Проект «Роскомсвобода» сообщил, что личные данные россиян на “Госуслугах” использовались во время предвыборной гонки на сентябрьских выборах. Тогда жители регионов столкнулись с тем, что неизвестные взломали их аккаунты на этом портале. Корреспондент «7x7» попробовал купить чужие персональные данные, чтобы узнать, насколько это легко, - и оказалось, что это могут сделать все, кто пользуется интернетом. Как работает этот черный рынок, зачем эта информация злоумышленникам и как пользователи “Госуслуг” могут ее защитить - в обзоре «7x7».
О чем рассказал владелец бота по продаже аккаунтов
— Мошенники взломали мой аккаунт на «Госуслугах». Они отправили запросы в разные органы на создание многих документов, — написала в декабре 2021 года жительница Мурманской области Елена на своей странице в соцсети «ВКонтакте».
Злоумышленникам, судя по всему, не удалось украсть все данные женщины, и она быстро среагировала на потерю доступа к аккаунту. На вопросы корреспондента «7х7» Елена не ответила, а позже удалила пост о взломе. Похожую историю в июне рассказал пользователь сайта Pikabu: у него взломали личный кабинет на портале госуслуг, поменяв телефон, электронную почту и пароль, после чего открыли кредитную карту на его имя и сняли с нее более 400 тыс. руб.
В сентябре в «Лаборатории Касперского» сказали «Известиям», что злоумышленники стали звонить россиянам под видом сотрудников поддержки «Госуслуг» и выманивать личные данные — такие случаи участились с июля 2021 года. Впоследствии аккаунт жертвы мошенника может попасть на черный рынок, где его купят, чтобы использовать, например, для оформления кредитов, микрозаймов, регистрации на букмекерских сайтах или сервисе электронных платежей QIWI. В мессенджере Telegram есть специальные боты, позволяющие быстро и анонимно купить ворованные аккаунты. Такая «услуга» появляется в ботах через поставщиков, которые продают персональные данные большими массивами по оптовой цене. Один из владельцев бота по продаже аккаунтов «Госуслуг» признался в переписке с корреспондентом «7х7», что пополняет базы раз в неделю (скриншот переписки есть в распоряжении редакции).
Стоимость такого аккаунта начинается от 20 руб. Продавцы уверяют, что их «можно использовать под кредиты», то есть оформить займ на другого человека.
Оплатить аккаунт можно картой, криптовалютой или переводом денег на QIWI. После этого покупатель получает логин и пароль от чужого аккаунта на «Госуслугах» и другие личные данные человека: ИНН, СНИЛС, адреса прописки, информацию о паспорте в виде небольшой таблицы.
— Лично я закупаю базы [с аккаунтами «Госуслуг»] у оптовых поставщиков. Чаще всего аккаунты «добываются» методом брутфорса, то есть подбором комбинаций «логин-пароль» в автоматическом режиме, — объясняет в переписке с корреспондентом «7х7» один из продавцов аккаунтов «Госуслуг» на черном рынке.
Сам портал госуслуг к этим утечкам отношения не имеет. Собеседник отмечает, что иногда происходят «сливы с разных сайтов» (например, утечка с Facebook и Clubhouse в сентябре 2021 года). Если человек использует один и тот же пароль на разных сайтах, эти данные дают доступ и к «Госуслугам». Сложность пароля при этом не имеет никакого значения.
— Суть в том, что не нужно использовать везде одинаковый пароль. Особенно на государственном сайте, — резюмирует владелец бота с персональными данными.
По его словам, наибольшим спросом пользуются аккаунты, предназначенные для регистрации на сайтах букмекеров и совершения ставок. Однако владелец бота говорит, что не интересовался, для каких целей у него покупают учетные записи пользователей.
Как обезопасить свой аккаунт на “Госуслугах”
Корреспондент «7х7» попытался связаться с жителем города Нижневартовска, чьи персональные данные с «Госуслуг» попали на черный рынок. Тот бросил трубку, услышав о теме беседы.
Поговорить с «7х7» согласилась жительница Архангельска Анастасия, чьи персональные данные тоже попали на черный рынок: корреспондент «7х7» купил к ним доступ, чтобы проверить, насколько это легко. Оказалось, ничего сложного: логин, пароль и другие личные данные девушки были проданы за 35 руб. Журналист не пользовался ими и предупредил собеседницу, что ее личные данные попали на черный рынок. Анастасия сказала, что не видит в этом проблемы:
— Порталом я пользуюсь часто для получения различных документов. Что мне [будет от утечки] «Госуслуг»? Вгонят в долги? Я переживу.
Двухфакторную аутентификацию Анастасия не включала, потому что пока «не видела необходимости». Она призналась, что достаточно «безалаберна» в плане цифровой безопасности и в большинстве сервисов пользуется одинаковым паролем. Девушка оценивает его как «сложный». После разговора с корреспондентом Анастасия решила обезопасить свой аккаунт.
Продавец аккаунтов на черном рынке говорит, что в его практике примерно 80–90% пользователей «Госуслуг» не используют двухфакторную аутентификацию:
— Главное, укажите [в вашем материале], чтобы пользователи ставили подтверждение [входа] по СМС.
С ним соглашается исследователь информационной безопасности Сергей Дьяконов. По его мнению, людям часто лень придумывать и запоминать сложные пароли, они «верят, что их данные никому не нужны». Дьяконов говорит, что на «Госуслугах» тоже могут быть незакрытые уязвимости, позволяющие мошенникам получать доступ к аккаунтам пользователей. О таких уязвимостях ранее сообщал портал «Роскомсвобода». Суть одной из них в том, что после ввода капчи пользователь может быть перенаправлен на мошеннический ресурс (капча - защитный код, который показывается в виде всплывающего окна или картинки). Там он вводит данные для входа на “Госуслуги”, думая, что находится на настоящем госпортале, и они попадают к злоумышленникам. По просьбе «7х7» Дьяконов проверил наличие уязвимости на «Госуслугах». По его словам, на момент общения с корреспондентом ее уже исправили.
Чтобы защитить свои данные на «Госуслугах», Сергей Дьяконов советует:
- не переходить по незнакомым ссылкам;
- не открывать письма неизвестных отправителей. Необходимо обращать внимание на адрес отправителя и присланной ссылки. Например, злоумышленники могут использовать похожий домен (типа goluslugi.ru и [email protected]). В большинстве браузеров есть пометка о том, имеют ли домен или почта подтвержденные сертификаты. Для этого необходимо нажать на значок с информацией о домене или отправителе - например, в Google Chrome это “замочек”;
- создавать сложные пароли, содержащие не менее восьми знаков с цифрами, заглавными и строчными буквами и символами;
- пароли для разных сервисов должны отличаться. Чтобы их не запоминать, можно пользоваться менеджерами паролей — LastPass, Northpass, Kaspersky Password Manager (ред. - можно использовать и другие менеджеры паролей, например, KeePass, 1Password);
- на важных и постоянно используемых сервисах (соцсети, государственные сайты, корпоративные сервисы) включать двухфакторную аутентификацию;
- часто злоумышленники могут использовать социальную инженерию и человеческое доверие, поэтому нельзя передавать данные третьим лицам по телефону или вводить персональную информацию на сторонних сайтах.