Не звони им, не звони: мошенники придумали схему с нетипичным входом в «Госуслуги»

Мошенники стали рассылать фишинговые письма, где предупреждают, что в личный кабинет адресата на «Госуслугах» якобы вошли с нового устройства — чтобы обезопасить данные, нужно позвонить по указанному номеру. Во время разговора у человека выманивают уже реальные сведения для входа в аккаунт. Схема начала распространяться летом 2024-го, рассказали «Известиям» эксперты по кибербезопасности. Они пояснили: если человеку поступает такое письмо — лучше самому зайти в аккаунт и сменить пароль. Чем грозит доступ злоумышленников в «Госуслуги» — в материале «Известий».

Как мошенники получают доступ к «Госуслугам»

Мошенники придумали новый способ получения данных для входа в «Госуслуги». Сначала на электронную почту человека приходит сообщение о том, что якобы вход в учетную запись на госпортале успешно выполнен («Известия» ознакомились с таким письмом). В нем указано устройство и регион, из которого был совершен вход. Там уточняется: письмо направлено в связи с тем, что «вход совершен из нетипичного места». Сообщить о неправомерных действиях можно по телефону, который приведен в письме.

Далее жертва атаки сама звонит мошенникам, а те говорят о якобы угоне аккаунта на «Госуслугах», рассказала «Известиям» коммерческий директор SafeTech Дарья Верестникова. По ее словам, затем они могут требовать код из SMS для восстановления доступа к госпорталу — и в итоге в реальности сами войдут в личный кабинет человека.

О такой легенде выманивания данных знают в «Лаборатории Касперского» и Zecurion, подтвердили «Известиям» эксперты этих компаний по кибербезопасности. Как уточнили в SafeTech, распространяться сценарий начал летом 2024 года.

«Госуслуги» надёжно защищены, взломать их невозможно, заявили «Известиям» в Минцифры. Получить доступ к аккаунту злоумышленник может только в том случае, если пользователь сам передаст всю необходимую для входа информацию.

— Фишинг — это лишь один из видов интернет-мошенничества, когда злоумышленники пытаются получить доступ к личным данным. Это могут быть банковские реквизиты или пароли. Преступники делают это, создавая поддельные сайты и письма, которые выглядят как настоящие, — подчеркнули в ведомстве.

Различные схемы с выманиванием данных для входа в аккаунт на госпортале стали активно распространяться после того, как там появилась обязательная двухфакторная аутентификация. Из-за этого злоумышленникам стало значительно сложнее получить доступ к личному кабинету, подчеркнул главный эксперт «Лаборатории Касперского» Сергей Голованов. Раньше достаточно было иметь только логин или пароль, а теперь требуется выманить также код из SMS.

Рассылка писем от лица «Госуслуг» с электронного адреса, очень похожего на службу поддержки госсервиса, — это лишь еще одна вариация давно известной схемы, когда граждане получают сообщения в мессенджерах или SMS о том, что аккаунт взломан, рассказала эксперт проекта «За права заемщиков» «Народного фронта», куратор платформы «Мошеловка» Алла Храпунова.

— Однако в отличие от сообщений, где говорится о взломе аккаунта, этот вариант более нативный. И, как следствие, более эффективный и опасный для обычных людей. Такое сообщение похоже на настоящее. Ведь сервис никогда не информирует о взломе, он и не располагает такими данными, — отметил руководитель аналитического центра компании Zecurion Владимир Ульянов.

Он продолжил: но сведения о том, что кто-то вошел в аккаунт, должны сразу насторожить владельца. Кроме того, это побуждает к действию: проверить и устранить проблему.

— Социальные инженеры активно подстраивают свои сценарии мошенничества под новостную повестку и привычки граждан. Практически всегда при новом входе в аккаунт соцсетей или электронную почту с нового устройства нам приходит уведомление. Так же как и при авторизации на «Госуслугах», если подключить соответствующую опцию в разделе «Безопасность», — напомнила Дарья Верестникова из SafeTech.

В то же время, по ее словам, достаточно много публикаций в СМИ о том, что злоумышленники угоняют аккаунты, в том числе на госпортале. Именно поэтому, получив фишинговое письмо с сообщением о входе на «Госуслуги» с нового устройства, человек может поверить злоумышленникам и перезвонить по указанному номеру.

Что делать, если взломали «Госуслуги»

После того как человек под тем или иным предлогом связывается со злоумышленником, есть несколько вариантов развития событий, рассказала Алла Храпунова из проекта «За права заемщиков». Пользователь либо сам сообщает данные от аккаунта «для проверки и восстановления доступа», либо, нажав на ссылку, запускает автоматическую загрузку вредоносного программного обеспечения, предоставляющего удаленный доступ к устройству жертвы и его личному кабинету.

— Кто-то из мошенников собирает логины, пароли, сведения о картах, которые пользователь вводил в браузере, и документы, указанные в личном кабинете «Госуслуг». Кто-то идет дальше и оформляет на жертву займы, подтверждая личность с помощью уже точно взломанного аккаунта «Госуслуг». Есть случаи блокировки устройств с последующим требованием заплатить за разблокировку, — перечислила Алла Храпунова.

Кроме того, как писали ранее «Известия», украденные аккаунты «Госуслуг» мошенники пытаются использовать под миграционный учет — чтобы регистрировать иностранцев без ведома владельца жилья.

Если человек получил сообщение о якобы несанкционированном доступе в аккаунт «Госуслуг», то ему не нужно звонить по указанным номерам, а следует предпринять ряд совершенно других действий, рассказала эксперт. В первую очередь необходимо войти в свой личный кабинет на портале и изменить пароль.

Если же учетную запись в «Госуслугах» всё-таки взломали, то восстановить доступ к нему можно в центре обслуживания в МФЦ либо в некоторых банках или отделениях «Почты России», добавила Алла Храпунова. Адреса содержатся на госпортале.

Также следует обратиться в МФЦ, чтобы выяснить, что злоумышленники успели сделать в рамках аккаунта, добавил Сергей Голованов из «Лаборатории Касперского». От этого будет зависеть дальнейший алгоритм действий.

В Минцифры подчеркнули: не следует открывать электронные письма с незнакомых адресов, переходить по неизвестным ссылкам и следовать инструкциям в подозрительных письмах и сообщениях. От «Госуслуг» письма приходят только с адреса no-reply@gosuslugi.ru, подчеркнули там.

После восстановления доступа нужно обратиться с заявлением в полицию: даже если попытка несанкционированного входа и взлома была безуспешной, правоохранители проведут проверку, совместно со специалистами «Госуслуг» определят, кто и откуда пытался получить доступ к аккаунту, и смогут пресечь деятельность преступников, заключила Алла Храпунова.