История угона аккаунта Госуслуг и анализ действий мошенников

Около 10 утра раздается звонок от жены.

В трубке зареванный голос – «Как заблокировать аккаунт Госуслуг? Скорее!»

Отвечаю – «Успокойся, ничего страшного не произошло. Давай по порядку, что случилось?»

- «Я ввела в боте почты пароль и теперь не могу войти в свои госуслуги»

Ок, с тем, как улетел пароль и код доступа разберемся позже. Шаг первый - пробуем восстановить пароль путем стандартного механизма восстановления. Вводим логин, нажимаем восстановить пароль, отвечаем на вопросы про свои персональные данные, цифры номера паспорта и прочее, и тут появляется контрольный вопрос: «Мое любимое занятие?». Но только оказывается контрольный вопрос жена в настройках не устанавливала.

Злоумышленники сразу после получения доступа к аккаунту делают три вещи:

  • Прерывают все остальные открытые сессии, чтобы ни через приложение, ни через браузер доступа у жертвы не было
  • Меняют пароль
  • Устанавливают контрольный вопрос, чтобы у жертвы не было возможности восстановить доступ через кнопку «Восстановить пароль»

И тут, кстати, вопрос к логике безопасности Госуслуг. Раз уж у пользователя установлена двухфакторная авторизация, то и все настройки безопасности надо менять только через двухфакторное подтверждение. По факту, и пароль, и контрольный вопрос изменяется с вводом только лишь текущего пароля.

Далее, злоумышленники пытаются применить полученные данные о телефоне, почте и пароле для доступа ко всем популярным ресурсам, маркетплейсам, дисконт- и бонус-программам – везде, где можно либо собрать дополнительную информацию, либо вывести средства. Об этом свидетельствуют СМС и электронные письма с указанием на попытки входа. Повезло, что пароль от Госуслуг был уникальным.

Продолжаем борьбу и делаем следующий шаг:

- «Ладно, так восстановить не получается, одевайся и съезди в Мои Документы – там можно восстановить доступ. Возьми с собой паспорт и СНИЛС»

- «Хорошо, сейчас»

Жду примерно полчаса, параллельно изучая, а что вообще могут сделать мошенники с аккаунтом Госуслуг. В целом, конечно, много неприятного, но ничего критичного.

  • Могут сохранить все ваши персональные данные
  • Могут просто нагадить, внести изменения в некоторые из данных или отправить заявления на их изменение. Но это актуально только при потере доступа надолго.
  • Посмотреть, каким транспортом пользуетесь и какая недвижимость в собственности
  • Получить доступ через ЕСИА к ЛК ФНС. Это даст доступ к списку всех банковских счетов и к выпискам 2-НДФЛ
  • Войти с ЕСИА в бюро кредитных историй или аналогичный сервис и запросить кредитную историю
  • Зайти в ЛК социального фонда и запросить справки о социальных выплатах
  • Посмотреть подробные данные о недвижимости в Росреестре
  • Зайти в ЛК ГИС ЖКХ и посмотреть историю платежей

Что еще про угон аккаунта Госуслуг можно найти в интернете?

Все подряд пишут, что с помощью аккаунта Госуслуг, на человека могут набрать кучу кредитов, а потом надо будет через суд доказывать свою непричастность и мошеннические действия. Ко многим статьям в поиске идут однотипные комментарии, с указанием каких-то страшных сумм. При этом упражнение «Получи в интернете кредит на 10к рублей с помощью аккаунта Госуслуг» мне выполнить так и не удалось. Нужно либо подтверждение личности через сервис идентификации, либо ЭЦП. Возможно, существуют схемы, применяемые мошенниками чтобы обойти идентификацию, но подтверждения тому не нашлось. Скорее всего, большая часть статей – выдумки журналистов и такие же выдуманные (или специально написанные) комментарии. Идея в том, чтобы вызвать у жертвы панику. Судя по всему, прямой угрозы финансам и доступам в банк при потере аккаунта Госуслуг – нет.

Ладно, перезваниваю, спрашиваю

- «Как дела, доехала до МФЦ?»

- «Нет» - отвечает – «Мне позвонили с Госуслуг и прислали письмо о подозрительных действиях. Мы с ними заблокировали аккаунт»

- «А почему ты думаешь, что это именно с Госуслуг, а не мошенники? И можешь мне переслать письмо?»

- « А-А-А» - плачет – «Ну что это за ерунда такая?! Ты меня разлюбишь, потому что я тупая»

- «Да все хорошо» - успокаиваю я - «Главное просто сядь в машину и доедь до МФЦ. Там надо восстановить доступ. Возьми паспорт и СНИЛС. Как доедешь – позвони. И пока на посторонние звонки не отвечай и на СМС не обращай внимание»

- «Хорошо»

- «И письмо перешли»

- «Ок»

Тут второй вопрос к безопасности Госуслуг и процессу восстановления доступа. Как позже оказалось, не все центры обслуживания, которые указаны на карте на портале Госуслуг, реально могут восстановить доступ. Приезжаешь в МФЦ, а тебе говорят, что такой услуги у них нет и надо попробовать в другом МФЦ. При этом получается, что не существует достоверной информации в виде карты или списка центров, где точно можно это сделать. Ладно, жена на машине, а если перемещаешься на общественном транспорте – время до восстановления может критически увеличиться.

Во втором по счету МФЦ доступ к аккаунту восстановили. Вышли из всех сессий, поменяли пароль и контрольный вопрос. Супер, теперь осталось понять объем ущерба.

Начинаем изучать что и в какой последовательности сделали мошенники.

1. Угнали аккаунт Госуслуг

Схема банальна, но все же имеет определенный шанс на успех при нужном стечении обстоятельств. Утром звонят и представляются сотрудником Почты России – «Вам пакет из налоговой. Номер трека такой-то. Почему-то не указан адрес.» Дальше предлагают либо приехать к черту на рога и получить лично, либо сделать переадресацию. Переадресация делается в Телеграм боте. Номер нужного бота вам сообщит «сотрудник Почты». Собственно, сам фишинговый бот и собирает данные для входа в Госуслуги. Сделан он так же топорно, но у обычного пользователя может и не вызвать подозрений. Классный момент, что бот предлагает авторизацию двумя способами – «Почта ID» или «Через Госуслуги». При этом даже не задумываешься, что никакого «Почта ID» не существует. Тут мошенникам на руку, что Почта России известна своим странным подходом к процессам, и такой звонок в голове не вызывает тревоги.

2. Отправили письмо о подозрительной активности

Письмо «от Госуслуг» естественно подделка. Здесь вопрос к Mail.ru, почему очевидно-фишинговое письмо не попадает в Спам? Там собрано мошенник-комбо – подмена адреса, ошибки в дизайне, орфографические ошибки. Мне кажется очевидным, что любой российский почтовый сервис должен, по умолчанию, отправлять в спам письма с ключевым словом «Госуслуги» в заголовке/имени отправителя, если оно отправлено не с домена @gosulsugi.ru

Фишинговое письмо с поддельными номерами техподдержки Госуслуг
Фишинговое письмо с поддельными номерами техподдержки Госуслуг

3. Позвонили чтобы «Заблокировать аккаунт»

Для звонка используют номер с префиксом 8-800, что дополнительно повышает доверие к звонящему. Поскольку у мошенников на тот момент уже был доступ к Госуслугам, в разговоре у них есть все необходимые персональные данные чтобы втереться в доверие.

4. Покапались во всех доступных по ЕСИА сервисах

Получили выписки и данные о счетах. Это видно из логов безопасности. Фактором удачи будет то, что сумма дохода в 2-НДФЛ низкая и мошенники не будут ожидать много от такой жертвы.

5. Создали фактор паники и ощущение, что сейчас на вас оформят кредит

Мошенники зашли в кучу сервисов-агрегаторов микрозаймов с мобильным телефоном жертвы, чтобы создать впечатление, что «вот-вот кто-то возьмет на вас кредит». За час пришло чуть меньше ста СМС от разных агрегаторов примерно одинаковой сути «Вам одобрен кредит ХХХ руб без проверок подробнее… //ссылка//».

Спам от агрегаторов микрокредитов
Спам от агрегаторов микрокредитов

6. Перешли к активным действиям по выманиванию денег

Позвонили еще раз, чтобы предложить защитить деньги (ну а дальше по накатанной схеме – перевод на «защищенный счет»). Но к этому моменту уже все было под контролем и доступ уже восстановлен. Попытка осталась безуспешной.

Итог

Итог истории, по сути, никакой. Состава преступления нет (отсутствует факт потери денег, а потерю персональных данных доказать проблематично), соответственно и заявления в полицию нет. Реакции от сервисов на репорты – нет. Только получен определенный опыт и проведены «учения».

Вывод же следующий. Общая логика действий мошенников получается достаточно простой, но в то же время действенной:

Получить доступ к данным и напугать -> Втереться в доверие -> Выманить деньги

Если раньше первый шаг был достаточно топорным: «Звонок из СБ банка», «Звонок от следователя», «Письмо из Центробанка», то теперь он более масштабный, а сам сценарий стал правдоподобным. Так, что даже рассудительные люди могут попасться на крючок. Предположу, что методы мошенников станут еще совершеннее, особенно в шагах «втереться в доверие» и «выманить деньги». Так что всем придется быть внимательнее. А для менее бдительных родственников надо провести инструктаж по безопасности и подготовить план действий и договориться, кому звонить в случае проблем.

Антигерои

Надо отметить организаторов сервисов, которые могли бы своими действиями и правилами серьёзно усложнить жизнь мошенникам, но не делают этого. Им хочется выдать премии от имени мошенников:

  • Почте России – за репутацию бардака во всем, и за то, что не следит за своим брендом
  • Телеграму – за множество фишинговых ботов и отсутствие реакции на репорты
  • Сервису определителя номеров Яндекс – за пропуск звонков мошенников
  • Госуслугам – за косяки в логике обеспечения безопасности и работе двухфакторной авторизации, а также за неактуальную информацию на карте услуг в МФЦ
  • Mail.ru – за пропуск фишингового письма
  • Мегафону – за то, что мошенники свободно пользуются их номерами с префиксом 8-800 (номера с которых звонили и те, что указаны в письме принадлежат оператору Мегафон)

Ну и отдельно пара камней в огороды институтам и организациям:

  • Журналистам-писакам – за то, что не разбираются в теме и нагоняют жути
  • Финансовым регуляторам в РФ – за обилие МФО и агрессивной рекламы микрокредитования через сайты-агрегаторы
  • Правоохранительным органам и законодательной базе в РФ – за сложность защиты от противоправных действий и невозможность наказать виновных.

Так что нам всем еще есть куда расти и что улучшать.

11
3 комментария

Здравствуйте! Если вы столкнулись с фактом спама или мошенничества, то, пожалуйста, направьте нам подробную информацию о случившемся через специальную форму на официальном сайте "Безопасное общение".
Вот ссылка на неё: https://moscow.megafon.ru/help/antifraud/ (в правом верхнем углу, пожалуйста, укажите ваш регион).
Коллеги из профильного отдела проведут необходимые проверки.

Естественно, все заявления были направлены после инцидента. Ждем реакции

Предложение входа в Гослуслуги через ТГ разве не смутило?
Мне кажется в статье не хватает одной детали - какие выводы сделала главная героиня :)