12 мая меня взломали на официальном сайте государственных услуг. На портале подтвержденная учетная запись, а это значит, что там хранятся:
• Электронная подпись, при помощи которой можно делать любые операции с недвижимостью
• Данные паспорта, ИНН, СНИЛС, ДМС, ОМС и прочих документов.
• Данные карт разных банков
• Копии и оригиналы заявлений в разные гос. структуры, где указаны все возможные личные сведения, включая передвижения, все контакты с гос органами, и прочее прочее…
Хронология событий:
1. Ровно в 17:00 на мобильный телефон было получено смс сообщение от госуслуг с текстом «Ваш номер телефона был изменен и не может использоваться для входа».
2. После прочтения смс, тут же зашла на сайт госуслуг через компьютер. Было это в 17:03. В это же время, понимая что это мошенничество, быстро меняю номер телефона на свой обратно и параллельно пытаюсь дозвониться до Госуслуг по номерам, указанным в интернете. 3. Также параллельно, дозваниваясь до Госуслуг, в 17:05 меняю пароль на сайте. Все это время я продолжаю висеть на «дозвоне», где система меня кидает от одного пункта меню в другой. Заканчивается это тем, что звонок прерывается на стороне Госуслуг.
4. В это же время, в 17:05, поступает второе смс сообщение с текстом об изменении номера телефона. Так как нахожусь в это время в режиме активной сессии на госуслугах, я это вижу, и опять же мгновенно меняю номер телефона на свой обратно.
5. Начиная с 17:05 делаю еще несколько попыток дозвона по разным номерам госуслуг, где снова упираюсь в конечные выборы меню и как следствие обрыв связи.
6. Пока продолжаются безуспешные попытки дозвона, в 17:09 пишу в чат госуслуг из личного кабинета с текстом «срочно перезвоните» и информацией о том, что кто-то меняет мой номер прямо сейчас и пытается воспользоваться моими персональными данными. Ответа от оператора нет. Телефоны все также молчат, перекидывая по меню.
7. В 17:11 от моего имени, при мне в этот же открытый чат приходит сообщение от того, кто взломал мой аккаунт с текстом «а, ок, выхожу из системы, поменяйте пароль».
Дозвониться до госуслуг я смогла лишь через 10 минут после всех произошедших событий. Оператор на линии, на просьбы «заблокировать аккаунт», «насильно прервать все активные сессии» или сделать "ХОТЬ ЧТО-НИБУДЬ" ответил «Мы не можем ничего сделать, сессия у мошенника автоматически прервется через 24 часа». На мой комментарий, что за это время я останусь без недвижимости, карт и с кредитом на мое имя, мне было отвечено «ну мы составим обращение в тех. поддержку». Понятное дело, я сделала несколько попыток понять как и что произошло. Вот что выяснила:
На госуслугах есть кнопка «Действия в системе», там я увидела, что мошенник впервые попал в мой аккаунт в 16:29, то есть за пол часа до того, как он «решил» изменить номер телефона. Попал он через систему «Центр обработки персональных данных Всероссийской политической партии «ЕДИНАЯ РОССИЯ», к которой я никакого отношения никогда не имела.
В графе «Выданные разрешения» я обнаружила, якобы мною выданное разрешение центру обработки перс данных партии «ЕР» на использование всех моих данных, зарегистрированных на госуслугах (этого также не делала)
Ну и дополнительно. Помимо этого, оказалось, что мошенник успел написать оператору в чате до меня (скрины ниже).
Общий итог для меня выглядит так:
1. Мошенники могут пользоваться сторонними сервисами для входа в личный кабинет Госуслуг. Это так? Если нет, прошу дать ответ.
2. В случае если аккаунт взломан – надеяться на помощь Госуслуг к сожалению нет смысла. Мне они не помогли. Это уже факт.
3. Возможно вскоре я «прочувствую» на себе чем грозит слив всех данных и документов в третьи руки. А пока я просто не знаю, что делать дальше. Искренне не знаю и всех призываю – используйте сложные пароли, устанавливайте двухфакторную аутентификацию, не храните личные данные на любых сайтах.
P.S. Скрины выкладываю. Мат заблюрила.
Важный вопрос: подумайте, использовали ли вы эту же пару (логин/мобила/мыло)+пароль на любом другом ресурсе хоть когда-нибудь.
Если так, то это обычный кросс-чек (первая-вторая попытка проверки входа сразу же успешная).
Я долгое время был "на другой стороне баррикады" как оператор инфраструктуры ресурса по кол-ву аккаунтов наверное как 1/10 часть госуслуг и я могу точно сказать что это был и остаётся самый популярный способ взлома.
И такие кросс-чеки это реально, извините, боль в ж-пе(особенно когда на пользователей не плевать, и ещё больше если включение капчи просто так менеджмент считает неправильным), мы просто скачивали эти самые базы утечек паролей, чекали их на предмет совпадения с паролем у нас* и тихо-мирно сбрасывали пользователю пароль.
Пару раз сбрасывали с подробным уведомлением что и откуда мы взяли, получали шквал негатива в наш адрес.
Поможет проверить мыло и мобилку: https://haveibeenpwned.com/
*) звёздочка для въедливых буквоежек во избежании быть неверно понятым: у нас естественно всё хешированое-солёное
PS ну и логи входов в узловые места типа почт тоже проверьте(особенно IMAP/pop3 если почтовик умеет переведите на т.н. "пароли приложений")
Я один тут понял только 50% информации?
Не могли бы вы написать инструкцию, что сделать, как для шестиклассника или для моей мамы?
Представьте что вы всегда используете логин [email protected] и пароль im@ASsuper!995
Пароль хороший, сложный, претензий к нему нет.
Предположим вы ищите в сети что-то и вынуждены зарегистрироваться чтобы что-то скачать. Регистрируетесь с помощью логина* и пароля выше. Ресурс сохраняет ваш логин и пароль себе и пытается его проверить везде где только достанет:
— почтовики (pop/imap/web)
— популярные магазины
— популярные сервисы
— банки
Это не хорошо, не плохо, это просто вот так. И называется это "кросс чек". И ваша задача сделать так чтобы это не работало.
Единственный способ или второй фактор (так в банках, но с учётом размаха социнженерии мы видим что это работает не очень для массового пользователя) и/или не использовать один и тот же пароль два раза**
Есть несколько решений:
— сложное: использовать менеджер паролей и генерировать каждый раз новый случайны пароль которые невозможно запомнить(но это сложненькое решение, скорее для тех кто разбирается). Спасает от целевой атаки.
— простое: генерировать пароль к каждому ресурсу по какому-то алгоритму известному только вам
Например: для gOsUsLugi.rU — OUL@u1995, gMaIl.coM MI.@m1995 , для ответственных сервисов == "где деньги лежат" использовать другой алгоритм. От целевой атаки не спасёт конечно же. Пока что это хорошее решение от массового автоматизированного перебора.
*) Аналогично в ситуации когда вместо логина телефон(тут особенно хорошо атакуются банки через социнженерию)
**) я считаю что на какие-то одноразовые сайты типа "зарегистрироваться чтобы скачать" можно и пароль "000000"(лучше на отдельном ящике), но так лучше всё-равно не делать
Отличный мануал! А что думаете по поводу регистрации на сайтах через G, VK или FB? Это безопасно и стоит ли так делать?
С точки зрения вероятности утечки пароля к ресурсу на который вы входите претензий нет так как нет и пароля.
Часто при входе через соцсети ресурс не знает даже ваш имейл, и восстановить доступ к аккаунту созданному таким способом может быть непросто если ничего не указать дополнительно.
Считаю что это безопасности не убавляет, так как к обычно доступ к мылу даёт возможность сбросить пароль или войти напрямую(для входа через соцсети), что почти без разницы.