Глава Минцифры Максут Шадаев заявил, что его ведомство ищет, чем заменить сообщения для смены пароля к учетной записи на «Госуслугах». Часто мошенники, именно узнав код из СМС, крадут аккаунты и далее продают содержащиеся там данные либо получают доступ к банковским данным обманным путем
«Любой код, который приходит в СМС-сообщении, — это сейчас зло», — заявил глава Минцифры Максут Шадаев. Ведомство ищет, чем заменить сообщения для смены пароля к учетной записи на «Госуслугах». Часто мошенники, именно узнав код из СМС, воруют аккаунты.
Москвичке Виктории Мироновой мошенники позвонили под видом ее мобильного оператора со словами: «Мы уже третий месяц пытаемся с вами связаться, завтра заблокируют ваш выгодный корпоративный тариф. Чтобы этого не случилось, надо подтвердить номер телефона, вам придет СМС-сообщение с официального аккаунта «Госуслуг». Собеседник знал все детали ее истории с мобильным оператором, и даже когда Виктория сказала: «Вы похожи на мошенников» — похвалил за бдительность и очередным фактом убедил, что это не так. В итоге Виктория назвала код:
«Они просят потом зайти на почту. Там должно прийти письмо от «Госуслуг». И вот здесь надо сказать, что сработала вот эта их шапка внизу о том, что чаще всего так действуют мошеннические схемы. И вот в этот момент у меня точно сложилось дважды два, я сразу же прервала связь. Мне потом было тяжело дозвониться до «Госуслуг». Более того, мне кажется, что телефон, который был в официальном письме, вывел меня на некомпетентного сотрудника либо кого-то очень похожего на мошенника. Говорили про какие-то странные схемы, про связь с Центробанком и так далее. А в итоге мне очень помогла девушка — оператор Сбербанка, потому что я сразу начала звонить и проверять, не было ли бы каких-то действий, совершенных с банковскими картами. И девушка мне как раз рассказала, что нужно делать, куда идти. Самое главное, что я не могла в моменте поменять пароль. Они же его, получается, сбрасывают, меняют, когда уже получили доступ к приложению. И я уже ничего не могу с этим сделать. Я могу только физически приехать в МФЦ, написать заявление, что меня взломали, собственно, что я и сделала. Поехала просто в ближайшее отделение, там очень быстро, оперативно мне помогли, заблокировали им вход. Но прошло больше часа, они скачали очень много документов, даже заказали справки 2-НДФЛ».
Виктория уверена: если есть уязвимое место и многие на это попадаются, значит, для подтверждения входа на «Госуслуги» нужно применять что-то другое вместо СМС-сообщения.
Есть два варианта, которые уже работают. Первый — приложение для генерации одноразового пароля, который действует буквально несколько секунд. Как отмечают эксперты, приложение можно настроить так, чтобы ключ работал только в связке с вашим устройством.
Второй вариант — вход по биометрии. Глава Минцифры Максут Шадаев отметил, что это останется доступным по желанию. Кроме того, если человек потерял пароль и хочет его восстановить, вторым фактором аутентификации может стать подтверждение через банковское приложение. Или — идти в МФЦ. Комментирует эксперт по информационной безопасности, генеральный директор Phishman Алексей Горелкин:
Алексей Горелкинэксперт по информационной безопасности, гендиректор Phishman«Конечно, хорош подход с OTP — One Time Password. Это приложение, которое генерирует разовые пароли, которые надо ввести за очень короткий срок. Но альтернативные методы, которые были предложены, также интересны. К примеру, это может быть банковское приложение дополнительное или явка в МФЦ в определенных случаях. Из всех возможных способов СМС-сообщение, конечно же, проще всего перехватывается. Иногда на людей могут воздействовать злоумышленники, например, сейчас популярная тема, что вам звонит как будто бы доставка, но на самом деле приходит то же самое сообщение с «Госуслуг». Но также злоумышленники, понимая, что люди помнят о том, что не стоит сообщать коды СМС, просят авторизоваться в ботах в Telegram. Последнее, что мы видели, это якобы сообщение от «Почты России», где приглашают в бот, где надо авторизоваться с помощью «Госуслуг». И люди таким образом злоумышленникам через боты передают логин, пароль. Важно развивать киберкультуру, чтобы у людей был не один пароль от всех сервисов, когда злоумышленник один пароль узнал и теперь все в его руках. В «Госуслугах» также приходит уведомление, что пытаются залогиниться в вашем аккаунте, и этим тоже стали пользоваться злоумышленники. Мы сейчас видим такую схему: у человека воруют аккаунт, и ему присылают письмо как будто бы от «Госуслуг», говоря, что вам нужно по этому номеру связаться. Человек связывается, это номер не «Госуслуг», и там его продолжают дальше разводить, уже получая банковскую информацию».
Сами пользователи отмечают, что было бы удобно, если бы уже в момент, когда мошенники подбирают к вашему логину пароль, пользователю приходило уведомление на телефон: в ваш аккаунт пытаются войти, подтвердите, что это вы. Сейчас такие сообщения приходят, но только на почту и только если человек сам активировал эту опцию на портале. Правда, стоит учесть, что и этим пользуются мошенники: они воруют у человека аккаунт и присылают письмо будто бы от «Госуслуг» о том, что в вашу учетную запись выполнен вход и нужно позвонить на некий номер, где его продолжат «разводить», уже получая банковские данные.