Как мошенники получают доступ к вашим Госуслугам

samurei

Ох**еть, опять Госуслуги. Как будто других тем нет. Каждый квартал одно и то же, цифры растут, а народ всё равно лохается.

Вот ты пишешь про коды подтверждения, типа 'проверка безопасности'. А вот скажи, автор, ты сам-то как думаешь, почему люди до сих пор на эту дичь ведутся? Реально, вот этот момент с 'проверкой безопасности' это ж классика жанра. Неужели нельзя донести до народа, что никакая 'безопасность' не требует от них сообщать коды из СМС? Или тут какая-то более тонкая психология, которую ты не раскрыл?

И еще, про фишинговые сайты. Ты уверен, что они реально работают так же эффективно, как тупо попросить код? По моим данным, через фишинг сейчас меньше разводят, чем тупо по телефону или в мессенджерах. Или ты про какие-то специфические случаи говоришь...

Ох**еть, опять эти госуслуги. Реально, как будто каждый второй лох ведётся на эту дичь. Автор правильно подметил про восстановление пароля, это ж классика жанра. Типа звонят, говорят: 'Ваш аккаунт взломали, срочно скажите код из смс, чтоб мы его спасли'. А сами его и взламывают, сука.

Я вот сам недавно чуть не лоханулся. Прилетело письмо, мол, 'обнаружена подозрительная активность, пройдите по ссылке для проверки'. Ссылка, конечно, кривая была, еле заметил. Хорошо, что комп шарит, да и сам не совсем нуб уже. Но вот если бы бабуля моя увидела такое... пипец бы был.

Самое тупое, что многие реально не врубаются про 2FA. Типа, зачем это, если пароль и так сложный? Да потому что пароль твой где-то слили уже, вот зачем! А второй фактор, это уже другая линия обороны. Короче, ставьте эту двухфакторку везде, где можно, и не палите коды из смс никому, даже если звонит сам Путин. Ну или кто там типа звонит от их имени.

[Теневой дайджест]

В первом квартале 2024 года количество обращений граждан по факту несанкционированного доступа к их аккаунтам на портале Госуслуг выросло на 35%. Это свидетельствует о систематическом характере атак, нацеленных на получение доступа к персональным данным и финансовой информации граждан.

Схема компрометации аккаунта Госуслуг чаще всего строится на использовании методов социальной инженерии. Злоумышленники, получив доступ к номеру телефона или электронной почте жертвы, инициируют процедуру восстановления пароля. Далее, используя методы социальной инженерии, они убеждают жертву сообщить код подтверждения, полученный по SMS или электронной почте, якобы для «проверки безопасности» или «отмены подозрительной операции». В некоторых случаях мошенники могут использовать уязвимости в системе восстановления паролей или фишинговые сайты, имитирующие официальный портал Госуслуг.

Кто в зоне риска

Наиболее уязвимы пользователи, которые не используют двухфакторную аутентификацию (2FA) или используют один и тот же пароль для нескольких сервисов. Также в группе риска граждане, которые легко поддаются на уговоры и не проявляют должной бдительности при получении подозрительных сообщений или звонков. Пожилые люди и те, кто недостаточно осведомлен о современных методах мошенничества, составляют значительную долю пострадавших.

Признаки атаки

* Неожиданные уведомления о смене пароля или привязке нового устройства.
* Появление новых заявлений или услуг, которые вы не инициировали.
* Попытки сброса пароля, которые вы не запрашивали.
* Получение SMS или email с кодами подтверждения без вашего участия.
* Невозможность войти в свой аккаунт под предлогом «неверный пароль».

Почему это работает

Эффективность данной схемы обусловлена двумя факторами: психологическим давлением и доверием к государственным сервисам. Мошенники эксплуатируют когнитивное искажение, известное как

«эффект авторитета», представляясь сотрудниками госорганов или служб поддержки. Страх потери доступа или опасение за безопасность своих данных заставляют жертву действовать импульсивно, игнорируя очевидные признаки мошенничества. Кроме того, многие пользователи воспринимают Госуслуги как абсолютно безопасный ресурс, что снижает их бдительность.

Тенденция

Наблюдается миграция атак с более простых платформ на критически важные государственные сервисы. Мошенники стремятся к получению доступа к данным, которые имеют высокую ценность на черном рынке, включая персональные данные, информацию о льготах и возможности оформления кредитов от имени жертвы. Ожидается дальнейшее развитие техник социальной инженерии с использованием ИИ для генерации более убедительных сценариев.

Что делать

1.

Включите двухфакторную аутентификацию (2FA) для вашего аккаунта Госуслуг. Это значительно усложнит несанкционированный доступ, даже если злоумышленник получит ваш пароль.
2.

Никогда не сообщайте коды подтверждения из SMS или email третьим лицам, кем бы они ни представлялись. Сотрудники Госуслуг или банков никогда не запрашивают такие коды.
3.

Регулярно проверяйте историю операций и привязанные устройства в личном кабинете.
4.

Используйте уникальные и сложные пароли для каждого сервиса. Рассмотрите использование менеджера паролей.
5. При малейших подозрениях немедленно

обратитесь в службу поддержки Госуслуг через официальные каналы связи.

Защита аккаунта Госуслуг, это не только техническая задача, но и вопрос личной осведомленности и бдительности.

Автор, ты тут про 'проверку безопасности' говоришь, мол, это классика. Ну да, классика, но ты сам-то копнул, почему она до сих пор работает? Я вот уже лет шесть как в этой теме копаюсь для одной газеты, и знаешь что? Люди верят, потому что страшно. Страшно, что аккаунт взломают, бабки спишут. А тут звонит 'сотрудник банка' или 'службы безопасности Госуслуг' и говорит: 'Нам нужно проверить, что это вы'. И человек, который и так на нервах, начинает паниковать. Ему кажется, что он действует правильно, защищаясь. Это не просто 'нельзя донести', это игра на страхе, на инстинкте самосохранения, пусть и ложном.

А насчет фишинга... Ты говоришь, он уже не так работает. По моим данным, ты прав. Тупо попросить код или заставить скачать прогу, это сейчас куда эффективнее. Фишинг требует от жертвы больше усилий: перейти по ссылке, ввести данные. А тут, просто продиктовать цифры. Меньше телодвижений, больше шансов на успех. Так что да, я думаю, ты про специфические случаи говоришь, где фишинг еще жив. Но основная масса разводов сейчас идет по пути наименьшего сопротивления. Жесть, как оно есть.

Похожее обсуждали вот тут: Мошенничество в Украине: новые схемы