12 мая меня взломали на официальном сайте государственных услуг. На портале подтвержденная учетная запись, а это значит, что там хранятся:
• Электронная подпись, при помощи которой можно делать любые операции с недвижимостью
• Данные паспорта, ИНН, СНИЛС, ДМС, ОМС и прочих документов.
• Данные карт разных банков
• Копии и оригиналы заявлений в разные гос. структуры, где указаны все возможные личные сведения, включая передвижения, все контакты с гос органами, и прочее прочее…
Хронология событий:
1. Ровно в 17:00 на мобильный телефон было получено смс сообщение от госуслуг с текстом «Ваш номер телефона был изменен и не может использоваться для входа».
2. После прочтения смс, тут же зашла на сайт госуслуг через компьютер. Было это в 17:03. В это же время, понимая что это мошенничество, быстро меняю номер телефона на свой обратно и параллельно пытаюсь дозвониться до Госуслуг по номерам, указанным в интернете. 3. Также параллельно, дозваниваясь до Госуслуг, в 17:05 меняю пароль на сайте. Все это время я продолжаю висеть на «дозвоне», где система меня кидает от одного пункта меню в другой. Заканчивается это тем, что звонок прерывается на стороне Госуслуг.
4. В это же время, в 17:05, поступает второе смс сообщение с текстом об изменении номера телефона. Так как нахожусь в это время в режиме активной сессии на госуслугах, я это вижу, и опять же мгновенно меняю номер телефона на свой обратно.
5. Начиная с 17:05 делаю еще несколько попыток дозвона по разным номерам госуслуг, где снова упираюсь в конечные выборы меню и как следствие обрыв связи.
6. Пока продолжаются безуспешные попытки дозвона, в 17:09 пишу в чат госуслуг из личного кабинета с текстом «срочно перезвоните» и информацией о том, что кто-то меняет мой номер прямо сейчас и пытается воспользоваться моими персональными данными. Ответа от оператора нет. Телефоны все также молчат, перекидывая по меню.
7. В 17:11 от моего имени, при мне в этот же открытый чат приходит сообщение от того, кто взломал мой аккаунт с текстом «а, ок, выхожу из системы, поменяйте пароль».
Дозвониться до госуслуг я смогла лишь через 10 минут после всех произошедших событий. Оператор на линии, на просьбы «заблокировать аккаунт», «насильно прервать все активные сессии» или сделать "ХОТЬ ЧТО-НИБУДЬ" ответил «Мы не можем ничего сделать, сессия у мошенника автоматически прервется через 24 часа». На мой комментарий, что за это время я останусь без недвижимости, карт и с кредитом на мое имя, мне было отвечено «ну мы составим обращение в тех. поддержку». Понятное дело, я сделала несколько попыток понять как и что произошло. Вот что выяснила:
На госуслугах есть кнопка «Действия в системе», там я увидела, что мошенник впервые попал в мой аккаунт в 16:29, то есть за пол часа до того, как он «решил» изменить номер телефона. Попал он через систему «Центр обработки персональных данных Всероссийской политической партии «ЕДИНАЯ РОССИЯ», к которой я никакого отношения никогда не имела.
В графе «Выданные разрешения» я обнаружила, якобы мною выданное разрешение центру обработки перс данных партии «ЕР» на использование всех моих данных, зарегистрированных на госуслугах (этого также не делала)
Ну и дополнительно. Помимо этого, оказалось, что мошенник успел написать оператору в чате до меня (скрины ниже).
Общий итог для меня выглядит так:
1. Мошенники могут пользоваться сторонними сервисами для входа в личный кабинет Госуслуг. Это так? Если нет, прошу дать ответ.
2. В случае если аккаунт взломан – надеяться на помощь Госуслуг к сожалению нет смысла. Мне они не помогли. Это уже факт.
3. Возможно вскоре я «прочувствую» на себе чем грозит слив всех данных и документов в третьи руки. А пока я просто не знаю, что делать дальше. Искренне не знаю и всех призываю – используйте сложные пароли, устанавливайте двухфакторную аутентификацию, не храните личные данные на любых сайтах.
P.S. Скрины выкладываю. Мат заблюрила.
Важный вопрос: подумайте, использовали ли вы эту же пару (логин/мобила/мыло)+пароль на любом другом ресурсе хоть когда-нибудь.
Если так, то это обычный кросс-чек (первая-вторая попытка проверки входа сразу же успешная).
Я долгое время был "на другой стороне баррикады" как оператор инфраструктуры ресурса по кол-ву аккаунтов наверное как 1/10 часть госуслуг и я могу точно сказать что это был и остаётся самый популярный способ взлома.
И такие кросс-чеки это реально, извините, боль в ж-пе(особенно когда на пользователей не плевать, и ещё больше если включение капчи просто так менеджмент считает неправильным), мы просто скачивали эти самые базы утечек паролей, чекали их на предмет совпадения с паролем у нас* и тихо-мирно сбрасывали пользователю пароль.
Пару раз сбрасывали с подробным уведомлением что и откуда мы взяли, получали шквал негатива в наш адрес.
Поможет проверить мыло и мобилку: https://haveibeenpwned.com/
*) звёздочка для въедливых буквоежек во избежании быть неверно понятым: у нас естественно всё хешированое-солёное
PS ну и логи входов в узловые места типа почт тоже проверьте(особенно IMAP/pop3 если почтовик умеет переведите на т.н. "пароли приложений")
Я один тут понял только 50% информации?
Не могли бы вы написать инструкцию, что сделать, как для шестиклассника или для моей мамы?
Представьте что вы всегда используете логин [email protected] и пароль im@ASsuper!995
Пароль хороший, сложный, претензий к нему нет.
Предположим вы ищите в сети что-то и вынуждены зарегистрироваться чтобы что-то скачать. Регистрируетесь с помощью логина* и пароля выше. Ресурс сохраняет ваш логин и пароль себе и пытается его проверить везде где только достанет:
— почтовики (pop/imap/web)
— популярные магазины
— популярные сервисы
— банки
Это не хорошо, не плохо, это просто вот так. И называется это "кросс чек". И ваша задача сделать так чтобы это не работало.
Единственный способ или второй фактор (так в банках, но с учётом размаха социнженерии мы видим что это работает не очень для массового пользователя) и/или не использовать один и тот же пароль два раза**
Есть несколько решений:
— сложное: использовать менеджер паролей и генерировать каждый раз новый случайны пароль которые невозможно запомнить(но это сложненькое решение, скорее для тех кто разбирается). Спасает от целевой атаки.
— простое: генерировать пароль к каждому ресурсу по какому-то алгоритму известному только вам
Например: для gOsUsLugi.rU — OUL@u1995, gMaIl.coM MI.@m1995 , для ответственных сервисов == "где деньги лежат" использовать другой алгоритм. От целевой атаки не спасёт конечно же. Пока что это хорошее решение от массового автоматизированного перебора.
*) Аналогично в ситуации когда вместо логина телефон(тут особенно хорошо атакуются банки через социнженерию)
**) я считаю что на какие-то одноразовые сайты типа "зарегистрироваться чтобы скачать" можно и пароль "000000"(лучше на отдельном ящике), но так лучше всё-равно не делать
А менеджер паролей не могут взломать?
могут конечно(но нужно спереть сам файл + пароль к нему). Но сейчас это всё же более редкий вектор .
Поэтому менеджер паролей я рекомендую только если вы точно понимаете что вы делаете и зачем.
Могут, но для этого есть другой способ ещё сложнее, использовать менеджер/генератор паролей, а логины/пароли записывать в аналоговый блокнотик лежащий рядом с компьютером записанный шариковой или любой другой ручкой/карандашом. Злоумышленник пока не может смотреть, что у вас рядом с монитором, ну если нет веб камеры с не закрытым окошком
Взломать можно всё, надо только применить терморектальный криптоанализатор.
Но менеджер паролей, к которому нет доступа из интернета, вполне себе защитит от многих проблем. Ну и у менеджера паролей можно поставить очень сложный мастер пароль. И тут для рядового пользователя взлом возможен только если на устройстве с менеджером паролей будет троян. В этом случае не поможет ничего :)
Устойчивость к СИ и второй фактор( то не факт)
Так пароль то утечёт. А вот второй фактор уже защитит в некоторых случаях от входа.
Надо собирать свой генератор паролей на ардуине...
Отличный мануал! А что думаете по поводу регистрации на сайтах через G, VK или FB? Это безопасно и стоит ли так делать?
С точки зрения вероятности утечки пароля к ресурсу на который вы входите претензий нет так как нет и пароля.
Часто при входе через соцсети ресурс не знает даже ваш имейл, и восстановить доступ к аккаунту созданному таким способом может быть непросто если ничего не указать дополнительно.
Считаю что это безопасности не убавляет, так как к обычно доступ к мылу даёт возможность сбросить пароль или войти напрямую(для входа через соцсети), что почти без разницы.
У меня этот логин и пароль стоит всего на двух сайтах: госуслуги и мос.ру 🥺
Двухфакторку делайте.
Она разве не включена по умолчанию?
а почта не мейловская, случайно?
Мейловская. Но пароли разные.
интересно
получается, тут вариантов не особо много: гос.сайты сами это проворачивают, либо через самого лояльного почтового клиента (мейл). выводы делать рано, конечно, но я бы рекомендовала мейловскую почту не использовать для важных сервисов (в том числе для соц.сетей).
Здравствуйте, я из службы поддержки Mail.ru.
Уровень защищенности сервиса Почта Mail.ru не уступает другим сервисам. Но, в любом случае, мы советуем везде (в частности в почтовом аккаунте) включать двухфакторную аутентификацию - это один из самых надежных способов защиты.
Также, владелец ящика может проверить действия в своём ящике на странице https://e.mail.ru/settings/actions
Если посторонних действий в логе нет, то почтовый сервис отношения к данной ситуации однозначно не имеет.
Хоть я и почти не пользуюсь почтой мейла, все равно задумался над поднятием личного почтового сервера 😨
Спасибо за совет! Попробую максимально везде изменить
Какой пароль хоть был то???
Не простой. Вообще не простой. Разные буксы, цифры, регистры, символы. Ещё и не в логической последовательности:(
А подтверждение входа по смс есть?
Не было. Моя вина, знаю, но я не думала что такое произойдёт с этим сайтом. Сейчас конечно поставила, но что уже размахивать руками после драки?:(
А как это включить? Я сейчас хотел зайти в настройки, проверить состояние своей защиты аккаунта на госуслугах, а в приложении вообще не оказалось пункта настроек.
Если с мобильного заходите, то в правом верхнем углу на меню нажмите, дальше на своё имя и «обзор». Потом снова на своё имя и но кнопку «профиль». После этого появится кнопка «учётная запись». Нажимаете там вход в учетную запись.
В приложении вообще этого нет)
Я снесла приложение ГУ, оно какое-то ограниченное что ли. Все это делала в браузере но через мобильный.
О чем вообще разговор, без двухфакторки у вас везде могут спереть аккаунт по 10 раз по слитым паролям, которые сливаются постоянно)
А ваш пароль с вариацией цыфр букв ни где больше у вас не стоит?
Нет. Нигде. За это могу ручаться
Спасибо за информацию. А если после проверки нескольких имейлов оказалось, что я был "pwned", то в таком случае есть универсальный план действий или все индивидуально?) При чем утечка была давно как я понимаю, например, вот. Не совсем понятно, что могло утечь. Получается логин и пароль от Canva мог утечь?
Внимательно посмотрите что именно утекло, если утекли пароли или их хеши (passwords, pasword hashes)
достаточно обычно поменять пароль который вы использовали на этом пострадавшем ресурсе(!!везде где он был использован ранее!!).
Я понимаю что это свет вида "помажте йодом", так как фиг их вспомнишь, но это не отменяет необходимости их поменять(+см моё пояснение выше).
Спасибо. Второй вопрос. Какой менеджер паролей посоветуете?)
Я немного ретроград и у меня keepass который лежит в папке дропбокса.
но я думаю что они все +- одинаковые.
Тоже использую keepass, бд в Яндекс диске, на компьютерах стандартная синхронизация файлов через клиент диска. На телефоне через webdav открытие файла. Очень удобно. Небольшая плата за безопасность, я считаю
KeepassXC + их дополнение к браузеру. Более современный, живой и кроссплатформенный по сравнению с изначальным Keepass. Формат файлов совместим, так что всегда можно перейти туда или обратно. Есть приложения и для Android: KeePassDX и Keepass2Android. Синхронизация через облако (Dropbox, Google Drive и т.п.) или самостоятельно (я предпочитаю Syncthing).
Не менее удобен, чем полностью облачные решения, на мой взгляд. Если прям очень хочется только облачное, можно обратить внимание на Bitwarden.
А это софт от той же конторы, что и Keepass? Или нет? А то впервые слышу про них. Точно ли можно доверять.
Нет, разработка ведётся отдельным сообществом. Соперничества нет, просто изначальный Keepass поддерживается только для Windows, а KeepassXC создан для работы везде: и на Windows, и на Mac, и на Linux (ну и теперь уже оброс плюшками вроде куда более удобной интеграции с браузером, не говоря уже о более приятном интерфейсе). Код открыт, так что не требуется доверять — можно проверить, что именно делает и чего не делает программа. И любой может присоединиться к разработке (собственно, так многое в проекте и реализуется / исправляется).
Понятно, что далеко не все могут проверить код самостоятельно (и я говорю это не так, будто это что-то плохое), и вынуждены полагаться на мнение экспертов. Формальных независимых аудитов KeepassXC не проводилось (хотелось бы, конечно, но это стоит немалых денег, а проект финансируется добровольными пожертвованиями и не может себе позволить больших расходов), но его в качестве стандартного менеджера паролей выбрали известные ОС, ориентированные на безопасность и конфиденциальность: Tails и Whonix, например; он включен в стандартные репозитории ПО всех основных дистрибутивов Linux — вероятно, от мейнтейнеров пакетов стало бы известно, если бы существовали и не исправлялись серьёзные проблемы; его рекомендуют известные организации и сообщества в области безопасности и конфиденциальности: Electronic Frontier Foundation, PrivacyTools, Роскомсвобода (и наоборот, мне неизвестны подобные организации или сообщества, призывающие избегать его использования); он упоминается во многих научных статьях, посвящённых безопасности (иногда с указанием на проблемы, которые затем исправляются). Словом, репутация в кругах профессионалов у проекта хорошая, и немало косвенных подтверждений тому, что доверять ему можно.
При этом не могу не отметить, что изначальный Keepass не хуже с точки зрения безопасности, он поддерживается, прошёл независимый аудит, получал финансирование Европейской Комиссии на исправление ошибок, рекомендуется к использованию некоторыми государственными органами ЕС, и т.д. Если вас устраивает его функционал, интерфейс и прочие отличия от KeepassXC (в лучшую или худшую сторону), то он тоже будет отличным менеджером паролей.
Спасибо за подробное объяснение
Комментарий недоступен
А это что за ресурс?)
Комментарий недоступен
делать уникальные пароли в критически важных сервисах. А лучше везде делать уникальные пароли. В идеале ещё и разную почту использовать в критически важных сервисах. У меня на гос.услугах отдельная почта, на мос.ру отдельная. В банках тоже разные. Так что если будет слив, то в 99% это будет мой косяк, но зато минимизирую риски слива данных.
Какой менеджер паролей используете?
keePass
Для перестраховки от мамкиных хакеров и любопытных, зайдите на страничку opt out и удалите емэйл из базы. В случае новых утечек вам будет приходить уведомление на почту и при этом не будет светится на сайте.
Есть бот в телеграмме, который показывает доступные для указанного имела пароли, из утекших баз данных.
В бесплатном режиме часть пароля закрыта звёздочками, но если это ваш пароль, то его легко узнать.
А заплатив денежку, можно посмотреть утёкшие пароли целиком
Я бы еще советовал пользователям проверять иногда пк на вирусы (сейчас как раньше эпидемий нет, но всё равно) и заходить на подобные сайты через браузер без сомнительных плагинов. (часто там пиратское скачивание музыки, бесплатные vpn, обход блокировок и тд)
Есть ещё сервис https://monitor.firefox.com
Работают совместно. Уведомление будет автоматом приходить на вашу почту, если появится в новой базе.
Он очень тормозной и реагирует через несколько месяцев от haveibeenpwned. Хорошо только что там есть подписка
Комментарий недоступен