Мошенники по-новому выманивают доступ к "Госуслугам": за чем нужно следить. Мошенники активизировали схему, позволяющую взломать аккаунты на портале “Госуслуг”. При регистрации на сайте вас перекидывает на оригинальный сайт госуслуг.
Мошенники получили доступ к госуслугам, что делать?
Как можно избежать мошеннических действий с оформлением кредитов? Спросите совет юриста Схема у мошенников одна и та же — гражданину приходит уведомление об изменении контактных данных на портале «Госуслуги», указанных в профиле При этом он теряет возможность зайти в свой аккаунт. Это означает, что мошенники взломали его профиль и получили доступ к персональным данным, которые они могут использовать, в том числе, и для оформления кредитов. Пока гражданин пытается пообщаться с технической поддержкой «Госуслуг» и решить проблему, злоумышленники направляют многочисленные заявки на получение займов и кредитов в банки и микрофинансовые организации. В случае, если какая-то из заявок будет одобрена, мошенники получают средства, а затем обналичивают их. В итоге, гражданин, чьи данные были украдены, остается должен кредитной организации средства, которые он не занимал. Как такая ситуация стала возможной Некоторое время назад для предотвращения распространения коронавирусной инфекции был запущен эксперимент, который позволял гражданам, желающим взять кредит, пройти идентификацию через портал «Госуслуги». К системе были подключены некоторые банки, страховые компании и микрофинансовые организации. После этого для оформления займа стало не обязательно лично посещать кредитную организацию, достаточно просто пройти регистрацию на сайте банка с указанием профиля на «Госуслугах». Эту опцию и начали использовать злоумышленники. Ведь для того, чтобы оформить займы на имя ничего не подозревающего гражданина, им надо лишь только получить доступ к учетной записи на портале «Госуслуги».
Схему развода с контрольным вопросом на госуслугах мы разобрали в отдельном материале. Мошенники используют механизмы госуслуг, чтобы пострадавший поверил: номер, на который нужно позвонить, действительно принадлежит сервису. Но если присмотреться, понятно, что аферисты заменили контрольный вопрос призывом им позвонить. Перейдите по ссылке из письма или введите код из смс.
После этого вам предложат придумать новый пароль. Если телефон и почта недоступны, зарегистрируйтесь повторно через онлайн-банк из списка.
При этом они обращаются по имени-отчеству и даже могут назвать ваши личные данные вроде домашнего адреса, электронной почты или даты рождения. Затем у вас интересуются, каким способом отправить документы — "Почтой России" или посредством электронной почты. Независимо от ответа вам сообщат, что документы к отправке готовы и остается лишь ввести в программу код подтверждения», — рассказал Хаминский. Поэтому жертвы называют код из СМС-сообщения, а после лишаются сбережений и иногда имущества. Unsplash «Что же происходит на самом деле? Преступники узнают номер телефона, адрес электронной почты и другие персональные данные заинтересовавшего их лица. Затем заходят на портал "Госуслуги" и, выбрав функцию "забыл пароль", вводят номер телефона потенциальной жертвы.
С помощью фишинга и т. Пример фишинг-сайта От такого рода атак если вы везде используете один пароль вас спасет только 2FA. Говорить при этом что взломали ваши госуслуги как сервис или почту - ну такое себе. Провести успешные атаки на аккаунт с ЭЦП не удалось. Выводы: взлом аккаунтов на самих госуслугах это миф. Рекомендации: включить 2FA, не использовать одинаковые пароли. Миф второй. Может быть уязвимо веб-приложение? Интернет-пользователи пожаловались на хакеров, которые взломали их аккаунты на «Госуслугах» и дали согласие на обработку персональных данных для одного из сервисов «Единой России». В партии считают это информационной атакой. Взлом мог затронуть значительное количество пользователей, полагают эксперты по кибербезопасности. Ну раз эксперты говорят что значительное число, значит скорее всего взломали сайт. Ок, давайте проверим на прочность само веб-приложение и веб-сервисы. Анализ служебных заголовков, проверка возможности предиктивности кук или сессионных ключей не привели к возможности перехвата чужого аккаунта. Ок, автоматика нам не помогла, поищем "руками". В течение пары часов потыкав формы и параметры удалось обнаружить self-XSS в third-party сервисе, но раскрутить эту уязвимость до приемлемого вектора не удалось, да и уязвимость "такая себе", что ее зачастую не валидируют и в bug bounty программах. Можно выстрелить себе в ногу.
Мошенники взломали Госуслуги: что делать? Советы юриста
Могут ли мошенники оформить кредит по телефону Не только могут, но и активно совершенствуют схемы телефонного мошенничества. Расскажу об одной из самых свежих. Злоумышленники звонят жертве от имени сотрудников Центробанка и предлагают проверить пятитысячную купюру на подлинность. Для этого нужно зайти в приложение «Банкноты Банка России». Это официальный ресурс Центрального банка. Но вместо этого жертве отправляют ссылку на фишинговое приложение с тем же названием. Ничего не подозревающий гражданин авторизуется в нём, используя свои логин и пароль от «Госуслуг» — и преступники получают удалённый доступ к её смартфону.
А затем либо похищают деньги с банковских счетов гражданина, либо оформляют на него крупный кредит. Верховный Cуд России признал, что ответственность за кредиты, оформленные телефонными мошенниками, несут банки, а не пострадавшие граждане. Определение Верховного Cуда РФ от 09 октября 2023 г. Они свою вину не признают. Нужно идти в полицию и суд. Количество зарегистрированных случаев телефонного мошенничества с оформлением кредитов на жертву исчисляется сотнями тысяч.
А причинённый ущерб не поддаётся исчислению. Число возбужденных уголовных дел в отношении неустановленных лиц также велико. И полиция не бездействует: то и дело появляются сообщения о том, что «накрыли» банду телефонных мошенников или выявили очередной кол-центр. Но пострадавшим гражданам от этого не легче. Поэтому за дело взялись депутаты. В настоящее время на рассмотрение Госдумы вынесен законопроект о самозапрете на выдачу кредитов.
Если он будет принят, любой дееспособный гражданин сможет официально запретить оформление кредитов или микрозаймов на своё имя. Отметка о запрете будет размещена в его кредитной истории. Если при выдаче займа сотрудники банка или МФО увидят самозапрет, гражданину не выдадут деньги до снятия этого ограничения. И даже если гражданин будет брать кредит или микрозайм под контролем мошенников, у него будет время «охладиться» и не позволить себя обмануть. Рассматриваемый законопроект больно ударит мошенников по рукам.
Кроме того, номер отображается на официальном сайте Госуслуг. И не надо забывать, что вы торопитесь восстановить пароль, чтобы вернуть контроль над аккаунтом.
Ну и контрольный вопрос свой вы скорее всего не помните, а если и помните, то ответ на него не подходит. В общем вы набираете этот номер техподдержки и доверчиво попадаете в руки мошенников. Чтобы не помогать мошенникам и не отлаживать их скрипты диалога, я не стану тут публиковать информацию о том, что в итоге насторожило, а затем и убедило владельца аккаунта в том, что его он стал жертвой мошенничества. В общем, в данном случае ущерба удалось избежать, пройдя практически "по грани". Надеюсь информация будет полезной, но с вами подобного не случится!
Утечка данных Но эксперты по кибербезопасности уверены: произошла утечка информации с серверов портала. Благодаря этому аферисты легко могут подменить данные для входа в систему и получить доступ к любому аккаунту. Поиск pdf-файлов. Ничего полезного найти не удалось, поэтому решено было продирбастить каталоги и файлы, вдруг разработчики оставили что-то критичное.
Пришлось немного оттюнить выхлоп ffuf, чтобы отсеять лишнее. Ffuf отработал, нашлось немного При анализе найденных файлов не удалось найти какую-то критичную информацию. Даже в комментариях к коду разработчики не оставили никаких "пасхалок". В основном попадались сервисы обращений, какие-то скраперы и т. Ничего интересного найти не удалось. Выводы: Массовая утечка аккаунтов это миф. В публичном доступе на момент публикации статьи отсутствуют данные о каких-либо утечках. Рекомендации: использовать средства мониторинга внешних источников. Миф четвертый.
Берем кредит на госуслугах Особое возмущение Ивана Цыбина вызвал тот факт, что с помощью портала «Госуслуг» можно подтвердить личность любому кредитному учреждению и брать займы. Найдем сайт их тысячи оформления кредита и попробуем авторизоваться через госуслуги. Авторизация в сервисе. При наличии 2FA авторизации необходимо ввести еще и смс и только тогда сторонний сайт получит доступ к вашим данным.
Стратегия защиты Однако способы защиты от действий подобных злоумышленников существуют. Во-первых, имеет смысл настроить свой личный кабинет на "Госуслугах" так, чтобы для входа в него требовалась двухфакторная аутентификация, то есть если преступники совершили взлом, то для осуществления каких-либо действий им понадобится код из СМС, которое придёт на телефон владельца личного кабинета.
Во-вторых, рекомендуется заранее отправить в Росреестр заявление о включении в ваши данные адреса электронной почты это можно сделать дистанционно на официальном сайте ведомства, но придётся пройти регистрацию. Если у Росреестра есть актуальный адрес электронной почты собственника недвижимости, то при поступлении любых запросов, например на переоформление права собственности, на электронную почту россиянина, у которого права на недвижимость, поступит соответствующее уведомление. Для этого придётся обратиться в МФЦ или кадастровую палату, которые должны инициировать внесение в реестр соответствующей записи. Если такой запрет есть, то даже при наличии нотариальной доверенности без физического присутствия собственника сделку провести будет невозможно. Однако надо иметь в виду, что в заявлении на запрет обязательно стоит указать, что он распространяется не только на действия по доверенности, но и на совершённые с применением ЭЦП.
Информационная безопасность операционных технологий
Телефонные мошенники звонят гражданам по телефону, представляются сотрудниками портала «Госуслуги» и предлагают якобы привязать QR-код к странице пользователя. В этой статье мы расскажем о том, могут ли мошенники оформить кредит с помощью информации, полученной через «Госуслуги», и что можно предпринять, чтобы избежать такой ситуации. Благодаря этому мошенники получают и данные доступа к «Госуслугам», и информацию об абоненте. Внимание на новую схему обмана пользователей обратили авторы Telegram-канала True OSINT (Open Source Intelligence, разведка по открытым источникам).
Россиянам рассказали о новом виде мошенничества с «Госуслугами»
Мошенники через Госуслуги лишают россиян жилья: юрист рассказал, как работает новая опасная схема. Несмотря на то, что с октября этого года Госуслуги ввели обязательную двухфакторную аутентификацию, мошенники все равно нашли лазейки. Для чего мошенникам учетные записи портала Госуслуг, и какие финансовые обороты у этого незаконного бизнеса?
Мошенники начали взламывать аккаунты петербуржцев на портале "Госуслуги"
Затем заходят на портал «Госуслуги» и, выбрав функцию «забыл пароль», вводят номер телефона потенциальной жертвы. Затем под видом сотрудника госархива совершают звонок и рассказывают почти правдоподобную историю про исполнение запроса. Не сообщайте никому». Ничего не подозревающий гражданин произносит вслух четыре цифры и мошенники получают доступ к его профилю на «Госуслугах», — предупредил юрист. Далее, по его словам, они меняют в личных данных номер телефона и e-mail для уведомлений и могут от имени жертвы совершать любые сделки, вплоть до отчуждения квартир.
Впрочем, оформление левого кредита на пострадавшего — это ещё мелкие беды. С появление на Госуслугах опции квалифицированной электронной подписи КЭП владельцев взломанных аккаунтов могут ждать проблемы куда более серьезные. КЭП участвует в сделках с автомобилями и недвижимостью, и экспертам уже известны случаи, когда мошенники, получив КЭП владельца аккаунта, переоформляли в свою собственность его недвижимость, а потом её продавали.
Если же злоумышленникам удастся реализовать свои планы, жертва может вскоре обнаружить, что на неё записаны штрафы или кредиты», - прокомментировал технический директор Trend Micro в России и СНГ Михаил Кондрашин. Основная проблема в кредитах, взятых на владельца аккаунта, заключается в том, что владелец зачастую даже не знает об этом. Существуют примеры, когда людей, собирающихся на отдых, разворачивали в аэропорту, уведомляя их о задолженностях.
Напомним, что, по законодательству РФ, каждый гражданин имеет право два раза в год бесплатно проверять свою кредитную историю в Бюро кредитных историй. К сожалению, пользуется этим правом далеко не каждый. Более редкими способами монетизировать Госуслуги являются попытки получения субсидий, либо дистанционное участие в судебных процессах с отчуждением судом у жертвы какого-либо имущества.
В дальнейшем ей будет трудно доказать свою непричастность к процессу», - пояснила адвокат Виктория Бессонова. Как защитить свой профиль на Госуслугах В принципе, учётную запись на Госуслугах взломать невозможно. Сервис надежно защищен от любых посягательств, и успешных попыток взлома с нуля на данный момент не зафиксировано.
Однако всегда остается человеческий фактор.
Карты с деньгами выдавали в обычном отделении по поддельному паспорту, а сами паспортные данные можно найти где угодно, не только на «Госуслугах». Но как получилось так, что банки не распознали фальшивый документ?
Пострадавший обратился в полицию. По его словам, возбуждено уголовное дело. Адвокат Евгения Колесникова считает, что найти мошенников будет легко — по видеокамерам в отделениях банков.
Евгения Колесникова адвокат «Изымаются записи с камер видеонаблюдения в банке и устанавливается лицо, которое непосредственно приходило и получало [кредит]. В кассе банка всегда стоит видеокамера. Когда лицо получало деньги в кассе банка, тоже можно установить.
И если денежные средства переводились на карту и данное лицо снимало с карты, то в банкоматах также стоят камеры, точно так же можно эту информацию получить». Сам пострадавший общаться с Business FM по телефону отказался, хотя в интернете пишет, что журналисты его историей совсем не интересуются.
Новая схема мошенничества через Госуслуги Новая схема мошенничества через Госуслуги 19. Они звонят жертве и утверждают, что действующий договор заканчивается и его необходимо продлить, иначе номер передадут другому абоненту. Достаточно продиктовать код из смс.
Следующий шаг — перейти по ссылке, где нужно ввести еще один код. Таким образом человек не продлевает договор, который на самом деле является бессрочным, а предоставляет данные для входа в личный кабинет на портале «Госуслуги» и всю информацию о себе, которая хранится на этом ресурсе.
Дополнительный метод защиты россиян
- Мошенники получили доступ к Госуслугам что делать?
- Информационная безопасность операционных технологий
- Для чего мошенникам ваш аккаунт на Госуслугах
- Что делать, если на вас оформили кредит?
Наши сервисы
- Читайте также
- Что делать, если мошенники взломали аккаунт на Госуслугах?
- Взлом госуслуг: мифы и реальность / Хабр
- Юрист: Из-за нового вида мошенничества с «Госуслугами» можно лишиться жилья
Юрист: Из-за нового вида мошенничества с «Госуслугами» можно лишиться жилья
«Госуслуги» могут обзавестись сервисом проверки SIM-карт, зарегистрированных на владельца профиля. У официального сайта Госуслуг это — и ничего более, никаких других символов быть не должно. •. Что научились делать мошенники, чтобы получать доступ к чужим аккаунтам от ЕСИА, и как с этим бороться?
Сбербанк: мошенники начали обманывать россиян через «Госуслуги»
Владея чужим аккаунтом на “Госуслугах” можно таких дел наворотить: всего пара нажатий, и ваши машина, квартира, земля будут проданы", — отмечается в публикации. Займи срочно» Финансовые новости» Мошенники взломали аккаунт на Госуслугах. Для чего мошенникам учетные записи портала Госуслуг, и какие финансовые обороты у этого незаконного бизнеса? Гражданам РФ необходимо установить контрольный вопрос в своем личном кабинете "Госуслуг", в противном случае их аккаунт может быть украден из-за нового вида мошенничества, заявил РИА Новости сенатор Артем Шейкин.