Владея чужим аккаунтом на “Госуслугах” можно таких дел наворотить: всего пара нажатий, и ваши машина, квартира, земля будут проданы", — отмечается в публикации. Благодаря этому мошенники получают и данные доступа к «Госуслугам», и информацию об абоненте. Внимание на новую схему обмана пользователей обратили авторы Telegram-канала True OSINT (Open Source Intelligence, разведка по открытым источникам). Как сообщается в статье, неизвестный злоумышленник зашел в «Госуслуги», снял галочки об уведомлениях о входе и действиях в личном кабинете, а затем начал авторизоваться в десятках сервисов, получая огромный объем персональных данных, в том числе и финансовых. Новая Схема Обмана. Мошенники взламывают Госуслуги Чтобы украсть личные данные, продать их на черном рынке или взять микрокредит на ваше имя. «Госуслуги» не делают никаких социальных выплат. Через портал их можно только оформить, написав заявление, которое затем будет перенаправлено в организации, которые непосредственно принимают решения о выплатах, например, в Пенсионный фонд.
Воронежцев предупредили о новой схеме мошенничества через «Госуслуги»
Мошенники просит его зайти в свой личный кабинет на портале «Госуслуг» и продиктовать 4 цифры из смс-сообщения, которые человек получит на телефон. Новая схема мошенников с помощью официального сайта Госуслуг! Как разводят граждан мошенники на госуслугах и как защититься от кражи персональных данных? Под видом специалистов известных телекоммуникационных компаний мошенники стараются получить доступ к аккаунту человека на «Госуслугах».
Мошенники получили доступ к госуслугам, что делать?
Криминал - 18 октября 2023 - Новости Екатеринбурга - Мошенники распространяют сообщения как по СМС, так и через электронную почту о том, что аккаунт пользователя на "Госуслугах" взломан или заблокирован из-за подозрительной активности. Мошенники получили доступ к госуслугам, что делать? Рассказываем новый сценарий мошенников и как они получают доступ к личному кабинету на «Госуслугах». Когда им удается заполучить доступ к личному кабинету на «Госуслугах», они могут воспользоваться полученными на портале данными жертвы и оформить кредит.
Мошенники взломали «Госуслуги»: чем это грозит и что делать?
Он не обязательно должен выглядеть так, словно по клавиатуре прошел кот. Но длинный пароль гораздо безопаснее короткого. Набор символов! Pswd12 подобрать куда легче, чем! Семь символов компьютер хакера сможет взломать за несколько минут, а на четырнадцать уже уйдут века. Специалисты по безопасности считают, что надежный пароль содержит более 14 символов. Главное, чтобы он был уникальным, ведь parol1234567890 и mailru987654321 хакеры проверят в первую очередь. Утечки баз данных с паролями время от времени случаются, особенно в небольших компаниях. Запомнить отдельный пароль для каждого сайта нереально. Но это и не требуется. Просто добавляйте в конец или начало вашего длинного пароля несколько символов из названия сайта, на котором регистрируетесь.
А в начало добавьте номер года и регулярно его меняйте: это защитит вас от программ, которые анализируют слитые базы данных и проверяют, актуален ли похищенный пароль. На госуслугах это называется «Вход с подтверждением». Тогда для входа в личный кабинет помимо пароля придется ввести код из смс или специального приложения. Для подключения услуги зайдите в профиль и кликните на «Безопасность» или перейдите по этой ссылке. Заодно включите оповещение о входе — если мошенник каким-то образом еще раз войдет в ваш личный кабинет, вы сразу об этом узнаете. Антивирус поможет защитить ваш компьютер от шпионских программ, которые умеют похищать пароли. Зачастую достаточно не отключать встроенный в Windows защитник. Что в итоге В личном кабинете на сайте госуслуг хранится много чувствительной информации, с помощью которой мошенники могут вам навредить. Поэтому в любом случае его стоит защитить — придумать сложный пароль и включить доступ с подтверждением.
Вопрос: зачем мошенникам понадобился доступ в мои Госуслуги? Не считая персональных данных, которые уже давно, наверняка, везде слиты. Anonymous Электронную подпись удаленно можно только продлить, а новую только через личный визит в удостоверяющий центр. УЦ 29. Они становятся все изощреннее, только от хoхляцкого акцента избавиться не могут пока, полудурки. Anonymous 29. Не верю! Anonymous Кредит оформят и снимут. Все онлайн. АО многих банках есть подтверждение через ГУ. Сидит бандит на допросе у следователя и играет в несознанку.
Тенденция цифровизации характерна для многих участников финансового рынка, в том числе микрофинансовых организаций МФО. Это удобно прежде всего потребителю, однако при выборе онлайн-сервисов надо быть особо бдительными и неукоснительно соблюдать правила кибербезопасности. Почему МФО выдают займы без паспорта и личного присутствия клиента, и при чём тут «Госуслуги» Кредитор обязан до передачи денежных средств идентифицировать заёмщика по договору потребительского кредита займа , в том числе при онлайн-кредитовании. При этом по закону идентификация может проводиться удалённо, без личного присутствия клиента, без наличия паспорта, а виды применяемых информационных технологий и технических устройств определяются сторонами самостоятельно. Единый портал государственных и муниципальных услуг «Госуслуги» создан для упрощения взаимодействия граждан и организаций с органами власти. Чтобы получить доступ к предлагаемым на нём услугам и сервисам, пользователю надо создать учётную запись в единой системе идентификации и аутентификации ЕСИА. По сути это электронная подпись, позволяющая гражданину без его присутствия подтвердить свою личность при получении разных услуг, а с недавних пор — и займов в МФО. Чтобы получить микрозаём, клиент может пройти авторизацию двумя путями: через регистрацию на сайте МФО или с использованием учётной записи в ЕСИА. Во втором случае финансовая организация с помощью портала «Госуслуги» получает подтверждение личности заёмщика и предоставляет ему микрозаем. Как мошенники могли получить онлайн-заём на чужое имя В ситуации с онлайн-мошенничеством зачастую используются незаконно полученные авторизационные данные пользователя. Для их получения злоумышленники применяют разные «отмычки». Это может быть и подбор пароля, и утечка учётных данных как из организаций, так и от самого пользователя. Чтобы выудить у человека информацию, часто используются фишинговые письма. Это сообщения, внешне похожие на официальные уведомления сервиса, но пришедшие с другого адреса и содержащие ссылки на фальшивый, так называемый фишинговый сайт, который имитирует название и фирменный стиль официального портала.
Ок, давайте проверим на прочность само веб-приложение и веб-сервисы. Анализ служебных заголовков, проверка возможности предиктивности кук или сессионных ключей не привели к возможности перехвата чужого аккаунта. Ок, автоматика нам не помогла, поищем "руками". В течение пары часов потыкав формы и параметры удалось обнаружить self-XSS в third-party сервисе, но раскрутить эту уязвимость до приемлемого вектора не удалось, да и уязвимость "такая себе", что ее зачастую не валидируют и в bug bounty программах. Можно выстрелить себе в ногу. Хотя уязвимость и пустяковая - на всякий случай зарепортил через контакты, оставленные по известному многим исследователям и багхантерами well-known пути: gosuslugi. Rostelecom Cybersecurity Center responsible for vulnerability management and incident response Contact: mailto:infosec gosuslugi. Были выявлены несколько вроде как устаревших js-библиотек, но проэксплуатировать эти уязвимости не представлялось возможным. Также было выявлено несколько мелких логических уязвимостей. Выводы: взлом сайта госуслуги является мифом. Рекомендации: внедрение bug bounty программы для выявления логических уязвимостей. Миф третий. Утечка данных Но эксперты по кибербезопасности уверены: произошла утечка информации с серверов портала. Благодаря этому аферисты легко могут подменить данные для входа в систему и получить доступ к любому аккаунту. Поиск pdf-файлов. Ничего полезного найти не удалось, поэтому решено было продирбастить каталоги и файлы, вдруг разработчики оставили что-то критичное. Пришлось немного оттюнить выхлоп ffuf, чтобы отсеять лишнее.
Охота на персональные данные: как и зачем мошенники взламывают «Госуслуги»
Мошенники однозначно не сидят на месте, постоянно генерируя новые варианты по изъятию средств у населения. Что делать, если мошенники получили доступ к госуслугам. Сделать это можно онлайн через ваш банк. Для этого данные паспорта на «Госуслугах» должны совпадать с данными в кредитной организации. Воронежцев предупредили о новой схеме мошенничества через «Госуслуги». Только актуальные события Воронежа и Воронежской области на сайте Что делать, если мошенники получили доступ к госуслугам. «Госуслуги» не делают никаких социальных выплат. Через портал их можно только оформить, написав заявление, которое затем будет перенаправлено в организации, которые непосредственно принимают решения о выплатах, например, в Пенсионный фонд.
Чем грозит взлом аккаунта на «Госуслугах» и могут ли мошенники оформить через него кредит?
В микрофинансовой компании напомнили, что по Гражданскому кодексу РФ право требование кредитора может быть передано им другому лицу по сделке уступка требования. И 26 октября 2022 года «Финансовый супермаркет» переуступил требование долга Александры «Агентству финансовых решений». Что делать В полиции Челябинска подтвердили 74. RU, что заявление пострадавшей зарегистрировано. По действующим законам микрофинансовые организации действительно имеют право выдать кредит через идентификацию на «Госуслугах», подтвердили юристы. И здесь есть риски для столкновения с мошенниками, которые могут использовать ранее полученную где-либо персональную информацию. Факт возбуждения уголовного дела является основанием для того, чтобы оспорить кредит или заём в гражданском процессе, — объяснил адвокат компании «Филатов и партнеры» Алексей Чернышев. Поэтому в любом случае нужно обращаться в ту микрокредитную компанию, которая требует возврата долга, и решать вопрос с ней. Если в проблеме разобрались, нужно получить от микрокредитной компании подписанный документ о том, что к вам претензий нет.
А если такую бумагу не дают или не согласны, то надо потребовать этого в судебном порядке. Кроме того, нужно выяснить, кто все-таки признан потерпевшим в уголовном деле по проблемному кредиту — женщина, на которую навесили чужой долг, или сама микрокредитная компания, указал юрист. А также не должна переуступать право требования такого долга кому-то другому, — добавил Алексей Чернышев. В этом случае нужно первым делом отменять судебный приказ. Если компания обратится к гражданину с иском в порядке обычного судопроизводства, то нужно будет просто доказывать в суде свою позицию. Требовать, чтобы суд запросил материалы уголовного дела. И вообще смотреть, что это за долг. Если это тот же самый долг, по которому есть возбужденное уголовное дело с потерпевшим в лице МФО, то можно подать еще и заявление о попытке мошенничества со стороны МФО.
Получается, что эта компания перепродает несуществующий долг, — при желании правоохранительные органы могут тут найти состав преступления. Как обезопасить себя В последнее время получили широкое распространение кредиты путем упрощенной идентификации. Но эксперты советуют быть максимально осторожными не только с сервисами кредитных организаций, но и со всеми сайтами, где хранятся персональные данные. На «Госуслугах» обязательно нужно настроить двухфакторную авторизацию через СМС. Тогда войти в личный кабинет можно будет только после того, как вы введете код, который придет в СМС. При этом после каждой авторизации в системе на почту или телефон будут приходить оповещения о входе. В прошлом году в Госдуме приступили к разработке законопроекта, касающегося выдачи микрокредитов и нарушений при взыскании долгов по ним.
Вероятнее всего, ссылка, как первая, так и вторая, будет фишинговой, вредоносной, имеющей целью взломать аккаунт или же получить доступ к иным данным в телефоне", - указали они. Схем, в результате которых пытаются взломать аккаунт в Telegram, очень много, и сигналы об этом приходят регулярно, пояснили в "Мошеловке". При получении доступа мошенники могут увидеть все контакты жертвы, переписки, фото и изображения. Все это может быть использовано в дальнейших манипуляциях.
Канал обещает предоставлять информацию, например, о том, как оформить пособие в размере более 45 тысяч рублей, "если у вас есть хоть один родственник…", "быстро и легко получить пособия при рождении ребенка", получить выплату в 107 тысяч рублей "рожденным с 1946 по 1991 год" и прочее. Эксперты пояснили, что при попытке перейти в данный канал, подав заявку на включение, пользователь попадает к боту и видит сообщение, что заявку не смогли обработать и нужно пройти по еще одной ссылке. Вероятнее всего, ссылка, как первая, так и вторая, будет фишинговой, вредоносной, имеющей целью взломать аккаунт или же получить доступ к иным данным в телефоне", - указали они. Схем, в результате которых пытаются взломать аккаунт в Telegram, очень много, и сигналы об этом приходят регулярно, пояснили в "Мошеловке".
Для этого звонившие просили назвать код, направленный абоненту в смс-сообщении. После того, как люди передавали информацию, доступ к их личному кабинету оказывался заблокированным. Некоторые потерпевшие не смогли восстановить доступ самостоятельно, за помощью они обращались в многофункциональные центры. Зачем злоумышленники хотят зайти в ваш личный кабинет на портале госуслуг и что они там могут сделать?
Новый способ мошенничества на «Госуслугах»
Рассказываем, что можно и нельзя делать, если вы не хотите, чтобы мошенники завладели вашими личными данными. Содержание В наш продвинутый век цифровых технологий защита аккаунта становится столь же важной, как защита кошелька. Эксперты рассказывают, как сделать так, чтобы вашими личными кабинетами и аккаунтами не могли воспользоваться мошенники. Недавно появилась информация, что мошенники «открыли» новый вид обмана: взламывая аккаунт на сайте Госуслуг, они пользуются личными данными пользователей, чтобы взять кредиты. Причем действуют разными методами, чтобы обманом получить логины и пароли.
Например, сообщают «от имени портала» об откреплении от поликлиники и предлагают пройти повторную регистрацию, чтобы исправить эту ситуацию. Заполняя анкету, пользователь указывает логин и пароль, в результате чего мошенники получают доступ к его личному кабинету. В некоторых ситуациях люди смогли отстоять свою правоту и отказаться от взятых обманным путем кредитов, но в любом случае это стоило им немало нервов и времени. Как избежать таких проблем и что вообще произошло?
Мы разобрались в этой ситуации.
Эту же информацию могут использовать и против вас. Например, мошенники увидят, в каких банках у вас открыты счета, позвонят и сообщат о проблемах со счетом, чтобы выманить деньги. Одна из распространенных схем выглядит так. Получив доступ к госуслугам, хакеры меняют пароль и контрольный вопрос для его восстановления. Когда владелец попытается восстановить пароль, ему покажут сообщение: «Ваша учетная запись заблокирована из-за подозрений в мошенничестве. Срочно позвоните по такому-то номеру».
Расторгнуть договор будет тяжело даже через суд. Чтобы ваши требования удовлетворили, нужны неопровержимые доказательства в подтверждение того, что вы не оформляли кредит, и от вашего лица действовали мошенники.
Как защитить свой профиль на Госуслугах Чтобы снизить вероятность взлома учетной записи на Госуслугах, достаточно подключить двухэтапную аутентификацию и придумать надежный пароль. Дата рождения или свадьбы в этом случае не подходят, такой пароль легко подобрать. Важно, чтобы пароль состоял хотя бы из 10 разных символов. Например, 28940ghslw! Такой пароль подобрать сложнее, чем 07071991Elena. Использовать один и тот же пароль на всех сайтах тоже не стоит. Даже если он максимально сложный, мошенникам, узнавшим его, будет проще получить доступ к остальным вашим сервисам, на которых он используется. И еще несколько полезных советов: Используйте антивирус. Его можно скачать в официальном магазине.
На сторонних сервисах лучше не скачивать: есть вероятность, что вместо установочного файла вы скачаете вирус. Не входите в Госуслуги с устройств посторонних людей. Даже если вы выйдите из аккаунта после использования портала, нет никаких гарантий, что данные не сохранятся на этом устройстве. Также рекомендуется отозвать согласия на получение доступа к информации для разных банков, если они вам не нужны. Это снизит вероятность утечки данных для последующей продажи в даркнете. Ответы юриста на частые вопросы Как понять, что мошенники пытаются взломать Госуслуги? Если на ваш номер телефона пришел СМС-код, хотя вы не пытались зайти на портал и не запрашивали его, скорее всего, кто-то другой ошибся номером, или мошенник пытается получить доступ к вашей учетной записи. Зайдите в профиль на Госуслугах и поменяйте пароль, так как он уже взломан.
Например, в некоторых микрофинансовых организациях можно оформить займ без личного визита: им достаточно лишь копии паспорта. Если на «Госуслугах» хранятся сканы документов, преступники этим воспользуются. Что делать, если стали жертвой мошенника Необходимо действовать максимально быстро, пока вашими данными не успели воспользоваться. Писать в техподдержку при этом не стоит, потому что сотрудники отвечают не сразу. Лучше сделать следующее: Позвоните в банки и заблокируйте все карты, которыми вы когда-либо оплачивали услуги, штрафы, госпошлины, налоги на портале, и сообщите, что стали жертвой мошенников. Обратитесь в МВД лично или отправьте электронное обращение с описанием случившегося. Список центров обслуживания граждан, в которых можно восстановить доступ к аккаунту, можно посмотреть прямо на «Госуслугах». Чтобы увидеть список доступных центров, нужно на странице авторизации нажать кнопку «Не удается войти», затем — «Центры обслуживания» Обращаться в центр можно без записи. Как избежать обмана У мошенников есть два сильных «оружия»: умение работать с технологиями и познания в психологии. Первое позволяет им получить как можно больше конфиденциальных данных о жертвах, звонить и присылать СМС с официальных номеров различных служб. Именно такая способность вызвала целую волну мошенничеств, связанных с СМС и звонками от лица банковских сотрудников. Мошенники выкупают номера телефонов из баз данных сотовых операторов, создавая свои базы данных. Они используют различные программы взлома, фишинговые сайты, вирусы, — это позволяет им красть сохраненные в браузерах логины, пароли и другую информацию. Знание психологии и умение убедить человека в том, что он — не жулик, заставляет людей терять бдительность, паниковать и сообщать всю информацию о себе, лишь бы избежать проблем. Чтобы не попасться на уловки телефонных мошенников, никогда не сообщайте никакие данные по телефону: номера карт, коды, кодовые слова и пароли.
Для каких целей мошенники могут использовать учётные записи пользователей Госуслуг?
Разумеется, все они — обман. Предложение услуг за деньги Мошенники предлагают помочь что-то сделать на «Госуслугах» за вознаграждение. Владельцы аккаунтов просто не знают, что большинство услуг на портале бесплатны. Например, вам нужно получить медицинские документы справки о вакцинации, направления к врачу или провести манипуляции с недвижимостью.
Хакеры могут предложить решить эти вопросы быстро и за некоторую сумму. Ложные уведомления о штрафах Жертвам приходят сообщения о несуществующих штрафах с требованием оплатить их через поддельные сайты. Причем мошенники могут даже обращаться к вам по настоящему имени, что только сильнее вводит в заблуждение.
Источник: help.
Сотрудники Госуслуг не звонят пользователям по телефону и не следят за активностью каждой учётной записи! Звонок от «представителя портала» уже является признаком мошенничества!
Мошенники говорят грамотно, спокойно и убедительно. Благодаря соцсетям и слитым базам данных из других ресурсов, аферисты получают информацию о ФИО человека, его контактах, месте работы и даже номерах счетов. Мошенники часто имитируют работу большой организации, переключая жертву на линии разных «специалистов» и используя робот-автоответчик.
Как распознать телефонное мошенничество? Запомните два нюанса: представители госучреждений практически никогда не звонят гражданам, и они не имеют права запрашивать конфиденциальную информацию. Данные для входа в аккаунт на Госуслугах — это секретные сведения, которые нельзя никому сообщать.
Также хакеры запускают фишинговые сайты, которые внешне полностью повторяют дизайн Госуслуг. Если человек попробует авторизоваться в своём аккаунте на таком ресурсе, то автоматически передаст свои данные аферистам. Как понять, что ваш аккаунт в опасности?
Насторожить должна аномальная активность в вашей учётной записи. Например, вам станут приходить уведомления от Госуслуг о многократных попытках войти в личный кабинет, о подаче каких-либо заявлений, оформлении льгот или субсидий, об отправке различных запросов в госреестры и ведомства. Если вы не причастны к этим действиям, значит, их от вашего имени совершает кто-то другой.
Всегда внимательно читайте сообщения от банка и Госуслуг. Так вы вовремя заметите попытку взлома аккаунта и защитите свои данные. Что делать, если учётную запись взломали?
Сначала восстановите доступ к своей учётной записи. После взлома мошенники стараются заменить пароль и логин для входа в аккаунт, чтобы настоящий владелец как можно дольше не мог вмешаться. Чтобы сбросить пароль аферистов и зайти в личный кабинет на портале Госуслуги, нужно перейти во вкладку «Регистрация» и воспользоваться опцией «Восстановить».
Далее в специальную форму введите свои паспортные и контактные данные и дайте ответ на контрольный вопрос. Если всё сделано правильно, сервис пришлёт на вашу электронную почту ссылку на страницу авторизации с новым паролем или SMS-сообщение с кодом подтверждения. В некоторых случаях вы не сможете восстановить доступ к учётной записи самостоятельно.
Тогда придётся лично идти в МФЦ и подавать запрос на возобновление входа в аккаунт. Что делать после восстановления доступа? Проверьте активность по аккаунту Первым делом нужно понять, что мошенники делали в вашей учётной записи.
Для этого: 1.
Имея доступ к вашему профилю, мошенники смогут стать клиентом любого банка, авторизировавшись в приложении через «Госуслуги». После этого не нужно даже приходить в банк и предъявлять паспорт. Всё можно сделать удалённо. С помощью ваших данных можно обманывать других людей. К мошеннику, который выступает от вашего лица, будет больше доверия, если собеседнику предоставят паспортные данные, адрес проживания и т. Всё это может служить гарантией сделки. Например, на «Авито» мошенники демонстрируют чужие данные, чтобы вызвать доверие у покупателя. А после получения денег за товар пропадают.
Так что вы по итогу взлома «Госуслуг» можете оказаться должны кому-нибудь крупную сумму. Наконец, всю эту информацию можно продать другим мошенникам. Для этого существуют специальные формы и группы в соцсетях. Что делать, если вас взломали В первую очередь нужно быстро восстановить доступ к профилю. Попробуйте сбросить старый пароль. Можно ответить на контрольный вопрос. После этого на телефон придёт СМС с кодом или ссылкой для перехода. Если злоумышленники уже успели поменять электронную почту и номер телефона, то восстановить пароль можно через банк или МФЦ. Для восстановления доступа к «Госуслугам» через банк нужно зайти в личный кабинет кредитной организации в приложении и пройти регистрацию снова.
Это позволяют делать не все банки.
Способы защиты Снизить риски мошенничества можно с помощью двухфакторного подтверждения на портале «Госуслуги» при идентификации пользователя. В этом случае злоумышленникам сложнее получить заём под чужим именем, даже имея доступ к логину и паролю от учётной записи на портале, — потребуется ещё код из СМС. Чтобы установить такую защиту, нужно в личном кабинете «Госуслуг» в настройках безопасности выбрать опцию «Вход в систему» и установить «Вход с подтверждением по СМС».
После включения двухэтапной аутентификации на сайт «Госуслуги» можно будет зайти только после введения кода из СМС-сообщения, направленного на телефон пользователя. Кроме того, надо периодически менять пароль. Он не должен быть коротким и включать в себя слова или цифры, которые легко подобрать, например ФИО или дату рождения. Не следует использовать одинаковые пароли для разных сайтов.
Официальные сайты финансовых организаций в поисковых системах Яндекс, Mail. Кредитная история под контролем Важно также контролировать свою кредитную историю. Она содержит полную информацию обо всех оформленных на ваше имя кредитах и займах. Эта информация хранится в бюро кредитных историй БКИ.
Для того чтобы узнать, в каких именно бюро хранится ваша история, необходимо направить запрос в Центральный каталог кредитных историй. В частности, это можно сделать через портал «Госуслуги». В ответ Банк России пришлёт вам в личный кабинет на портале список всех БКИ, в которых хранится ваша кредитная история.
Что еще почитать
- Случайно узнал о кредите
- Порядок действий
- Не все приложения безопасны
- Мошенники добрались до «Госуслуг» | НКК
- Воронежцев предупредили о новой схеме мошенничества через «Госуслуги»
- Мошенники по-новому выманивают доступ к "Госуслугам": за чем нужно следить - 28.03.2024, ПРАЙМ
Чем грозит взлом аккаунта на «Госуслугах» и могут ли мошенники оформить через него кредит?
Пример фишинг-сайта От такого рода атак если вы везде используете один пароль вас спасет только 2FA. Говорить при этом что взломали ваши госуслуги как сервис или почту - ну такое себе. Провести успешные атаки на аккаунт с ЭЦП не удалось. Выводы: взлом аккаунтов на самих госуслугах это миф.
Рекомендации: включить 2FA, не использовать одинаковые пароли. Миф второй. Может быть уязвимо веб-приложение?
Интернет-пользователи пожаловались на хакеров, которые взломали их аккаунты на «Госуслугах» и дали согласие на обработку персональных данных для одного из сервисов «Единой России». В партии считают это информационной атакой. Взлом мог затронуть значительное количество пользователей, полагают эксперты по кибербезопасности.
Ну раз эксперты говорят что значительное число, значит скорее всего взломали сайт. Ок, давайте проверим на прочность само веб-приложение и веб-сервисы. Анализ служебных заголовков, проверка возможности предиктивности кук или сессионных ключей не привели к возможности перехвата чужого аккаунта.
Ок, автоматика нам не помогла, поищем "руками". В течение пары часов потыкав формы и параметры удалось обнаружить self-XSS в third-party сервисе, но раскрутить эту уязвимость до приемлемого вектора не удалось, да и уязвимость "такая себе", что ее зачастую не валидируют и в bug bounty программах. Можно выстрелить себе в ногу.
Хотя уязвимость и пустяковая - на всякий случай зарепортил через контакты, оставленные по известному многим исследователям и багхантерами well-known пути: gosuslugi.
По данным полиции, неизвестные позвонили 55-летнему мужчине в мессенджере. На аватарке звонившего был логотип портала. Аферист представился сотрудником «Госуслуг» и сообщил, что мошенники якобы пытаются похитить деньги с банковской карты мужчины. Для того, чтобы их остановить, павловчанину посоветовали продиктовать код из СМС.
Напомним, что, по законодательству РФ, каждый гражданин имеет право два раза в год бесплатно проверять свою кредитную историю в Бюро кредитных историй. К сожалению, пользуется этим правом далеко не каждый. Более редкими способами монетизировать Госуслуги являются попытки получения субсидий, либо дистанционное участие в судебных процессах с отчуждением судом у жертвы какого-либо имущества. В дальнейшем ей будет трудно доказать свою непричастность к процессу», - пояснила адвокат Виктория Бессонова. Как защитить свой профиль на Госуслугах В принципе, учётную запись на Госуслугах взломать невозможно. Сервис надежно защищен от любых посягательств, и успешных попыток взлома с нуля на данный момент не зафиксировано. Однако всегда остается человеческий фактор. Люди сами, по легкомысленности и неосторожности, облегчают мошенникам задачу. Самый простой способ похитить чужую учётную запись — это отправить фишинговое письмо, внешне очень похожее на официальное уведомление с портала Госуслуг. Жертва видит письмо, автоматически открывает его, и переход по ссылке автоматически позволяет мошенникам узнать ваши авторизационные данные. Поэтому каждое полученное письмо нужно очень внимательно читать перед переходом на предлагаемые там ссылки, а также надо тщательно сверять адреса ссылок и с адресом настоящего портала госуслуг. Мошенники могут поменять в адресной строке ссылки одну букву к примеру, gosulsugi. Отдельными советами можно выделить напоминания не устанавливать незнакомое ПО, не передавать доступ к учётной записи третьим лицам.
Персональные идентификационные номера. Запись на прием к врачу. Запись на прием к врачу осуществляется всего в несколько кликов, что избавляет от необходимости стоять в длинных очередях в поликлиниках. Гражданские услуги. От регистрации брака до регистрации прав собственности на недвижимость — портал охватывает широкий спектр гражданских услуг. Услуги по трудоустройству и бизнесу. На портале пользователи могут искать работу, регистрировать предприятия и сдавать налоговую отчетность. Штрафы и сертификаты. Платформа позволяет оплачивать различные штрафы и получать необходимые справки, такие как справки об отсутствии судимости или декларации о доходах. Лицензирование и разрешения. Получение лицензий на конкретные виды деятельности или разрешений на строительство и перевозку опасных грузов упрощается с помощью сервиса государственных услуг. Ожидается, что по мере развития Госуслуги будут включать в себя все больше сервисов и функций, еще больше упрощая жизнь пользователей. Конечная цель — создать бесшовный, удобный для пользователя сервис, который сделает доступ к государственным услугам таким же простым, как покупки в Интернете. Хотя цифровые платформы, такие как Госуслуги, обеспечивают удобство и эффективность, но в то же время открывают новые возможности для киберпреступников. Понимание рисков и принятие упреждающих мер по защите личной информации — важнейшая составляющая защиты от этих развивающихся угроз. Для чего мошенникам ваш аккаунт на Госуслугах Когда киберпреступники получают учетные данные для входа в систему, они могут нанести значительный ущерб. Доступ к кредитной истории и финансовой информации Получив доступ к учетной записи Госуслуг, злоумышленники могут просматривать конфиденциальную информацию, например кредитную историю, остатки на банковских счетах и уровень задолженности. Эти данные можно использовать в дальнейших аферах, например, выдавая себя за сотрудников банка или правоохранительных органов, чтобы обманом заставить жертву предоставить дополнительную информацию или перевести деньги. Злоупотребление электронными подписями Электронные подписи все чаще используются для оформления документов, что избавляет от необходимости физического присутствия. Если киберпреступники получают доступ к электронной подписи жертвы, они могут: - переоформить или продать недвижимость жертвы, - брать кредиты на имя жертвы, - подавать поддельные налоговые декларации для возврата денег, - регистрировать сомнительные юридические лица, создавая жертве юридические и финансовые проблемы. Эксплуатация персональных данных На портале Госуслуг хранится огромное количество личных документов и информации. Преступники могут с их помощью: - зарегистрировать электронные кошельки для совершения незаконных операций, - подать заявку на получение кредитов или микрозаймов, - переводить средства или изменять данные пенсионного фонда, - участвовать в различных мошенничествах, связанных с кражей личных данных. Получение кредитов или микрозаймов Хотя Госуслуги не выдают кредиты напрямую, их можно использовать для аутентификации на сайтах банков и финансовых учреждений. Мошенники могут оформить на имя жертвы кредиты, микрозаймы или кредитные карты, что приведет к возникновению долгов и ухудшению кредитной истории. Мошенническое требование возврата денег Киберпреступники могут использовать взломанную учетную запись для получения различных возмещений, например за лечение, подделывая документы и подавая ложные заявления в налоговую инспекцию. Выпуск электронных сим-карт Мошенники могут выпустить eSIM на имя жертвы и использовать это для различных незаконных действий. Они также могут попытаться связать эти новые номера с банковским профилем жертвы, что позволит им перехватить коды безопасности и получить доступ к финансовым счетам. Как мошенники взламывают аккаунты на Госуслугах? Массовая кража данных с помощью брутфорс-атак Хакеры используют специальные программы для проведения атак «методом грубой силы», которые систематически проверяют миллионы комбинаций паролей для взлома учетных записей. Этот метод особенно эффективен против аккаунтов с простыми и слабыми паролями. Добившись успеха, злоумышленники часто продают полученные учетные данные на черном рынке, что приводит к массовой краже данных. Целевые аферы с использованием социальной инженерии Мошенники, предпочитающие индивидуальный подход, используют тактику социальной инженерии.