Вход в личный кабинет на «Госуслугах» осуществляется с дополнительным способом подтверждения — с помощью биометрии, одноразового кода ТОТР (генерируется через специальное приложение на смартфоне) или одноразового кода из СМС-сообщения. Такие коды — желанная добыча мошенников, которые используют разные уловки, лишь бы выманить эту информацию у своей жертвы. Вместе с экспертами рассказываем, как защитить свой аккаунт на «Госуслугах».
Что могут сделать мошенники, получив доступ к «Госуслугам»
В личном кабинете на «Госуслугах» хранится внушительный объем личной информации гражданина, а учетная запись портала является еще и идентификатором личности. Если в личный кабинет человека войдет посторонний, он получит доступ к его паспортным данным, СНИЛС, ИНН, перечню банковских счетов, медицинской карте, данным об имуществе, находящемся в собственности.
Вот что, по словам эксперта Центра финансовой грамотности НИФИ Минфина России Ольги Дайнеко, могут сделать мошенники, получив доступ к аккаунту на «Госуслугах»:
- заменить учетные данные (например, номер телефона, на который будут приходить коды подтверждения действий на портале). «Однако без помощи владельца аккаунта и его телефона сделать это нельзя, но мошенники активно используют социальную инженерию и убеждают своих жертв передавать необходимые коды из СМС», — поясняет эксперт;
- использовать идентификацию личности на портале и подать заявку на кредит/оформить микрозайм;
- использовать идентификацию личности на «Госуслугах» для входа в личный кабинет налогоплательщика и оформить там налоговый вычет (например, по предзаполненным заявлениям), указав свои банковские данные для получения денег;
- оформить eSIM (цифровой аналог пластиковой сим-карты) и далее использовать для мошенничества;
- подать заявление на снятие наложенного ранее самозапрета на кредитование и, соответственно, оформить кредит на имя жертвы;
- получить доступ к персональным/личным данным, которые потом можно использовать для мошеннических действий (обладание расширенными личными данными жертвы, а также сведениями о детях, поданных заявлениях на соцвыплаты, об имущественном и семейном положении позволяют создавать правдоподобные сценарии обмана). Кроме того, все похищенные данные объединяют в базы, которые потом продаются. Чем больше в базе сведений, тем проще злоумышленникам ввести в заблуждение жертву.
Как защититься от мошенников: рекомендации
Взломать личный кабинет на «Госуслугах» извне без участия владельца учетной записи практически невозможно, говорит Дайнеко, поэтому все способы защиты аккаунта нацелены на сохранение конфиденциальности данных для входа на портал:
- Используйте надежный пароль для входа и регулярно его обновляйте, не используйте один и тот же пароль для нескольких цифровых сервисов.
- Используйте дополнительное подтверждение для входа в систему: в настоящее время двухфакторная аутентификация при входе на «Госуслуги» встроена по умолчанию, задача пользователя — никому не передавать данные с полученным кодом.
- Для аутентификации используйте биометрию или одноразовый код ТОТР — эти способы менее уязвимые по сравнению с аутентификацией через код из СМС.
- Заходите на «Госуслуги» только на официальном сайте платформы или через официальное приложение. Не проходите авторизацию по ссылкам, прикрепленным к присланным сообщениям или письмам. Мошенники создают поддельные сайты, визуально похожие на портал «Госуслуги», чтобы похищать логины/пароли и коды из СМС для входа в личный кабинет.
- Создайте контрольный вопрос для восстановления доступа к учетной записи (при восстановлении система сначала запросит дополнительную информацию (например, дату выдачи паспорта) и следом — контрольный вопрос). Это усложнит доступ к учетной записи посторонним.
- Также необходимо соблюдать общую цифровую гигиену: не использовать для входа на «Госуслуги» публичный доступ в интернет, не скачивать файлы и приложения из неизвестных источников, не переходить по присланным ссылкам, не сохранять логины и пароли доступа в браузере (не используйте автосохранение) и не входить в аккаунт с чужих устройств.
- Для дополнительной защиты аккаунта (контролирования входа и действий на портале) можно использовать для «Госуслуг» отдельную сим-карту. Такой способ особенно актуален для пожилых людей. Сим-карту, к которой подвязан личный кабинет на «Госуслугах», следует передать близкому родственнику. Даже если мошенникам удастся обмануть человека, он не сможет назвать им код для входа в личный кабинет — пароли будут приходить на другой телефон.
Важно! Основные данные для входа (логин/пароль) все-таки не следует передавать даже близким родственникам: отношения даже между членами семьи могут испортиться, и это не должно отражаться на возможности использования платформы, говорит Дайнеко.
«Кроме того, физическое отсутствие телефона, на который приходит СМС с кодом, не является стопроцентной гарантией безопасности. Мошенники умело обрабатывают своих жертв, в том числе могут убедить лично обратиться в МФЦ для смены телефонного номера. Важнее быть в контакте с пожилым родственником, регулярно проговаривать правила цифровой и финансовой безопасности, убеждать советоваться с близкими родственниками при принятии значимых решений и рассказывать о своих контактах с незнакомцами (кем бы они ни представлялись). Вместо или вместе с сим-картой в удаленном доступе владельца можно использовать присоединение к аккаунту на "Госуслугах" электронной почты близкого родственника, на которую будут дублироваться уведомления обо всех действиях на портале», – рекомендует эксперт.
