Как защитить свой аккаунт на госуслугах
Как защитить аккаунт на портале «Госуслуги» от взлома
На портале «Госуслуги» на сегодня зарегистрировано около 80 миллионов человек (более половины населения России). И это число растет с каждым днем. Персональные данные на «Госуслугах» надежно защищены – никто не может получить к ним доступ. Но это не говорит о том, что к безопасности не нужно подходить серьезно. В последнее время в сети активизировались мошенники, специализирующиеся именно на взломе личных кабинетов на портале.
Зачем злоумышленники взламывают аккаунты на «Госуслугах»
«Госуслуги» — онлайн-сервис, который позволяет гражданам России в любое время удаленно проводить действия с выбранными государственными услугами. Это может быть оформление документов, их получение, запрос и прочее. Для проведения операций в системе нужны персональные данные пользователя. И они надежно защищены. Но все же гражданину самому следует озаботиться тем, чтобы еще повысить их безопасность.
Если не обеспечить дополнительную защиту, злоумышленник может получить доступ к аккаунту на «Госуслугах». И это чревато большими проблемами. Так, он сможет от имени гражданина действовать как на самом портале, так и вне его. Например, взять кредит на большую сумму, оформить нелегальную фирму, снять все деньги с карточек. Даже распоряжаться недвижимостью и иной собственностью.
Как можно дополнительно защитить свой аккаунт от взлома
Чтобы обезопасить себя от взлома, следует использовать весь функционал, который предоставляет пользователям портал «Госуслуги». А именно:
Настроек действительно много. Понять, что и как работает, тоже не сложно. Но также можно прислушаться к дополнительным рекомендациям от специалистов:
Лучше заходить на портал только со своего личного ПК или телефона.
Создание сложного пароля
В процессе создания аккаунта на «Госуслугах» система неизбежно попросит пользователя придумать сложный и уникальный пароль. И в этом случае его действительно нужно придумать, а не использовать тот же, который, например, ранее вписали еще для 5 аккаунтов.
На личном компьютере можно сохранить его в менеджере паролей. Но на общественном или рабочем делать этого ни в коем случае нельзя.
Оповещение при входе в аккаунт
Если включить данную функцию, то после успешного входа на электронный адрес пользователя придет письмо. В случае, если злоумышленник попытается взломать аккаунт, такое оповещение поможет его истинному владельцу быстро сменить пароль.
Контрольный вопрос
Контрольный вопрос – еще одна полезная защитная функция на «Госуслугах». Если ее активировать, то мошенники не смогут изменить пароль. Но при его установке нужно быть очень внимательным. Следует выбирать такой вариант, ответ на который невозможно угадать случайным образом или найти в социальных сетях.
Установка контрольного вопроса:
Двухэтапная проверка входа
Это более надежный вариант защиты, чем описанные выше. Если мошенник попытается проникнуть в личный кабинет, то ему нужно будет ввести не только пароль, но и одноразовый код, который придет на телефон владельца аккаунта.
Инструкция по настройке:
Вход с помощью электронной подписи
Этот вариант самый надежный из всех. Если сообщения с кодами входа еще как-то можно перехватить, то ЭЦП нет. Действия, чтобы включить эту функцию, следующие:
Портал «Госуслуги» — это уникальная площадка, которая позволяет пользователям в любое время и в любом месте проводить операции с документами, счетами. У него серьезная система безопасности. Но полагаться только на нее все же не стоит. Лучше дополнительно защитить свои персональные данные.
Как защитить свой аккаунт на Госуслугах от взлома. 8 советов пользователям
В личном кабинете на Госуслугах всё как в вашем бумажнике — только в электронном виде: есть данные паспорта, СНИЛС, ИНН, полиса медицинского страхования, реквизиты личных счетов. Граждане, имеющие электронную цифровую подпись, могут оформлять сделки с недвижимостью и регистрировать ИП или организацию.
Чем опасен взлом учётной записи? Как обезопасить себя от преступных действий злоумышленников?
❗ Опасность взлома учётной записи
Получив доступ к личному кабинету — и, соответственно, доступ к данным, мошенники могут не только перевести деньги с реквизитов банковского счёта гражданина, но и оформить на него:
либо перевести недвижимость в собственность другого человека для последующей продажи — и доказать свою непричастность к процессу будет непросто. Обнаружить себя застрахованным в другом пенсионном фонде — тоже не самая приятная новость.
Главная опасность доступа злоумышленников в аккаунт Госуслуг в том, что жертва не подозревает о совершении преступления и узнаёт об этом случайно. Например, при попытке улететь из страны в аэропорту гражданину будет объявлен запрет на вылет, так как у него имеются просрочки по кредитам или займам, которые он не оформлял. Либо гражданину неожиданно придёт письмо из Росреестра об успешном переоформлении квартиры на постороннего человека.
💻 Как мошенники чаще всего получают доступ к аккаунту
Одним из средств доступа к личным данным на Госуслугах являются фишинговые письма, полученные через электронную почту или SMS. Чаще всего такие письма содержат ссылку для перехода и уведомление с предложением оформить дополнительные выплаты либо помочь собрать деньги на лечение больным детям. После перехода по ссылке открывается окно с вводом логина и пароля с Госуслуг, вводя которые, гражданин автоматически отправляет данные личного кабинета злоумышленникам. Некоторые вредоносные ссылки добавляют на компьютер или телефон гражданина вирус, который копирует данные и передаёт их мошенникам.
Другим способом взлома аккаунтов являются сайты-двойники — интернет-страницы, внешне похожие на сайт Госуслуг, и с доменом, напоминающим официальный сайт https://www.gosuslugi.ru. Приглашение с переходом на сайт может приходить в мессенджерах и так же содержать вредоносные ссылки, открыв которые, гражданин даёт полный доступ к своим данным.
Мошенники могут позвонить и представиться сотрудниками портала Госуслуг с требованием немедленной оплаты имеющихся штрафов и задолженностей. Зачастую граждане не хотят бумажной волокиты и с готовностью называют личные сведения и реквизиты банковских карт, тем самым подвергая опасности свои финансы и имущество.
Случай
Человеку пришло уведомление на телефон о том, что его открепили от поликлиники. Далее шли уверения, что это техническая ошибка, в связи с чем нужно выполнить вход, пройдя по указанной в сообщении ссылке.
На сайте, который оказался клоном портала, предлагалось заполнить анкету и заново прикрепиться к поликлинике, после чего — оплатить пошлину. Таким образом мошенники могли получить и деньги, и данные гражданина — и войти в его профиль, где хранятся практически все персональные данные.
💁♂️ Что стоит предпринять для защиты
Соблюдая элементарные правила защиты персональных данных, можно избежать проблем, связанных со взломом аккаунта:
✨ Резюме
Кратко обобщим способы мошеннических действий на сайте Госуслуги и методы борьбы с ними:
❓ Часто задаваемые вопросы
Да. Это сервис, упрощающий доступ ко многим услугам, но все функции, представленные в нём, доступны в соответствующих государственных органах и ведомостях.
Это значительно повышает безопасность вашего аккаунта. Безопасность при двухфакторной аутентификации гарантирована при условии, что код из СМС не будет сообщён посторонним лицам.
Да. Для многих организаций по выдаче микрозаймов плохая кредитная история гражданина не является причиной для отказа.
Именно через портал — нет. Но некоторые банки и микрофинансовые организации выдают кредиты и займы посредством авторизации через портал.
Как обезопасить аккаунт Госуслуг
Просто некоторые, далеко не исчерпывающие, рекомендации.
2) Укажите вашу электронную почту, на которую будут приходить оповещения об авторизации в Госуслугах.
У меня в Билайне стоит кодовое слово. Так вот, когда приходишь в салон, сотрудник открывает на компе твою карточку, и это кодовое слово там написано открытым текстом. То-есть оно вообще никак не защищает от сценария взлома с перевыпуском симки через знакомого сотрудника.
Но для того, чтоб это все работало надо чтобы всякие ебучие ведомства сделали нормальный вход в свои системы по эцп с любого устройства.
Отличное решение, но в Билайне для организаций вот так:
Обратиться в центр поддержки по кодовому слову можно с любого номера, а не только с того, который указан в договоре
Очень безопасное решение )))
Напишите, пожалуйста, где в мобильном приложении найти настройки и как подключить подтверждение входа по смс?
В любом случае нас имеет доверенный посредник.
Опасаюсь я этого подтверждения по смс.
Проебешь телефон и что? Вообще не зайдешь больше
Кста вот только зашел на почту а там
На ГосУслугах поменялся интерфейс, сейчас, что бы вкл. 2хФА надо сделать так.
Через мобильные приложения это сделать нельзя.
А как интересно обстоит дело с кодовым словом в теле2, видно его сотрудникам теле2 или не видно?
нету нигде настроек на сайте. только услуги((((
Электронная подпись: как обходиться без бумаги и при этом не отдать все свои активы мошенникам?
Электронная подпись появилась в России еще в прошлом веке, когда компьютеры были большими, а интернет был по диал-апу. С тех пор применение усиленной электронной подписи (ЭП) расширяется. Её регистрируют как крупные организации, так и совсем небольшие ИП.
После начала пандемии коронавируса случился настоящий бум получений ЭП, ведь иначе бизнес бы встал. В результате за 2020 год было выдано почти вдвое больше сертификатов ЭП, чем в 2019-м. Разберемся, что такое ЭП, почему она так привлекательна для мошенников и как защитить ее от злоумышленников.
ЧТО ТАКОЕ ЭЛЕКТРОННАЯ ПОДПИСЬ?
В этом материале мы говорим об усиленной электронной подписи – идентификаторе человека при дистанционном обмене информацией, имеющем юридическую силу.
Бывает еще простая электронная подпись, подтверждающая, что документ отправил конкретный пользователь. Ее можно сделать с помощью обычных офисных программ, но уровень ее защищенности таков, что всерьез ее воспринимать сложно. Однако простые подписи используются широко. Например, ими незаметно для клиента заверяются все операции по банковским картам. Простая подпись может быть доказательством в арбитражном суде.
Чтобы ввести электронный документооборот, требовался инструмент, одновременно достаточно защищенный, чтобы ему можно было доверять, и достаточно простой, чтобы им мог пользоваться обычный пользователь ПК. Так появилась усиленная электронная подпись.
Усиленная ЭП – это реквизит документа, подтверждающий его авторство и отсутствие изменений в данных с момента подписания. Она защищена криптографическими методами, и взломать ее практически невозможно.
Чтобы подписать документ, нужна пара из секретного и открытого ключа.
Когда человек ставит электронную подпись, алгоритм считает контрольную сумму данных и зашифровывает получившееся значение секретным ключом.
Получатель документа с помощью парного открытого ключа узнаёт, кем именно был подписан документ и проверяет совпадение контрольной суммы. Если после подписи в документе хотя бы переставят запятую или удалят пробел, она будет уже другой. Значит, подпись недействительна.
Из всех ЭП юридической силой собственноручной подписи обладает только усиленная квалифицированная. Чтобы получить ее, нужно, чтобы соответствующий открытый ключ был подписан секретным ключом УЦ.Открытый ключ с метаданными владельца и подписью УЦ и называется сертификатом электронной подписи.
Неквалифицированная подпись используется в основном в деловой среде. Ее может выдать любой удостоверяющий центр (УЦ), в том числе и внутренний УЦ предприятия. Сообщение с неквалифицированной электронной подписью может (по предварительной договоренности сторон и в специально предусмотренных законом случаях) быть приравнено к бумажному документу, подписанному собственноручно.
Квалифицированная подпись по закону считается официальным документом. Она позволяет удаленно работать с налоговой инспекцией, присылать документы в суд – делать все то же, для чего нужна собственноручная подпись. Она подтверждается сертификатом от аккредитованного удостоверяющего центра.
С помощью сотрудников Музея криптографии, который скоро откроется в Москве, мы смогли составить хронологию использования ЭП в России.
1994 – в России принят первый стандарт электронной подписи – ГОСТ Р 34.10-94 (сейчас действуют национальный стандарт ГОСТ Р 34.10-2012 и межгосударственный ГОСТ 34.10-2018)
2002 – вступил в силу первый закон, призванный регулировать использование ЭП – 1-ФЗ «Об электронной цифровой подписи». Он содержал слишком серьезные требования к ЭП и сильно ограничивал возможности по применению электронных документов.
2011 – вышел закон 63-ФЗ «Об электронной подписи», значительно облегчающий ее применение. Это создало основу для перехода к безбумажному документообороту.
2018 – ЭП стала использоваться на портале «Госуслуги»
2019 – появление облачной подписи, которую можно оформить удаленно.
2020 – ключи ЭП можно получать через МФЦ.
2020 – ЭП активно используется в банках для защиты переводов.
Электронная подпись стала по-настоящему доступна. Но так ли это хорошо?
Секретный ключ чужой электронной подписи для мошенников поистине золотой. Имея его, для всего цифрового мира злоумышленник может оставить её настоящего владельца без банковского депозита, бизнеса и единственного жилья.
Самые распространенные преступления с использованием ЭП:
— вывод средств со счетов компании;
— заключение договора дарения или купли-продажи на собственность человека или компании, включая недвижимость и дорогую технику;
— различные манипуляции с организацией: смена руководителя компании, главбуха, других ключевых сотрудников, ограничение доступа организации к госзакупкам и даже ликвидация компании.
Чтобы осознать полный спектр возможностей мошенников, представьте, что вы решили очень сильно навредить собственному материальному положению. Что вы можете для этого сделать? Мошенник с вашим секретным ключом может сделать все то же самое.
Открытый ключ на то и открытый, что давать его можно всем, кому требуется подтвердить вашу электронную подпись. Им можно:
— зашифровать что-то так, что расшифровать сможет только владелец парного секретного ключа;
— проверить подпись, созданную с использованием парного секретного ключа.
Имея доступ к открытому ключу, получить секретный невозможно. Поэтому его можно безопасно предоставлять всем, кому нужно прочитать ваши документы.
УДОСТОВЕРЯЮЩИЙ ЦЕНТР: ЗАЧЕМ ОН НУЖЕН?
На всех сайтах удостоверяющих центров говорится: чтобы получить электронную подпись, нужно получить в УЦ ключевую пару и сертификат. Создается впечатление, что ключевую пару могут сделать только там. Но это а) не так, б) нарушает главное правило работы с ЭП: секретный ключ не должен оказываться в чужих руках. Тем более – в непонятно чьих.
Удостоверяющие центры – это частные организации (порой ИП или вообще частные лица), которые не в полной мере контролируются государством. До 2020 года существовали сотни УЦ, среди которых встречались созданные с мошенническими целями – как раз для кражи секретных ключей. Теперь требования к ним значительно ужесточили, и многие недобросовестные игроки с этого рынка отсеялись. Но все ли? Вряд ли вам хочется проверить это ценой собственной квартиры или бизнеса.
Поэтому если УЦ не аккредитован в Минкомсвязи, с ним можно иметь дело только если:
— это собственный УЦ вашего предприятия;
— он сертифицирует подписи для участия в конкретных мероприятиях (например, в торгах, и тогда УЦ должен иметь аккредитацию не менее чем шести торговых площадок).
Смысл создания аккредитованных УЦ – в дополнительной защите подписи путем сертификации. Сертификат УЦ говорит о том, что его сотрудники удостоверились в том, что конкретный гражданин пришел к ним с паспортом и заявил, что принесенная им ключевая пара принадлежит ему. Для такой идентификации достаточно предоставить в УЦ открытый ключ. Но явиться лично и с паспортом придется. Дистанционные способы подтверждения личности в таком важном деле, как получение сертификата, могут применяться только в исключительных случаях. Если УЦ предлагает такие варианты просто по желанию клиента, возможно, организация настолько же непринципиальна и в других вопросах информационной безопасности.
Кроме выдачи сертификата электронной подписи, УЦ по заявлению владельца может приостановить действие сертификата или отозвать его, и тогда ЭП потеряет силу. Об этом пользователю, имеющему парный открытый ключ, сообщит программа, проверяющая подпись. В сообщении будет сказано: «Подпись верна, сертификат недействителен». Но между тем, как секретный ключ станет кому-либо известен, до тех пор, пока УЦ поместит сертификат открытого ключа в список отозванных, пройдет какое-то время. За этот промежуток злоумышленник вполне может провести операции, которые будут считаться легитимными.
КЕЙС: КАК СДЕЛАТЬ СЕБЕ ЭП
Верный способ защитить секретный ключ от утечек на начальном этапе – сделать на предприятии собственный УЦ. Он не будет аккредитованным, зато вы точно будете знать, кто имеет доступ к настолько важным данным. Приведем кейс от дружественной компании, которая не поленилась немного поработать, и теперь ее руководство спит спокойно. Ну, почти спокойно: инсайдерское в+оздействие (то есть, злой умысел сотрудника) никто не отменял, но это уже другая задача.
Для создания ключевой пары и последующей работы с цифровой подписью мы использовали отдельный компьютер с заведомо «чистой» системой. Мы протестировали несколько систем, и остановились на российском Alt Linux. Для добавления поддержки шифрования и цифровой подписи по ГОСТ в ней оказалось достаточно установить пакет openssl-gost-engine и добавить в начало конфигурационного файла несколько строчек:
В других системах на основе GNU/Linux все тоже заработало, но усилий приложить потребовалось чуть больше. Нам удалось настроить софт для создания ключевой пары под Windows и MacOS, но в этих случаях гораздо острее встает проблема вредоносного ПО, нацеленного на кражу секретного ключа.
После создания ключевых пар мы обратились в аккредитованный УЦ и зарегистрировали их по установленной законом процедуре. Мы предъявили в УЦ открытые ключи и необходимые документы как для физических лиц, так и для организации. Этот этап оказался самым сложным: сотрудники УЦ не сразу поняли, что нам не нужна медвежья услуга по созданию ключевой пары, а достаточно просто подписать уже существующий открытый ключ.
Мы ссылались на ФЗ-63 «Об электронной подписи». В ст. 2 этого закона и во многих других статьях сказано, что сертификат электронной подписи, в том числе квалифицированной, выдает УЦ. Но нет ни слова о том, что УЦ выдает ключевую пару. Сотрудники сначала аргументировали отказ в выдаче сертификата доводами вроде «Ну мы всегда так делали». Но затем они, вероятно, все же почитали закон и посоветовались с юристами. В результате наше законное требование было выполнено, мы успешно избежали навязанной и небезопасной услуги.
С 1 января 2022 года вступят в силу изменения к ФЗ-63, но принципиально поменяется только выбор УЦ, в которых могут получить сертификат руководители предприятий, индивидуальные предприниматели и нотариусы. Список компаний, которые смогут выдать сертификат в таких случаях, будет ограничен УЦ ФНС и организаций, которые налоговая служба сочтет доверенными. Получать ключевую пару именно в них закон по-прежнему не требует.
Как хранить секретный ключ
Ключевую пару можно хранить в специализированном устройстве. Для этого обычно используют рутокен или е-токен. УЦ выдает секретные ключи именно на этих устройствах, но их вполне можно приобрести самостоятельно.
Внешне токен похож на обычную USB-флешку, но внутри содержит не накопитель, а криптопроцессор – устройство, хранящее секретные ключи и осуществляющее внутри себя все необходимые криптопреобразования. Поместить секретные ключи в эти устройства можно, но извлечь их оттуда уже не получится, что обеспечивает дополнительный уровень защиты.
Две главных опасности для секретного ключа – это вредоносное ПО и действия пользователя. Надеяться только на антивирусные программы недостаточно. Важно соблюдать правила:
— не оставлять токен подключенным к компьютеру дольше необходимого;
— не оставлять устройство без присмотра (его нужно всегда иметь при себе или хранить в сейфе);
— ни в коем случае не помещать секретный ключ в облачное хранилище и вообще не использовать для его хранения Интернет.
ЭП: ТЕХНИКА БЕЗОПАСНОСТИ
1. Изучите компьютерную грамотность сами и обучите ей сотрудников или родственников! Антивирусы – это хорошо, но лучшая защита пользователя от кибермошенничества – его собственная голова. Люди, которые могут хотя бы подойти к вашему компьютеру, должны знать, что такое фишинг, как отличить настоящий сайт от подделки и почему нельзя открывать все ссылки подряд.
2. Поддерживайте антивирусную защиту актуальной! Самый распространенный способ «украсть ЭП» (а точнее секретный ключ) на сегодня – зловредные программы, которыми преступники заражают компьютеры.
3. Не используйте токен на компьютере, в защищенности которого вы не уверены.
4. Ключевую пару можно и нужно создать самостоятельно.
5. Не пользуйтесь услугами неаккредитованных удостоверяющих центров, если это не ваш собственный УЦ.
6. Секретный ключ, в том числе содержащий его токен, нельзя передавать никому. Даже родным и близким. Сотрудникам, которые имеют право подписывать документы, сделайте их личные ключи.
7. Паспортные данные и тем более сканы документа должны храниться максимально надежно. Нельзя размещать их в Интернете, даже в якобы безопасных хранилищах. Если при получении какой-либо услуги вместо паспорта допустимо предъявить другой документ, так и поступите. Иначе есть риск обзавестись неучтенной цифровой подписью.
8. Установите пароли на токен и компьютер. Пароль должен иметь достаточную длину и содержать как буквы в разных регистрах, так и цифры со спецсимволами. Еще лучше использовать ключевую фразу (passphrase): это набор слов, разделенных цифрами или спецсимволами. Например, 1k*СпОc0бОв/=\zaS4itit`+token|_|. Его придется выучить наизусть. Записанный на бумажке, даже самый сложный пароль теряет смысл. Достаточно один раз забыть такой листок на столе – и в лучшем случае просто придется заказывать новую подпись.
9. Не храните незащищенный секретный ключ на жестком диске компьютера.
10. Если вы – руководитель, и у ваших подчиненных есть ЭП, дающая право подписывать документы от имени предприятия, при увольнении сотрудника отзывайте его подпись даже раньше, чем он получит расчет.
Новости Барнаула
Опросы
Спецпроекты
Прямой эфир
Прячем денежки. Как защитить свой аккаунт на «Госуслугах» от мошенников?
Онлайн-мошенники начали взламывать аккаунты граждан на сайте госуслуг и через них брать кредиты и микрозаймы. В социальных сетях и блогах люди рассказывают, как стали жертвами киберпреступников. Что делать, для того чтобы себя обезопасить, рассказываем в рубрике «Вопрос-ответ».
А некоторые банки сейчас оформляют кредиты дистанционно. Поэтому мошенники, которые уже научились взламывать личные кабинеты добропорядочных граждан, легко могут воспользоваться их данными. Они привязывают свой номер телефона и электронную почту к чужому личному кабинету и могут им пользоваться в своих интересах.
В этот период доступ настоящего владельца к аккаунту обрезан. Чтобы его восстановить, требуется время.
Злоумышленникам же достаточно полчаса, чтобы авторизоваться на сайтах банков и микрофинансовых организаций (МФО) и подать заявку. Их рассматривают сейчас быстро: каких то 10-20 минут и вы с кредитом, а мошенник – с деньгами.
В первую очередь нужно установить сложный пароль и менять его время от времени. Многие используют в качестве ключа слишком простую комбинацию, например, адрес электронной почты, номер телефона или дату рождения. Это значительно упрощает работу мошенникам. Эксперты предполагают, что сейчас на «Госуслугах» залезают в профили тех, кого слишком легко взломать.
Также не рекомендуется заходить на «Госуслуги» с общих компьютеров, например, на работе.
Чтобы повысить уровень защиты, можно включить двухфакторную аутентификацию входа в личный кабинет, публикует РБК совет руководителя аналитического центра Zecurion Владимира Ульянова.
В этом случае для подтверждения услуги на мобильный телефон через push-уведомления либо SMS будет приходить дополнительный код. Как только мошенники увидят, что страница защищена, они, скорее всего, отступятся.
Чтобы подключить двухфакторную аутентификацию, необходимо в личном кабинете нажать ссылку «Профиль» и в левом вертикальном меню выбрать пункт «Вход в систему». Далее выбираем «Вход с подтверждением по SMS» и настраиваем аккаунт. Теперь каждый вход будет возможен только с кодом из SMS, который придёт на ваш номер.
Впрочем, эксперты говорят, что уже в ближайшем будущем проблема будет только усугубляться. Так что людям советуют просто проявлять бдительность: чаще отслеживать оповещения сервиса, не переходить по подозрительным ссылкам и никому не давать пароли от своих аккаунтов.
А как доказать, что кредит оформил не я, а мошенник?