Вход в личный кабинет на «Госуслугах» осуществляется с дополнительным способом подтверждения — с помощью биометрии, одноразового кода ТОТР (генерируется через специальное приложение на смартфоне) или одноразового кода из СМС-сообщения. Такие коды — желанная добыча мошенников, которые используют разные уловки, лишь бы выманить эту информацию у своей жертвы. Вместе с экспертами рассказываем, как защитить свой аккаунт на «Госуслугах».
Что могут сделать мошенники, получив доступ к «Госуслугам»
В личном кабинете на «Госуслугах» хранится внушительный объем личной информации гражданина, а учетная запись портала является еще и идентификатором личности. Если в личный кабинет человека войдет посторонний, он получит доступ к его паспортным данным, СНИЛС, ИНН, перечню банковских счетов, медицинской карте, данным об имуществе, находящемся в собственности.
Вот что, по словам эксперта Центра финансовой грамотности НИФИ Минфина России Ольги Дайнеко, могут сделать мошенники, получив доступ к аккаунту на «Госуслугах»:
- заменить учетные данные (например, номер телефона, на который будут приходить коды подтверждения действий на портале). «Однако без помощи владельца аккаунта и его телефона сделать это нельзя, но мошенники активно используют социальную инженерию и убеждают своих жертв передавать необходимые коды из СМС», — поясняет эксперт;
- использовать идентификацию личности на портале и подать заявку на кредит/оформить микрозайм;
- использовать идентификацию личности на «Госуслугах» для входа в личный кабинет налогоплательщика и оформить там налоговый вычет (например, по предзаполненным заявлениям), указав свои банковские данные для получения денег;
- оформить eSIM (цифровой аналог пластиковой сим-карты) и далее использовать для мошенничества;
- подать заявление на снятие наложенного ранее самозапрета на кредитование и, соответственно, оформить кредит на имя жертвы;
- получить доступ к персональным/личным данным, которые потом можно использовать для мошеннических действий (обладание расширенными личными данными жертвы, а также сведениями о детях, поданных заявлениях на соцвыплаты, об имущественном и семейном положении позволяют создавать правдоподобные сценарии обмана). Кроме того, все похищенные данные объединяют в базы, которые потом продаются. Чем больше в базе сведений, тем проще злоумышленникам ввести в заблуждение жертву.
«Если во время разговора у вас возникло ощущение, что звонит мошенник, самым верным действием будет завершить звонок, — подсказывает аналитик-эксперт Банки.ру Эряния Бочкина. — Лучше не пытаться выяснить, каким образом ваши данные попали к мошенникам, или пытаться подыгрывать им: поскольку злоумышленники используют методы социальной инженерии, можно незаметно для себя попасться на их удочку.
Для того чтобы ограничить поступление таких звонков, можно установить специальное приложение или подключить опцию защиты от спама у оператора связи или в банковском приложении».
Как защититься от мошенников: рекомендации
Взломать личный кабинет на «Госуслугах» извне без участия владельца учетной записи практически невозможно, говорит Дайнеко, поэтому все способы защиты аккаунта нацелены на сохранение конфиденциальности данных для входа на портал:
- Используйте надежный пароль для входа и регулярно его обновляйте, не используйте один и тот же пароль для нескольких цифровых сервисов.
- Используйте дополнительное подтверждение для входа в систему: в настоящее время двухфакторная аутентификация при входе на «Госуслуги» встроена по умолчанию, задача пользователя — никому не передавать данные с полученным кодом.
- Для аутентификации используйте биометрию или одноразовый код ТОТР — эти способы менее уязвимые по сравнению с аутентификацией через код из СМС.
- Заходите на «Госуслуги» только на официальном сайте платформы или через официальное приложение. Не проходите авторизацию по ссылкам, прикрепленным к присланным сообщениям или письмам. Мошенники создают поддельные сайты, визуально похожие на портал «Госуслуги», чтобы похищать логины/пароли и коды из СМС для входа в личный кабинет.
- Создайте контрольный вопрос для восстановления доступа к учетной записи (при восстановлении система сначала запросит дополнительную информацию (например, дату выдачи паспорта) и следом — контрольный вопрос). Это усложнит доступ к учетной записи посторонним.
- Также необходимо соблюдать общую цифровую гигиену: не использовать для входа на «Госуслуги» публичный доступ в интернет, не скачивать файлы и приложения из неизвестных источников, не переходить по присланным ссылкам, не сохранять логины и пароли доступа в браузере (не используйте автосохранение) и не входить в аккаунт с чужих устройств.
- Для дополнительной защиты аккаунта (контролирования входа и действий на портале) можно использовать для «Госуслуг» отдельную сим-карту. Такой способ особенно актуален для пожилых людей. Сим-карту, к которой подвязан личный кабинет на «Госуслугах», следует передать близкому родственнику. Даже если мошенникам удастся обмануть человека, он не сможет назвать им код для входа в личный кабинет — пароли будут приходить на другой телефон.
Важно! Основные данные для входа (логин/пароль) все-таки не следует передавать даже близким родственникам: отношения даже между членами семьи могут испортиться, и это не должно отражаться на возможности использования платформы, говорит Дайнеко.
«Кроме того, физическое отсутствие телефона, на который приходит СМС с кодом, не является стопроцентной гарантией безопасности. Мошенники умело обрабатывают своих жертв, в том числе могут убедить лично обратиться в МФЦ для смены телефонного номера. Важнее быть в контакте с пожилым родственником, регулярно проговаривать правила цифровой и финансовой безопасности, убеждать советоваться с близкими родственниками при принятии значимых решений и рассказывать о своих контактах с незнакомцами (кем бы они ни представлялись). Вместо или вместе с сим-картой в удаленном доступе владельца можно использовать присоединение к аккаунту на "Госуслугах" электронной почты близкого родственника, на которую будут дублироваться уведомления обо всех действиях на портале», – рекомендует эксперт.
