Что произойдет, если мошенники получат доступ к аккаунту на «Госуслугах»?

Олег Суворов

Сегодня аккаунт на «Госуслугах» превратился в универсальное хранилище данных, охватывающее практически все аспекты жизни человека. Паспортные данные, сведения о недвижимости, история штрафов, медицинские документы и доступ к государственным сервисам — все это хранится под одной учетной записью.

Однако вместе с удобством растут и риски. Если пароль от вашего аккаунта попадет в руки мошенников, они смогут воспользоваться личной информацией, оформить кредиты, подать от вашего имени заявления или даже получить доступ к банковским и налоговым данным. Поэтому защита учетной записи «Госуслуг» становится не просто техническим вопросом, а необходимостью для безопасности вашей жизни.

Как злоумышленники могут похитить пароль от «Госуслуг»?

Существует множество способов потери доступа к личному кабинету на «Госуслугах», большая часть из них относится к методам социальной инженерии, рассказал в беседе с «Новыми Известиями» к. э. н., доцент, эксперт в области кибербезопасности, декан факультета ИТ и кибербезопасности Университета «Синергия» Александр Захаров.

«Как правило, злоумышленники, вступая в контакт с потенциальной жертвой через телефонный звонок, используют вполне стандартные скрипты общения:

Запись на медицинское обслуживание в поликлинику без очереди, запись в социальный фонд для перерасчета пенсии, получение заказных писем из налоговой — перечень сценариев достаточно широк. Разговор злоумышленника строится по заранее продуманной схеме, подразумевающей ответы „да“ в силу их логичности (например: вы бы хотели получить письмо из налоговой в электронном виде? Давайте мы сразу запишем вас на перерасчет пенсии без очереди на удобное для вас время и т. д.)», — рассказал эксперт.

Главная задача злоумышленника на этом этапе — заставить назвать жертву код, который приходит на мобильный телефон для восстановления доступа на «Госуслуги».

«Кабинет на сайте „Госуслуги“ — это не просто очередной логин и пароль, это запись в ЕСИА, Единую систему идентификации и аутентификации, Государственную информационную систему, обеспечивающую санкционированный доступ участников информационного взаимодействия (граждан-заявителей и должностных лиц органов исполнительной власти) к информации, содержащейся в государственных информационных системах и иных информационных системах.

Поэтому авторизация через „Госуслуги“ применяется не только для доступа в личный кабинет, но и для доступа на все государственные информационные порталы, содержащие критически важную информации о гражданине (https://www.nalog.gov.ru (Налоговая служба), https://sfr.gov.ru/ (Социальный фонд), https://rosreestr.gov.ru/ (Росреестр и т. д.)», — напомнил Захаров.

Он указал, что, получив доступ к кабинету на «Госуслугах», злоумышленник может нанести серьезный ущерб гражданину, начиная от множества заявок на кредиты в микрофинансовых и не только организациях (способом подтверждения личности, как правило, служит учетная запись на «Госуслугах») и заканчивая серьезными последствиями в виде выпуска электронной цифровой подписи и совершения сделок от лица пользователя с движимым и недвижимым имуществом.

Знания одного пароля недостаточно для получения доступа к «Госуслугам», отметил в беседе с «Новыми Известиями» архитектор решений по информационной безопасности компании «Тринити» Андрей Поцелуев. Требуется также подтверждение с использованием второго фактора (например, СМС на привязанный номер телефона).

Что произойдет, если злоумышленники получат доступ к «Госуслугам»?

Андрей Поцелуев успокоил граждан: сама по себе утечка пароля еще некритична. Узнав только пароль, злоумышленники не смогут сразу получить доступ к личному кабинету на «Госуслугах». Но если мошенники получат полный доступ к кабинету, то это грозит владельцу аккаунта как минимум неожиданными кредитами на его имя.

«Наиболее распространенными способами мошенничества с использованием личного кабинета „Госуслуг“ является онлайн-оформление кредитов. Кроме того, при помощи ЕСИА (Единой системы идентификации и аутентификации) злоумышленники могут воспользоваться личными кабинетами на других государственных сервисах (например, Росреестра). В этом случае последствия могут быть даже серьезнее, чем непосредственно мошенничество в личном кабинете „Госуслуг“», — предупредил эксперт.

Прощай, квартира?

Менее оптимистично настроен директор по управлению сервисами Angara Security Павел Покровский. Он заверил, что если злоумышленник получил полный доступ к кабинету «Госуслуг», где есть подтвержденная учетная запись, то он может выполнить любое юридически значимое действие от имени пользователя: заключить договор, подписать договор, взять кредит, то есть вступить в любые юридически значимые отношения. Причем для признания этих отношений недействительными пользователю придется обращаться в правоохранительные органы, а далее — в суд.

«Победит ли пользователь в суде? Вопрос открытый. Если за то время, когда пользователь в интервал между попаданием пользователя, попаданием мошенника в личный кабинет, совершением каких-либо действий от имени пользователя и обращением пользователя в правоохранительные органы прошло какое-то существенное время, то шансы пользователя восстановить свои права, вернуть свои имущества стремительно тают. То есть, если, например, произошла какая-то сделка купли-продажи от имени пользователя, и покупатель, например, является добросовестным приобретателем, то судебная практика такова, что добросовестного приобретателя лишить права приобретенного по договору в последнее время нельзя.

Поэтому, если мы представим, что мошенник от лица пользователя продал, заключил договор купли-продажи на примерно недвижимое имущество пользователя и сразу же перепродал, это маловероятно, но тем не менее сразу же перепродал эту квартиру кому-то еще, то получить назад такую квартиру практически невозможно», — предупреждает эксперт.

Основатель проекта «Поток-7» Артем Сеник подчеркнул, что наиболее опасна утечка данных «Госуслуг», если пользователь разрешил совершать сделки без фактического присутствия.

«Мошенники получают доступ к вашему аккаунту в „Госуслугах“, в котором не стоит запрет на сделки без фактического присутствия. Они могут легко продать вашу квартиру. Поэтому нужно поставить эту галочку — оставить возможность совершать сделки исключительно через нотариуса», — сказал Артем Сеник.

Как защитить свои данные от мошенников?

Для защиты своих данных стоит использовать отличающиеся пароли на разных ресурсах, при этом не делать их слишком простыми, советует Андрей Поцелуев. Также ни в коем случае не сообщать коды из СМС «сотрудникам службы безопасности» и представителям «официальных» учреждений — настоящие сотрудники серьезных организаций, в частности государственных, никогда не будут запрашивать пароль.

Александр Захаров предложил несколько способов, как защитить свои личные данные на сайте «Госуслуги»:

1. Внимательно читайте СМС, приходящие на ваш телефон, если написано «Код восстановления доступа к учетной записи ****. Не сообщайте его никому!», то не стоит его сообщать НИКОМУ, он предназначен исключительно для вас.

2. Запретите дистанционные сделки в Росреестре без личного присутствия, по умолчанию они разрешены.

3. Не раздавайте WiFi неизвестным, часть операторов разрешают вход в личный кабинет оператора без дополнительной авторизации, что может привести к переадресации всех вызовов и СМС на номер злоумышленника с потерей доступа к «Госуслугам».

4. Внимательно относитесь к старым номерам и сим-картам, после определенного периода бездействия номера часто возвращаются в продажу, и злоумышленники, купив новую карту могут первым делом попробовать восстановить доступ к «Госуслугам» через ваш бывший номер со всеми вытекающими негативными последствиями.