Продолжается взлом аккаунтов на «Госуслугах» для взятия микрокредитов

Онлайн-мошенники продолжают получать доступ к аккаунтам граждан на сайте госуслуг и через них брать кредиты и микрозаймы, предупредили опрошенные РБК эксперты. По мнению руководителя аналитического центра Zecurion Владимира Ульянова:

«Это уже серьезная проблема, а в ближайшем будущем она только усугубится. Много людей столкнется с попытками осуществления действий от их лица. Взлом учетной записи, подбор пароля или утечка данных могут привести к тому, что злоумышленник получит доступ к аккаунту на госуслугах и, конечно, попытается монетизировать этот доступ».

Повышенные риски — обратная сторона удобства сервиса, который позволяет совершить множество операций. «Я надеюсь, что на портале появится возможность ограничить область использования аккаунта, чтобы человек сам мог выбирать уровень риска и набор доступных опций», — предположил Ульянов.

Сейчас повысить уровень защиты, по словам эксперта, можно, включив двухфакторную аутентификацию входа в личный кабинет, а также установить собственный сложный пароль. Однако полностью уберечься от действий мошенников это не поможет.

Напомним, первые сообщения о такого рода взломах появились ещё весной текущего года. Несколько пользователей пожаловались, что к их аккаунтам неизвестные получили доступ, разрешив использовать их данные в одном из сервисов «Единой России». Тогда же своими бедами стали делиться люди, на которых неизвестные взяли кредиты.

Позже Минцифры подтвердило инцидент со взломами, тоже порекомендвав использовать «двухфакторку». В свою очередь, в «Ростелекоме» подчеркнули важность использования надежных паролей.

Однако «увод» аккаунтов до сих пор не прекратился. Недавно режиссер Иван Цыбин сообщил, что стал жертвой взлома своей страницы на портале Госуслуги. По его словам, мошенникам удалось изменить номер телефона, адрес электронной почты и от его имени отправить заявки на «получение микрозаймов под бешеные проценты».

В начале июля о том же сообщал блогер из Санкт-Петербурга, а также уже пострадавшая от взлома в мае Надежда Князева, ощущающая последствия того инцидента по сей день:

BFM задался вопросом, можно ли, взломав аккаунт на «Госуслугах», оформить кредит в банке? Есть ли доступ в банк через этот государственный сервис? Год назад Минцифры и Центробанк анонсировали новую функцию — оформление кредита через «Госуслуги» без визита в банк. Сообщалось, что в проекте участвуют 20 банков и несколько страховых компаний. Но на практике эту функцию взяли в работу микрофинансовые организации. Именно они рекламируют в интернете кредиты через «Госулуги». Зайдя на их сайт, можно авторизоваться через «Госуслуги», но, кроме фамилии, имени и отчества, компания никаких других данных не получит и доступа к вашему аккаунту иметь не будет.

Это как авторизоваться на любом сайте через аккаунт в Facebook или профиль в Google, объясняет гендиректор компании «Киберполигон» Лука Сафонов:

«У сайта госуслуг есть портал сквозной аутентификации, который называется ЕСИА, он сделан для удобства и позволяет вам на доверенных сайтах, которые входят в эту систему, авторизоваться с помощью подтвержденной учетной записи. Если у вас учетная запись подтверждена на «Госуслугах», вы можете зайти в Сбербанк, если у вас там нет аккаунта, на сайты Департамента информационных технологий правительства Москвы под доменами mos.ru и так далее. Но это равносильно авторизации с помощью Facebook, «ВКонтакте»: это просто механизм авторизации, он передает ключ и подтверждает, что действительно этот человек имеет такую-то запись в Facebook либо этот человек имеет подтвержденную запись в «Госуслугах», и там автоматически доставляется ваша фамилия и так далее. Но подтверждение вашей платежеспособности по кредиту и так далее — это очень спорный вопрос».

Директор по развитию компании «Тридиви» (3DiVi Inc) Дмитрий Морозов заявил РБК, что ему не известно о фактах взлома профилей на «Госуслугах», но допустил такую возможность. Он надеется, что надежность аккаунтов сможет повысить биометрия, например, вход по FaceID или скану сетчатки.

UPD 22.07.2021. Депутат Госдумы Антон Горелкин написал обращение по факту взлома в Минцифры, о чём сообщил в своём Telegram, приложив сканы документа:

"Направил обращение к главе Минцифры Максуту Шадаеву по ситуации, сложившейся вокруг мошенничества с аккаунтами Госуслуг. Надеюсь, что ситуация разрешится быстро, так как сейчас каждый день — это очередные жертвы мошенников на портале, где такое мошенничество должно быть невозможным в принципе".

Ну как тут не похвалить парламентария за своевременное реагирование!