- Какими приключениями грозит невключенная двухфакторная аутентификация на Госуслугах
- 50 ответов
- Зачем защищать аккаунт на «Госуслугах»
- Как защитить аккаунт на gosuslugi
- Используйте уникальный пароль
- Включите оповещения о входе в ваш аккаунт Госуслуг
- Задайте контрольный вопрос
- Включите двухэтапную проверку входа
- Включите вход с помощью электронной подписи
- Храните документы в надежном месте
Какими приключениями грозит невключенная двухфакторная аутентификация на Госуслугах
Время на прочтение
Я был достаточно неосмотрителен, чтобы эта история произошла со мной, но, возможно, достаточно технически грамотен, чтобы рассказать ее детали, сдерживая эмоции и понимая, что происходит, в отличии от большинства людей, оказавшихся в этой ситуации еще и с ощущением полного непонимания происходящего.
Когда появились госуслуги, на них не было автоматического информирования о входах в аккаунт с непривычного IP, не предлагалась двухфакторная аутентификация. Я создал пароль достаточно надежный — не использованный нигде ранее, и считал,что все отлично, не меняя его 5 лет. На портал заходил я редко, но авторизовывал через ЕСИА государственные сервисы. Госуслуги присылали рассылки на почту, а я был уверен, что при аутентификации с подозрительного IP или попытки брутфорса меня уведомят, а аккаунт заблокируют, ведь телефонный номер Госуслуги и так знают.
По-видимому, пароль от Госуслуг мне пришел в голову еще раз в качестве пароля от какого-то сайта, где я зарегистрировался с той же почтой, и с тех пор пара «почта-пароль» слилась в базы злоумышленников. Это все, что вам нужно знать о причинах произошедшего. Теперь о последствиях.
Утром 11 июля мне потребовалось авторизоваться на сайте Госуслуг, но «пользователь с таким email не зарегистрирован». Я набрал службу поддержки, назвал свой номер СНИЛС, а мне (не спрашивая всяких контрольных вопросов, что в моем случае было как раз хорошо) техподдержка заявила, что с этим номером СНИЛС аккаунт заведен 5 июля, почта и телефон там другие, а тот, в котором была ваша почта и телефон, удалены того же числа.
Была заведена заявка на техподдержку (удивительный ответ пришел позже и прочитать его вы сможете в конце статьи). Цель заявки — просто описать мне произошедшее, и по возможности выяснить, какие именно действия были предприняты еще в старом аккаунте (меня интересовало, авторизовались ли они через ЕСИА где-то еще, пытались ли создавать электронные подписи, брать кредиты именно под старым аккаунтом, так как в любом случае сам бы я увидел только историю нового аккаунта). Более того, оператор сказал, что в системе они не видят истории событий удаленных аккаунтов, а так бы с радостью рассказал бы, но, похоже, на том уровне, что есть у них доступ, такую историю им не видать.
Кроме того, оператором в аккаунте был перебит телефон и емейл на мои, мне пришла СМС подтверждения, и я смог зайти внутрь, полюбоваться на художества злоумышленников, прямо с телефона. Кроме того, я тут же подтвердил аккаунт через приложение Сбербанка. Расследование началось!
Первым делом обратил на себя внимание адрес регистрации, он был явно невозможный с точки зрения классификаторов адресов КЛАДР, даже удивительно, как удалось такой внести:
195009, г Санкт-Петербург, пл Ленина, д. 89, кв. 37. Поиски 89 дома на Площади Ленина в Петербурге у меня успехом не увенчались.
Затем я стал смотреть, что в моем аккаунте вообще осталось «моего», а что пропало навсегда. Первый беглый взгляда показал: исчезли внесенные в базу дети, но остались автомобили, остались выпущенные еще под тем моим аккаунтом электронные подписи, но исчезли обращения в госорганы вместе с их ответами (включая обращение в ГИМС, электронный отказ которого прямо сейчас у нас обжалуется в суде, к счастью, все документы и электронные подписи были выкачаны заранее). В общем, возникло ощущение, что то, что как-то внутри Госуслуг имело связь с емейлом или телефоном, оно здесь, а что было привязано к какому-то другому идентификатору, то пропало.
Поначалу мне даже показалось из-за этого неполного исчезновения, что все это последствие сбоя, невнимательной работы с БД на продакшене, а техподдержка в сговоре и пытается замести следы — я расчитывал, что пропадет уж все. Более того, я авторизовывался новым аккаунтам в ЕСИА в старые сайты, где уже были мои аккаунты ранее, тоже с авторизацией через ЕСИА, и там везде я попадал в свои же старые собственные аккаунты. То есть тоже, емейл был основным идентификатором? Короче, это оказалось довольно удобно.
Захожу в историю событий:
Удивление вызывает процесс перевода учетной записи до Подтвержденной. Что мешало оперировать с подтвержденной, но моей, где вбиты те же СНИЛС и Паспорт? Скорость добавления подсказывает, что орудует скрипт.
А вот история авторизаций:
Самостоятельное восстановление пароля
176.59.114.231 Android, Chrome 05.07.2023
Вход в систему Профиль пользователя ЕСИА
Авторизация по номеру телефона. Личный кабинет физического лица
95.70.103.36 Windows, Edge 05.07.2023
Вход в систему Портал государственных услуг Российской Федерации
Выход из системы Портал государственных услуг Российской Федерации
95.70.103.36 – 05.07.2023
Изменение адреса электронной почты
Из нее пока ничего такого интересного не следует. Принимаюсь читать о возможных последствиях угона УЗ Госуслуг, понимая, конечно, что основные интересности могли произойти со старой УЗ, к которой нет доступа. Новых электронных подписей нет, объекты недвижимости вроде пока все те же самые в списках имущества в приложении налоговой. Возникает идея проверить кредитную историю — в ней могут отражаться и взятые кредиты (как раз прошло 5 дней и все кредитные организации, включая микрокредитные, должны донести свою информацию о них), и запросы к кредитной истории от таких организаций.
Во-первых, нахожу, что сам еще в 2022 году формировал отчет по своей кредитной истории, хотя напрочь не помню для чего и зачем это делал. Далее, в 5 июня был запрос рейтинга ПКИ теми самыми злоумышленниками.
Интересно, что время запроса — еще при «жизни» старого аккаунта, в 16:46. Как уж авторизация ЕСИА пропускала его и со старой УЗ, и с новой УЗ, я так и не понял.
Очевидно, это значение сподвигло их как-то попытаться проделать с аккаунтом то, что они проделали.
Формируем новый отчет кредитных историй и смотрим на предмет подозрительного. А там:
Запрос к кредитной истории от некого ООО МКК «Триумвират»
Недостатки: Твари, мошенники! Крадут данные, оформляют кредиты на людей без их ведома.
Недостатки: Взломали через госууслуги, оформили мошейнеческий кредит, и это при условии что я был в командировки без какой либо связи
Ну пока подождем так кидаться с огульными обвинениями на организацию.
Становится понятно, что «работает мошеннический скрипт», который скорее всего использует Госуслуги для копирования данных, достаточных для заполнения формы заявки на микрокредит в сервисе микрокредитов «Привет, сосед» (это и есть ООО МКК Триумвират).
И вот именно тут-то мне и стало страшно. Оказывается, достаточно паспортных данных и правдоподобно заполненной формы, чтобы уже сделать первый шаг к получению микрокредита. Никакого очного предъявления личины к документам уже не нужно! Данные могут быть и не украдены с УЗ Госуслуг, а например, скопированы у кадровика в крупном предприятии. И вообще, мы привыкли думать, что собственно паспортные данные не шибко защищены, но что вообще можно такого сделать с ними, а оказывается можно. Получается, что для защиты от такого, особенно теперь, когда они точно у мошенников есть (хотя были и раньше, ведь звонили же с ними по телефону), паспорт надо менять также, как пароль, как истекший авторизационный токен. Но паспорт это не короткоживущий токен! У меня сейчас в работе несколько «оффлайн-транзакций», в ходе которых я не должен менять паспорт! Короче, ситуация ужасная, но выход из нее был только в том, чтобы подключить за 750 рублей отслеживание взятых кредитов в бюро кредитных историй, без понимания, что же все-таки правильно делать, если такое уведомление таки придет.
Далее, понимая, что паспортные данные все равно скомпрометированы, завожу аккаунт с ними на «мой сосед» и пытаюсь взять тот же займ. С облегчением получаю отказ. Несмотря на рекламные «вероятность одобрения 90%» на этапе предзаполнения:
Далее, без особого доверия, конечно, к полученной информации, звонок в их техподдержку. Сообщаю без доказательств, что я это я, по их запросу, серию и последние три цифры паспорта, и устный ответ, что на ваш документ открытых кредитов нет, а в истории попыток — есть. Принимают заявление на письменный ответ на емейл в течение 12 дней.
Возможно, какой-то антифрод и срабатывает у «моего соседа», мол, зачем нужен микрокредит человеку с рейтингом ПКИ в районе 860, если он прямо сейчас платит «совсем не микро» кредит, и платит в срок и с досрочным гашением.
Наконец, точку с запятой в этой истории поставил ответ от Госуслуг с описанием их внутреннего расследования ситуации:
В настоящее время ЦО был заблокирован за недобросовестную работу.
Обращаем внимание, что Служба поддержки Портала не несет ответственности за деятельность ЦО.
Для получения дополнительных разъяснений вы можете обратиться в данный ЦО лично.
Предоставить информацию о более раннем состоянии УЗ не представляется возможным, поскольку УЗ была удалена.
В соответствии с 152 Федеральным законом от 27.07.2006 года «О персональных данных» из Единой системы идентификации и аутентификации удаляются все данные, прямо или косвенно относящиеся к пользователю, поэтому идентифицировать такую УЗ и предоставить по ней какую-либо информацию не представляется возможным.
УЗ могла быть удалена злоумышленниками после получения к ней доступа.
Также вы можете обратиться в отделение Министерства внутренних дел России (далее — МВД) со скриншотами событий в ЛК, для составления заявления.
Предоставление официального заключения, использующего в уголовном деле, происходит по запросу МВД или следствия.
Во избежание несанкционированных действий в УЗ со стороны третьих лиц, рекомендуем включить усиленную аутентификацию, а также задать контрольный вопрос.
Для включения усиленной аутентификации необходимо выполнить следующие действия:
При включенной усиленной аутентификации при каждом входе в систему по паролю вам будет отправляться sms-сообщение с кодом подтверждения, который необходимо вводить в специальное поле.
Обращаем внимание: при смене номера мобильного телефона происходит отправка кода подтверждения по старому номеру до тех пор, пока новый номер не будет подтвержден.
Задать контрольный вопрос вы можете в разделе «Профиль» в блоке «Безопасность», выбрав «Контрольный вопрос». Придумайте контрольный вопрос, ответ на него, подтвердите действие паролем от личного кабинета и нажмите кнопку «Включить».
Дополнительно сообщаем: что все события сохраняются в разделе «Действия в системе» вашего личного кабинета. Перейдите по ссылке https://lk.gosuslugi.ru/settings/safety/events, на вкладке отобразятся все выполненные авторизации под вашей учётной записью.
Если вами замечена авторизация на сторонний сайт без вашего ведома, рекомендуем обратиться в службу поддержки этого сайта для уточнения совершенных на сайте действий.
Для сохранения истории взаимодействия при последующей переписке по данному запросу обязательно сохраняйте тему письма.
Благодарим за обращение на Портал госуслуг. Анализ поступающих вопросов и предложений помогает нам улучшать работу Портала.
Особенно мне понравилась идея поехать лично разбираться с ЦО в Абзелиловский район и объяснение, почему нельзя иметь аудит данных и предоставить их мне же, хозяину удаленного аккаунта, ФЗ о защите персданных.
Я, разумеется, включил двухфакторку через СМС, добавил контрольный вопрос, удалил действующую электронную подпись, пережившую переход в другой аккаунт, так и не разобравшись, можно ли что-то с ней сделать, включил уведомления о входах на емейл.
Разработал свою систему удобозапоминаемых неподбираемых паролей, но она подходит только для татар. Берем фамилию классика татарской литературы, переводим имя на латинский алфавит, конвертим не-ASCII буквы в сочетания, добавляем год смерти. Получаем ghabdullatuqay1913, maecitghafuri1934, fatixaemirxan1926.
Сделал оргвыводы: если сайт знает ваш телефон и емейл, не значит, что в случае «странной» авторизации он уведомит вас сам. Следите за включенностью двухфакторной аутентификации и уведомлений.
Впечатление об организации Госуслуг: единая точка, куда сведено много всего, что делает удобным манипуляцию мошенника, но размазанная отвественность, что делает неудобным противодействие им.
Точка в истории еще не поставлена, и возможно не поставится даже после смены паспорта.
P. S. Если вам статья показалась полезной, и вы хотите отблагодарить автора, пропустите пожалуйста из песочницы эту статью: https://habr.com/ru/sandbox/85473/ Она моя же, но инвайт мне дали не за неё, так и осталась в песочнице, хотя вроде и полезна 🙂
Но если в вашем профиле Госуслуг выключен способ входа по электронной подписи (по умолчанию он выключен), то при попытке зайти в ЛК госуслуг вы увидите сообщение:
Вход по электронной подписи отключён
Чтобы включить вход в Госуслуги по ЭП нужно:
Кликайте на изображения что посмотреть процесс включения входа по электронной подписи на скриншотах
Включение входа на госуслуги по ЭП обновлено: 24 июля, 2023 автором:
50 ответов
Безопасность аккаунтов в социальных сетях и онлайн-сервисах — та еще головная боль. У многих по меньшей мере с десяток учеток. Нередко они нужны буквально на один раз — скажем, учетная запись в интернет-магазине, в котором вы вряд ли еще раз что-то купите.
Однако аккаунты в некоторых сервисах гораздо важнее, и к их безопасности стоит подходить серьезно, даже если вы пользуетесь ими не очень часто. Один из таких сервисов — «Госуслуги».
Зачем защищать аккаунт на «Госуслугах»
Если злоумышленник получит доступ к вашему аккаунту на «Госуслугах», он сможет проворачивать от вашего имени аферы не только на самом портале, но и за его пределами. Причем речь идет не о мелких пакостях, а об очень серьезных вещах. Например, на вас могут оформить кредит. Или распорядиться вашей собственностью на свое усмотрение.
Так, в октябре прошлого года у одного из пользователей «Госуслуг» украли квартиру. Он узнал об этом случайно — от отца, который заметил в платежных документах чужую фамилию. Как позже выяснилось, чтобы оформить на себя недвижимость, мошенники не только взломали аккаунт жертвы, но и прикрепили к нему квалифицированную электронную подпись.
Это непростая задачка: чтобы получить такую подпись, необходимо лично явиться в удостоверяющий центр. Тем не менее, мошенники каким-то образом с этим справились и успешно провернули сделку, что пострадавшему подтвердили в Росреестре и полиции.
На историю с квартирой отреагировали законодатели: теперь продавать жилье удаленно можно только после того, как вы лично сообщите в Росреестр, что действительно этого хотите.
Однако воспользоваться вашей учетной записью на «Госуслугах» могут и иначе. Например, портал позволяет при наличии все той же квалифицированной электронной подписи оформить юридическое лицо. Если на ваше имя зарегистрируют фирму, проводящую сомнительные операции, вы рискуете не только потерять деньги, но и заработать проблемы с законом.
Как защитить аккаунт на gosuslugi
Портал «Госуслуги» предлагает несколько инструментов для защиты вашего аккаунта. Они позволяют, с одной стороны, усложнить мошенникам работу, а с другой — помогут вам вовремя узнать о попытке взлома.
Используйте уникальный пароль
«Госуслуги» требуют от вас придумать длинный и сложный пароль, чтобы его было труднее подобрать. Однако сервис никак не может проверить его уникальность. Если вы воспользуетесь тем же самым паролем, которым защитили еще десяток аккаунтов на других сервисах, то утечка данных с любого из них поставит ваши документы под угрозу.
Поэтому мы рекомендуем для каждого аккаунта — и в особенности для такого важного, как на «Госуслугах», — придумывать уникальный пароль. А чтобы вы не боялись его забыть, у нас есть для вас несколько лайфхаков по составлению паролей. И, конечно, всегда можно подстраховаться и сохранить его в менеджере паролей.
Включите оповещения о входе в ваш аккаунт Госуслуг
Если вы включите оповещения, то после каждого успешного входа вам придет письмо на электронную почту. Так вы узнаете, если кто-либо, кроме вас, получит доступ к аккаунту, и сможете своевременно поменять пароль. Чтобы включить уведомления о входе:
Задайте контрольный вопрос
Контрольный вопрос — это дополнительная мера защиты от попыток посторонних сменить пароль от вашего аккаунта. Злоумышленники могут взломать почтовый ящик, к которому привязан ваш аккаунт, и даже узнать номера документов, которые сайт уточняет, чтобы убедиться, что вы — это вы.
Однако стоит помнить, что контрольный вопрос не защитит вас, если ответ на него легко угадать или найти в Интернете. Важно, чтобы его знали только вы, причем могли в любой момент его вспомнить. Для этого можно прибегнуть к хитрости — придумать свой собственный метод записи ответа.
Например, использовать знаки подчеркивания вместо гласных: Р_З_НЬ вместо Рязань — или написать слово задом наперед: авонавИ вместо Иванова. Больше идей, как запомнить ответ и сделать его практически неугадываемым, можно найти в нашем посте про надежные пароли.
Чтобы задать контрольный вопрос:
Включите двухэтапную проверку входа
Чтобы включить двухэтапную проверку:
Включите вход с помощью электронной подписи
Если вы пользуетесь квалифицированной электронной подписью, можно применять ее и для входа в аккаунт. Этот метод надежнее SMS-кодов: перехватить сообщение с одноразовым кодом проще, чем подделать подпись.
Если же электронной подписи у вас пока нет, безопаснее будет, наоборот, отказаться от этой опции: без ЭЦП она бесполезна, а включая ее, вы теряете возможность получать коды через SMS.
Храните документы в надежном месте
Как видите, настроек безопасности на «Госуслугах» не так много, и разобраться в них совсем несложно. Тем не менее, следуя нашим рекомендациям, вы существенно усложните жизнь злоумышленникам и защитите свои данные.
В личном кабинете войдите в раздел «Настройки»
Нажмите «Включить вход с помощью электронной подписи».
Важно: если у вас еще нет сертификата электронной подписи или у имеющегося сертификата истек срок действия, вы можете его купить.
Использование электронной подписи потребует установки добавочного программного обеспечения на ваш компьютер. Для этого пройдите по ссылке, указанной в подсказке системы (см. рисунок ниже)
Необходимые плагины уже установлены на ПК?
На ваш компьютер скачается требуемый файл. Если вы работаете в браузере Google Chrome, вы увидите окно скачивания в левом нижнем углу страницы (см. рисунок ниже). В других браузерах окно скачивание вы увидите в правом верхнем углу страницы.
Запустите скачанный файл и осуществите установку плагина, следуя инструкциям:
Нажмите кнопку «Далее»
Нажмите кнопку «Установить»
По завершении установки нажмите кнопку «Готово»
В следующем окне нажмите кнопку «На главную»
В верхнем правом углу страницы вы увидите уведомление о том, что было добавлено новое расширение (расширение для плагина Госуслуг):
Кликните на уведомление и нажмите кнопку «Включить расширение»
В браузере вы увидите значок, который показывает, что расширение для плагина Госуслуг установлено:
Далее система попросит вас подсоединить к компьютеру носитель ключа электронной подписи (токен). Подсоедините и нажмите «Готово»
Выберите сертификат ключа проверки сертификата электронной подписи
Система обратится к средству электронной подписи
Введите пин-код на сертификат ЭЦП, если он установлен, либо нажмите кнопку «Продолжить без пин-кода»
Работайте в личном кабинете на портале Госуслуги
