Как сообщил региональный руководитель федерального проекта «Безопасный интернет» Алексей Белый, практически любой аккаунт на Госуслугах — это настоящая золотая жила для мошенников. Персональные данные можно продать или использовать для обмана владельца профиля в будущем.
— Только представьте, насколько убедительную легенду может придумать злоумышленник, если знает номер вашего паспорта, домашний адрес и модель машины, — говорит Алексей Белый, обращаясь к со гражданам.
Получить доступ к аккаунту на Госуслугах не так просто — на портале есть двухфакторная аутентификация, если она подключена, то даже знания логина и пароля будет недостаточно для входа. Поэтому взломщики полагаются на социальную инженерию. Специалисты по информационной безопасности отследили новую волну фишинга.
Как это работает.
Вам звонит мошенник, представляется сотрудником Госуслуг и сообщает, что возникла проблема с привязкой к вашему аккаунту QR-кода о вакцинации. Вас просят продиктовать код из SMS, который придёт во время разговора. Якобы это код для завершения процедуры, но на самом деле — чтобы успешно пройти двухфакторную аутентификацию и получить доступ к вашему профилю.
На руку обманщикам играют сообщения в СМИ о задержках появления QR-кода на Госуслугах — все воспринимают историю о «техническом сбое» как вполне реальную. Вишинг же используется, чтобы не дать вам возможность спокойно проанализировать ситуацию, ведь это не так просто сделать во время телефонного разговора.
Как защититься.
В SMS и push-уведомлениях действительно могут приходить коды не только для входа в учётную запись, но и для подтверждения различных действий. Однако в любом случае все эти комбинации предназначаются исключительно для владельца аккаунта.
— Эти коды придуманы, чтобы подтвердить личность пользователя через мобильный телефон и убедиться, что доступ не запрашивает кто-то посторонний. При этом администраторы, менеджеры и другие сотрудники платформы, как правило, обладают необходимым набором прав в системе, чтобы решать любые технические сбои без участия клиента.
Было бы странно, если бы это работало иначе, не правда ли? Поэтому не стесняйтесь в любой подобной ситуации отвечать, что вы хотите сперва уточнить информацию в сети или по официальным номерам телефонов и заканчивать разговор, — заключил Белый.