Рекомендуем связаться со службой поддержки оператора или проверить информацию по интересующей услуге на сайте, — посоветовала она.

В «Мегафоне» жалоб на такого рода правонарушения не получали, утверждает его директор по предотвращению мошенничества и потерь доходов компании Сергей Хренов. В личном кабинете оператора внедрены защитные механизмы, которые не позволяют переадресовывать SMS-сообщения с кодами подтверждений от банков, заверил он.

— Мы рекомендуем абонентам никому не сообщать любые пароли и завершать разговор при первом же подозрении на мошенничество. Также абоненты могут сообщать о подобных звонках в call-центр или оставить жалобу на сайте, чтобы специалисты заблокировали эти номера, — отметил Сергей Хренов.

«Известия» направили запрос в МВД.

Фото: ИЗВЕСТИЯ/Кристина Кормилицына Фикция по вызову: мошенники стали использовать для подмены номера россиян Почему эксперты считают новый метод проявлением кибервойны и чем он опасен

Повторение пройденного

Источники «Известий» назвали взлом личных кабинетов абонентов новым видом мошенничества. Однако сами операторы и участники рынка информационной безопасности утверждают, что речь идет не об инновации, а о возрождении старой разновидности фрода, действовавшей несколько лет назад — абоненты уже успели забыть про нее.

Звонки под видом сотрудников операторов связи были распространены еще до появления приема со звонками от якобы работников банков, рассказали в МТС. Представитель компании добавил, что на сети оператора действует антифродовая система, которая пресекает подобные действия. Она позволяет в режиме реального времени отслеживать мошеннические звонки и оперативно блокировать их, утверждает он.

Схема с личными кабинетами — это одна из классических «легенд» злоумышленников, возвращение к ней можно связать со снижением эффективности других схем, сказал главный эксперт «Лаборатории Касперского» Сергей Голованов. Важно оставаться бдительными, не передавать никому конфиденциальные данные, подчеркнул он. Эксперт согласился с рекомендациями операторов: если звонящие говорят очень убедительно, то стоит положить трубку и перезвонить по официальному номеру телефона организации. По словам Сергея Голованова, в целом в апреле и мае количество звонков от аферистов по сравнению с мартом существенно увеличилось.

— В эти месяцы мы видим периодические всплески и падения, в среднем активность телефонных мошенников уже вышла примерно на уровень февраля, — утверждает Сергей Голованов.

Фото: ИЗВЕСТИЯ/Павел Волков Тревожный звоночек: телефонные мошенники обновили сценарий Чем опасна новая схема злоумышленников, похищающих деньги со счетов россиян

По данным приложения Kaspersky Who Calls, в конце марта – начале апреля 2022 года доля пользователей в России, которым поступали звонки с подозрением на мошенничество, вновь стала постепенно расти и достигла 4,9%, сообщали в «Лаборатории Касперского». Ранее, в конце февраля, наблюдалось снижение этого показателя, по предварительным данным, — до 3,8%. Для сравнения: в декабре 2021 года он держался в среднем на отметке 10–11% в зависимости от недели, отмечали в компании.

Как ранее сообщали в МВД, в январе–ноябре 2021 года ущерб от телефонного мошенничества в РФ составил 45 млрд рублей. Сумма ущерба от одного инцидента варьируется от 15 тыс. рублей до десятков миллионов, зафиксированный максимум — 25 млн рублей, отмечал замначальника следственного департамента МВД Данил Филиппов.

Очевидно, взяться за старое преступников заставила дискредитация более современных и широко известных схем телефонного мошенничества, считает гендиректор TelecomDaily Денис Кусков. Всевозможные «сотрудники банков» и «сотрудники полиции» уже набили оскомину — граждане достаточно информированы о рисках, связанных с общением с ними, отметил эксперт. В условиях, когда привычные методы перестают работать, возвращение к старым подзабытым уловкам вполне логично, заключил он.

Читайте также Реклама

Почти половина россиян используют интернет-банк для управления своими счетами. При этом мало кто задумывается, что рискует стать жертвой хакеров, а такой риск есть. По прогнозам экспертов, количество атак на интернет-банки в 2019 году увеличится. Особенную активность злоумышленники будут проявлять в период праздников. Как защитить свой личный кабинет, разбирался Лайф.

image

Фото © Pixabay

По данным Центробанка, доля пользователей онлайн-приложений кредитных организаций увеличилась с 31,5% в 2017 году до 45,1% в 2018-м. Личный кабинет на сайте банка позволяет совершать платежи и переводы, открывать вклады и оставлять заявки на кредиты дистанционно — без посещения отделений. Впрочем, при работе с онлайн-приложением кредитной организации нужно быть начеку: взломы интернет-банков являются одним из векторов атак хакеров. Ущерб от их действий снизился: в 2018 году, по данным ЦБ, они украли у россиян 76,5 млн рублей, тогда как годом ранее — 1,08 млрд. Но несмотря на снижение потерь от действий кибермошенников, клиентам банков уже стоит подготовиться к следующему году: специалисты по кибербезопасности ожидают увеличения активности злоумышленников.

Количество атак с целью хищения средств у россиян будет расти, считает директор департамента информационной безопасности банка “Открытие” Владимир Журавлёв. По его словам, это связано с увеличением числа клиентов, которые пользуются дистанционными сервисами: как банковскими, так и другими (госуслуги, интернет-магазины, заказы билетов, школьные порталы). Особенно мошенники активизируются с 30 декабря по 8 января, когда бдительность пользователей усыплена, отметили в компании Attack Killer.

— Любые большие праздники или крупные события — Новый год, чёрная пятница или, допустим, чемпионат мира по футболу сопровождают всплески преступности в Интернете, — констатировал замруководителя лаборатории компьютерной криминалистики Group-IB Сергей Никитин. — Хакеры используют любые способы, чтобы заработать. К сожалению, большинство пользователей становятся их жертвами из-за собственной невнимательности и халатности.

image

Фото © Shutterstock Inc

Специалисты по кибербезопасности предупреждают, что в 2019 году кибермошенники будут использовать уже обкатанные схемы взлома интернет-банков: фишинг, трояны, социальную инженерию и DDOS-атаки.

Основной вектор атак хакеров связан с фишингом, отметил Сергей Никитин. При нём на электронную почту жертвы приходит письмо со ссылкой, которая имитирует интерфейс кредитной организации. Часто подобные ссылки публикуются на различных форумах. Если клиент переходит по ним, у него выманивают логин-пароль для входа в онлайн-кабинет на сайте банка. По данным Group-IB, ущерб от фишинга во втором полугодии 2017-го — первом полугодии 2018-го составил 250,9 млн рублей. При этом ежедневно фиксируется примерно 1274 подобных атак, констатировал Сергей Никитин.

Всего выручка фишинговых ресурсов, использующих бренды известных банков и компаний, в среднем за месяц работы составляет 3 млн рублей, — рассказал эксперт. — Посетителями таких сайтов ежемесячно становятся около 200 тыс. человек.

Чтобы не пострадать от подобного мошенничества, нельзя переходить по ссылкам из писем с незнакомых адресов, советуют в компании Positive Technologies. По словам специалистов организации, чтобы попасть на ресурс финансового института, нужно вбить прямой адрес его сайта в браузере и отследить, чтобы тот работал в защищённом режиме (с протоколом https).

Если вы давно не обновляли антивирусы на ПК, мошенники могут взломать ваш интернет-банк с помощью вредоносных программ (как правило, троянов). Благодаря им злоумышленники получают доступ к экрану ПК и могут перехватить ваши логин и пароль от личного кабинета на сайте банка. Также трояны помогают хакерам своровать куки (идентификатор сессии в онлайн-банке) и получить доступ к вашему счёту. По словам Сергея Никитина, схема также будет популярной, в частности, в праздники.

image

Фото © Pixabay

— Пользователи могут скачать и открыть новогоднюю открытку или установить приложение-агрегатор купонов и скидок, за которыми скрываются трояны или вирусы ПК, — пояснил эксперт.

Чтобы не стать жертвой этого способа атак, в Positive Technologies рекомендуют устанавливать и регулярно обновлять антивирусы.

Третий метод захвата доступа в личный кабинет клиента банка — социальная инженерия. Хакер может позвонить вам, представиться сотрудником IT-департамента кредитной организации и попросить логин-пароль для входа в онлайн-приложение под любым предлогом. Например, мошенник может сказать, что сейчас идёт обновление базы клиентов, которые используют интернет-банк.

— Существует целенаправленная и широковещательная социальная инженерия, — отметил директор департамента безопасности Московского кредитного банка Вячеслав Касимов. — В первом случае хакеры получают как минимум контактные данные пользователей интернет-банка и адресно выманивают у них логин-пароль для входа в онлайн-кабинет, представляясь теми же сотрудниками службы безопасности кредитной организации. При втором сценарии мошенники занимаются прозвоном базы номеров или отправкой СМС-сообщений о проблемах с доступом в интернет-банк и просьбой перезвонить по определённому телефону. Когда клиент сделает это, у него выманивают логины и пароли.

Также хакер может попросить вас сгенерить якобы тестовые транзакции в личном кабинете, после чего средства уйдут со счёта. На протяжении первой половины 2018 года доля атак с помощью социальной инженерии составляла около 30%, указали в Positive Technologies.

Чтобы не попасть на удочку злоумышленников, необходимо помнить, что логин-пароль от интернет-банка нельзя сообщать третьим лицам. Сотрудники кредитных организаций никогда не запрашивают у клиентов подобную информацию, отмечают в Positive Technologies.

image

Фото © Pixabay

Кроме того, кибермошенники могут устроить DDOS-атаку на ваш интернет-банк, чтобы скрыть уже совершённые хищения, отметила управляющий партнёр аудиторской компании 2К Тамара Касьянова. Если вы не можете зайти в онлайн-приложение, постарайтесь проверить состояние счёта другим способом — например, обратитесь в банк, советует Тамара Касьянова. Возможно, злоумышленники уже увели деньги и с помощью DDOS-атаки заметали следы, пояснила она.

Специалисты по кибербезопасности рекомендуют при работе с интернет-банком применять дополнительные способы безопасности. В частности, советуют использовать для входа в личный кабинет одноразовые пароли, приходящие на телефон. Для доступа в интернет-банк лучше сгенерить не примитивный пароль, а набор цифр и букв, включая заглавные, указал директор по развитию бизнеса “БКС премьер” Антон Граборов. По его словам, нужно регулярно менять пароль, но в реальности это делают единицы банковских пользователей.

Необходимо обращать внимание на название кредитной организации и её сайт, когда вы вводите её адрес в браузере, добавил он. Даже одна ошибка в символе может привести вас на ресурс мошенников, констатировал Антон Граборов. По его словам, дополнительно необходимо установить лимиты на переводы между счетами: это спасёт от потери всех средств в случае взлома личного кабинета. Самый простой и удобный способ контролировать всё, что происходит с вашими финансами, — подключить СМС-оповещение или push-уведомления, чтобы информация обо всех транзакциях приходила на телефон, позволяя всегда держать руку на пульсе.

Клиентам банков нужно проявлять повышенную бдительность при работе с онлайн-приложениями кредитных организаций, особенно в начале 2019 года. Новогодние каникулы — привлекательное время для разного рода кибератак, так как в банках — только дежурный персонал, остальные в отпусках и все сильно расслаблены.

Оцените статью
Рейтинг автора
4,8
Материал подготовил
Егор Новиков
Наш эксперт
Написано статей
127
А как считаете Вы?
Напишите в комментариях, что вы думаете – согласны
ли со статьей или есть что добавить?
Добавить комментарий