Как мошенники поменяли мой пароль на госуслугах «в результате личного обращения»
Поучительный опыт читателя
Этот текст написан в Сообществе, бережно отредактирован и оформлен по стандартам редакции
Воскресное утро. Атмосферу умиротворения нарушает череда вибраций.
В 08:00 мой телефон выходит из режима сна и сообщает обо всем, что произошло ночью. Но вчера же была суббота. Срочных рабочих вопросов быть не могло. Значит, что-то случилось.
Сообщения летят одно за другим. Заспанными глазами я разбираю только «Госключ», «подписано». Воу-воу, полегче! Я ничего не подписывал.
Захожу в «Госключ» — предлагают сгенерировать код. Странно, так не должно быть. Захожу на госуслуги — ого! Оказывается в 03:35 я получил сертификат электронной подписи и подписал им уже три договора с МТС — взял на себя три телефонных номера.
Стоп! Пытаюсь отозвать подпись — не дает. Нет номера телефона. Из моей учетной записи пропал мой телефон, на который должны были приходить смс. Пытаюсь его добавить — не дает. Госуслуги предлагают сделать это через банки, но кнопка Сбера просто не реагирует, а Т-Банк после авторизации говорит, что у меня уже есть аккаунт на госуслугах, — спасибо, кэп! Ситуация патовая.
Единственный выход — срочно бежать в «Мои документы» ногами. Ведь я ничего не могу сделать удаленно. Странно, что это смогли сделать мошенники ночью. В «Моих документах» ничего не знают про «Госключ», и со второго раза у них получается вернуть в мой профиль номер телефона и сбросить пароль.
На вопрос, как отозвать электронную подпись и аннулировать договоры с МТС, отвечают: «Не знаем, позвоните в МТС». Звоню в МТС. Оказывается, нужно приехать лично и написать заявления.
Ну почему мошенники могут все делать удаленно, а мне нужно ездить лично?
Еду. Пишу. Гуглю, как отменить сертификат. Начинаю процедуру отзыва сертификата электронной подписи, но заявку об отзыве электронной подписи можно подписать… только электронной подписью. А для этого нужно лично поехать по каким-то адресам, указанным на карте в приложении. Не разбираюсь — мчу в ближайший! Почему-то это «Россельхозбанк». Он не работает по выходным.
О! Еще один вариант — через загранпаспорт нового образца. Там есть чип, который нужно считать телефоном. Еду в квартиру, где лежит загранник! Ура! Заявка на отзыв сертификата подписана.
Пришло время покопаться в логах госуслуг. Оказывается, в 03:31 я «восстановил пароль в результате личного обращения». Как так-то? Какое личное обращение ночью? Куда? Откуда?
Пишу запрос в техподдержку госуслуг. Ответ приходит штатный — мол, смените пароль и бла-бла-бла. Еще раз спрашиваю, как сбросили пароль. Я хочу разобраться, чтобы предотвратить повторение. Тишина. Ответа нет.
Для чего же мошенникам оформлять на нас номера телефонов? Можно просто их использовать, а долги по ним повесить на вас, но это мелко. А еще с их помощью можно взять кредит. Хорошие банки, конечно, не дадут, а вот какие-то микрокредитные шараги — с удовольствием.
Делаю запрос в Национальное бюро кредитных историй — пока чисто, но говорят, все заявки на микрокредиты попадают в кредитную историю в течение трех дней. Буду делать запрос в НБКИ еще раз. К сожалению, предчувствие такое, что все еще не закончилось.
На госуслугах через несколько дней появляется ответ. Причину случившегося нашли. Закрыли отделение. Надеюсь, все, что они там наделали, можно откатить назад. Запрашиваю очередной отчет из НБКИ — чисто.
Хотелось бы написать: будьте бдительны. Да что толку, если вы можете, сами того не ведая, в ночь с субботы на воскресенье личным обращением сбросить свой пароль, изменить данные личного кабинета, выпустить ЭЦП и кто знает что еще сделать.
Никому не говорите номер СНИЛС
Я не знаю всех деталей, но мне кажется маловероятным сценарий, в котором мошенники пришли в МФЦ, притворились Романом и убедили сотрудника сбросить пароль от его госуслуг. Чтобы привлечь такое внимание аферистов, нужно быть депутатом, бизнесменом, журналистом — в общем, кем-то, на кого злоумышленники точат зуб и захотят шантажировать.
Простые люди в большинстве случаев сами помогают мошенникам взломать себя — и зачастую даже не осознают этого. Все потому, что аферисты умело пользуются приемами социальной инженерии.
Вероятный сценарий того, что происходит в ситуациях, похожих на историю Романа, выглядит так. За несколько месяцев до взлома человеку звонит «мобильный оператор» и сообщает, что нужно продлить договор на симкарту. Или звонят якобы из Министерства здравоохранения и предлагают продлить полис ОМС.
В общем, мошенники придумывают какой-то повод для звонка и создают иллюзию серьезной проблемы. Чтобы ее успешно разрешить прямо здесь и сейчас, от человека нужно всего ничего — сказать свой номер СНИЛС. Если человек его сообщает, с ним вежливо прощаются и кладут трубку. Ничего страшного не происходит, и человек вскоре забывает о разговоре.
А вот злоумышленники ничего не забывают. Они добавляют номер СНИЛС к своей базе украденных данных. Туда же попадают слитые паспортные данные, адреса регистрации и жительства, номера мобильных телефонов и страховых полисов. В общем, все, что пригодится для преступных действий.
Когда их набирается достаточно, хакеры пытаются получить доступ к госуслугам человека. Ключевой элемент — как раз номер СНИЛС, ведь с его помощью можно восстановить пароль от госуслуг. Правда, одного номера недостаточно: хакерам нужен будет код подтверждения, который госуслуги направляют либо на мобильный номер владельца, либо на электронную почту.
Часто хакеры выбирают вариант с электронной почтой: если владелец использует один и тот же пароль на разных сайтах, злоумышленники смогут найти пароль в одной из утечек, получат доступ к почте и увидят код подтверждения. Именно поэтому так важно использовать уникальный пароль для каждого сайта, и особенно — для вашего почтового ящика.
Подробнее о том, как сделать надежные пароли и не сойти с ума, пытаясь их запомнить, мы рассказали в одном из уроков бесплатного курса «Как защититься от мошенников».
Если же мошенникам не удалось взломать электронную почту, они выбирают вариант с кодом подтверждения по номеру мобильного телефона. Тогда аферисты снова позвонят владельцу и попытаются выманить код с помощью все тех же приемов социальной инженерии. Тут правило простое: никому никогда не сообщайте коды подтверждения.
