На портал госуслуг проникли мошенники. Киберпреступники взламывают чужие аккаунты и дистанционно оформляют кредиты. О том, что они должны банку, жертвы узнают случайно. И хотят доказать, что деньги взял кто-то другой, а также найти действенный способ защитить свои личные данные.
Провести этот вечер в отделении полиции режиссер Иван Цыбин явно не рассчитывал. Но все планы рухнули. Аферисты оформили на Ивана два микрозайма. И если бы не смс-сообщение, кредитов могло бы быть значительно больше. Мошенники сумели взломать личный кабинет Ивана на портале госуслуг – заменили логин и пароль в его профиле и получили полный доступ.
"Мне в МФЦ, когда я пришел и рассказал о том, что вот такая история, женщина, убедившись, что никого вроде нет, тихо-тихо сказала: вы только сегодня за утро четвертый. А вообще уже два месяца идет поток людей, у которых вот так взламывают личные кабинеты на госуслугах и берут кредиты", – говорит Цыбин.
Доступ к порталу госсулуг Ивану вернули. Но эти полчаса стоили ему двух займов в сомнительных финансовых конторах. И сделать это было легко, ведь портал – это кладезь персональных данных. Тут номера паспортов, данные о собственности, СНИЛС, ИНН и даже цифровая подпись. От имени Александры Косоговой из Ухты через госуслуги, злоумышленники делали спортивные ставки и получали выигрыши.
"Я знаю про спортивные ставки. Что еще они делали под моими персональными данными, только Богу известно. Брали ли они какие-то кредиты? Я не знаю, как это проверить. У меня есть ip-адреса, но и все, я их пробила по ip-адресам, и они все в разных городах", – говорит Косогова.
В Министерстве цифрового развития, связи и массовых коммуникаций, которое курирует работу госпортала, пострадавшим посоветовали направить жалобу в письменном виде. А еще быть более внимательными – не открывать сомнительные сайты и не переходить по подозрительным ссылкам. Однако эксперты по кибербезопасности не исключают возможность утечки информации и с серверов самого портала.
"Когда мы говорим о серьезных системах, то обычно доступ есть у большого количества людей, и среди них обязательно будет тот, кто готов слить эти данные за вознаграждение, С точки зрения информационной безопасности самая большая угроза – это не хакеры, которые взламывают систему, а вот именно сотрудники организации, которые эти данные сливают", – сообщил руководитель аналитического центра исследования информационной безопасности Владимир Ульянов.
Впрочем, в интернете и без того полно информации, которой могут воспользоваться злоумышленники.
"Сейчас люди оставляют о себе огромный цифровой след, который можно затем обнаружить и найти. Все активности человека, в принципе, видны вот всему миру через интернет. Поэтому мы можем получить информацию из соцсетей, из утекших баз данных, из сообщений в мессенджерах", – говорит специалист по информационной безопасности Артем.
Для этого не нужно спецоборудование и много времени. Пара минут и программа, которую можно скачать в свободном доступе, выдает все явки-пароли. Самая распространенная ошибка – один пароль на несколько аккаунтов. Явление до сих пор распространенное. А еще – имена и даты рождения близких и клички домашних питомцев – это антирейтинг паролей. Стопроцентной защиты от мошеннических атак не существует. Но усложнить злоумышленникам жизнь можно, установив так называемую двухфакторную аутентификацию.
"Чтобы ее настроить, вам нужно зайти в свой профиль, вы нажимаете на личный кабинет, на свое имя. Здесь попадаете в настройки безопасности. После этого входите в меню "вход в систему". И здесь есть несколько меню. Вход с подтверждением по смс – именно в этом поле мы включаем двухфакторную аутентификацию", – рассказывает директор центра экспертизы компании по разработке систем кибербезопасности Всеслав Соленик.
В этом случае на указанный вами номер телефона будет приходить цифровой код-пароль, без которого войти в систему невозможно. Лучше потратить несколько минут, разбираясь в настройках безопасности, чем месяцы – в судах, соглашаются юристы.
"Казалось бы, человек не передавал свои аккаунты, не сообщал пароли, которые ему приходят. Но доказать это он не может потому, что единственным доказательством в этом случае является информация от банка, который говорит, что его протоколы безопасности не нарушены, а значит, делает вывод следователь, вы сами нарушили условия договора банковского счета", – подытоживает адвокат Алексей Аксенов.
Впрочем, положительная практика тоже есть. Одной из пострадавших удалось доказать, что заявки на кредиты от ее имени направили из другого конца страны, где она в тот момент не могла находиться физически.
