Как включить двухфакторную аутентификацию в госуслугах в приложении

Обновлено: 06.01.2025

В соответствии с требованиями Положения об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций (утв. Банком России 17.04.2019 № 684-П) ООО МКК Русинтерфинанс (далее – Общество) уведомляет своих клиентов о возможных рисках, связанных с получением третьими лицами несанкционированного доступа к защищаемой информации:

Несанкционированный доступ к устройствам (т.е. любому техническому средству, включая, но, не ограничиваясь, компьютер, ноутбук, планшет, мобильный телефон, с помощью которого клиент осуществляет вход в автоматизированные системы для совершения финансовых операций или получения информации в отношении таких операций (далее - Системы)), влечет риск получения третьими лицами логина и пароля, используемых для входа в Системы, что может повлечь за собой получение несанкционируемого доступа к защищаемой информации.

Для минимизации вышеуказанных рисков Обществом предпринимаются меры организационного и технического характера, направленные на предотвращение доступа третьих лиц к защищаемой информации, в то же время, для снижения вышеуказанных рисков, а также для обеспечения необходимого и достаточного уровня информационной защиты, Общество доводит до сведения своих клиентов рекомендации по соблюдению информационной безопасности и рекомендует следующее:

Включите двухэтапную проверку входа

После включения двухфакторной аутентификации, чтобы войти в учетную запись, будет необходимо ввести одноразовый SMS-код, который прийдет на телефон, указанный в госуслугах.

Чтобы включить двухэтапную проверку:

Нажмите на свою аватарку и в открывшемся меню выберите Личный кабинет
На главной странице личного кабинета откройте вкладку Настройки
Нажмите Настройка безопасности
Выберите Включить двухэтапную проверку входа
Введите пароль от аккаунта и нажмите Включить

Используйте уникальный пароль

Уникальный и сложный пароль позволит защитить ваш аккаунт от классического перебора паролей. Однако не стоит использовать один и тот же пароль на всех ресурсах. Кража данного пароля на одном из сервисов позволит злоумышленникам получить доступ ко всем вашим ресурсам, где использовался данный пароль. Поэтому при задании нового пароля используйте генераторы паролей.

Включите оповещения о входе в ваш аккаунт Госуслуг

Включение уведомлений позволит вам контролировать доступ к вашему аккаунту. Уведомления позволят отследить несанкционированный доступ и позволят оперативно принять меры, в частности произвести смену пароля.

Чтобы включить уведомления:

Нажмите на свою аватарку и в открывшемся меню выберите Личный кабинет.
На главной странице личного кабинета откройте вкладку Настройки.
Нажмите Настройки безопасности.
В блоке Оповещения о входе поставьте флажок Присылать уведомление на электронную почту.

Задайте контрольный вопрос

Контрольный вопрос является дополнительной мерой для защиты аккаунта. Необходимо, чтобы ответ на контрольный вопрос знали только вы, и его нельзя было бы найти с помощью поисковых систем в интернете.

Чтобы задать контрольный вопрос:

Нажмите на свою аватарку и в открывшемся меню выберите Личный кабинет.
На главной странице личного кабинета откройте вкладку Настройки.
Нажмите Настройки безопасности.
Выберите Задать контрольный вопрос.
Введите вопрос, ответ на него и пароль.
Нажмите .

Включите вход с помощью электронной подписи:

При наличии квалифицированной электронной подписи, вы можете использовать ее, для авторизации.

Наши персональные данные на портале «Госуслуги» находятся под надежной защитой: их никому не передают без нашего согласия. Но к их безопасности стоит подходить серьезно, даже если вы пользуетесь ими не очень часто. Ведь иногда злоумышленники могут получить доступ к вашему почтовому ящику или даже взломать личный аккаунт. Чаще всего это происходит из-за низкого уровня защиты и неосторожных действий самого владельца учетной записи.

Однако необходимо помнить, что безопасность определяется не только уровнем защиты портала, но и уровнем защиты вашего рабочего места, с которого осуществляется доступ. И если злоумышленник получит доступ к вашему аккаунту на «Госуслугах», он сможет действовать от вашего имени не только на самом портале, но и за его пределами. Речь идет не о мелких пакостях, а об очень серьезных вещах. Например, на вас могут оформить кредит. Или зарегистрировать на ваше имя фирму, проводящую сомнительные операции. Или распорядиться вашей собственностью на свое усмотрение.

Как защитить свой аккаунт

Портал «Госуслуги» предлагает несколько инструментов для защиты вашего аккаунта. Они также позволяют вам вовремя узнать о попытке взлома.

1. Используйте уникальный пароль

«Госуслуги» требуют от вас придумать длинный и сложный пароль, чтобы его было труднее подобрать. Однако сервис никак не может проверить его уникальность. Если вы воспользуетесь тем же самым паролем, которым защитили электронную почту и еще десяток аккаунтов на других сервисах, то утечка данных с любого из них поставит ваши документы под угрозу.

Поэтому для такого важного аккаунта, как на «Госуслугах», не только рекомендуется, но и жизненно необходимо придумать уникальный пароль. А чтобы вы не боялись его забыть, есть несколько советов по составлению и запоминанию паролей. Больше идей можно найти в статье про надежные пароли. И, конечно, всегда можно подстраховаться и сохранить его в менеджере паролей.

2. Включите оповещения о входе в ваш аккаунт Госуслуг

Если вы включите оповещения, то после каждого успешного входа вам придет письмо на электронную почту. Так вы узнаете, если кто-либо, кроме вас, получит доступ к аккаунту, и сможете своевременно поменять пароль. Чтобы включить уведомления о входе:

Нажмите на свою аватарку и в открывшемся меню выберите Личный кабинет.
На главной странице личного кабинета откройте вкладку Настройки.
Нажмите Настройки безопасности.
В блоке Оповещения о входе поставьте флажок Присылать уведомление на электронную почту.

3. Задайте контрольный вопрос

Контрольный вопрос — это дополнительная мера защиты от попыток посторонних сменить пароль от вашего аккаунта. Но стоит помнить, что контрольный вопрос не защитит вас, если ответ на него легко угадать или найти в Интернете. Важно, чтобы его знали только вы, причем могли в любой момент его вспомнить.

Чтобы задать контрольный вопрос:

Нажмите на свою аватарку и в открывшемся меню выберите Личный кабинет.
На главной странице личного кабинета откройте вкладку Настройки.
Нажмите Настройки безопасности.
Выберите Задать контрольный вопрос.
Введите вопрос, ответ на него и пароль.
Нажмите Сохранить вопрос.

4. Включите двухэтапную проверку входа

После включения двухэтапной проверки, чтобы войти в вашу учетную запись, злоумышленнику потребуется ввести не только пароль, но и одноразовый SMS-код, который придет на ваш телефон. Таким образом, вы будете в относительной безопасности, даже если ваш пароль украдут. Заодно вы вовремя узнаете о том, что пароль попал не в те руки, и сможете оперативно сменить его.

Чтобы включить двухэтапную проверку:

Нажмите на свою аватарку и в открывшемся меню выберите Личный кабинет.
На главной странице личного кабинета откройте вкладку Настройки.
Нажмите Настройка безопасности.
Выберите Включить двухэтапную проверку входа.
Введите пароль от аккаунта и нажмите Включить.

5. Включите вход с помощью электронной подписи

Нажмите на свою аватарку и в открывшемся меню выберите Личный кабинет.
На главной странице личного кабинета откройте вкладку Настройки.
Нажмите Настройки безопасности.
Выберите Включить вход с помощью электронной подписи.
Введите пароль от аккаунта и нажмите Включить.

Если электронной подписи у вас нет, безопаснее отказаться от этой опции: без ЭЦП она бесполезна, а включая ее, вы теряете возможность получать коды через SMS.

Что еще важно знать

Как видите, настроек безопасности на «Госуслугах» не так много, и разобраться в них совсем не сложно. Кроме этого, чтобы защитить свои данные следуйте простым рекомендациям:

1) Установите у оператора кодовое слово на свой номер, чтобы никто не мог произвести с номером любые действия, вплоть до блокировки, просто зная ваше ФИО и паспортные данные, которые вы светите сплошь и рядом. И обязательно проверьте - работает ли опция так как вам нужно, потому что далеко не факт, что получится сразу сделать то, что требуется. Про МТС и борьбу с ним по этому вопросу я писал сегодня - МТС и кодовое слово. Важный комментарий

2) Укажите вашу электронную почту, на которую будут приходить оповещения об авторизации в Госуслугах.

3) В настройках Госуслуг (я делал через браузер на ПК, не знаю есть ли эта возможность в приложении для смартфонов) установите контрольный вопрос и ответ на него. Вопрос - произвольный, тут нет шаблонов типа "Назовите девичью фамилию вашей матери" или "В каком году у вас первый раз угнали аккаунт ВК" - можно придумать всё, что угодно. Согласно информации с Госуслуг, контрольный вопрос задаётся обязательно при попытке восстановить пароль. Пикрелейтед.

У меня в Билайне стоит кодовое слово. Так вот, когда приходишь в салон, сотрудник открывает на компе твою карточку, и это кодовое слово там написано открытым текстом. То-есть оно вообще никак не защищает от сценария взлома с перевыпуском симки через знакомого сотрудника.

Хер там, мой аккаунт госуслуг взломали тупо приперевшись в МФЦ с поддельным паспортом. Была смена пароля "по личному обращению". Никаких смс и писем не приходило. Всегда стояло подтверждение входа по смс и оповещение о смене пароля на почту и смс. Вот и вся "безопасность".
Чутка опоздал, в госуслугах прописали левый паспорт и с помощью этой учетки каким-то образом разослали запросы на кредиты. 25 запросов в 13 банков. один банк из всех позвонил мне и спросил что за хня происходит и почему вдруг я хочу у них оформить кредитку по новым паспортным данным. Один банк дал халву на 120к, которую моментально обналичили, остальные отказали.

Номер мобильного телефона вам не принадлежит, о какой безопасности может идти речь? Находяться ушлые дяди которые в каком муходрыщинсце по среди ночи перевыпускают вашу симку и уже через смс-верификацию имеют "вас" и все ваши аккаунты и безопастности во все дыры, я уже молчу про всякие смс-банк.
Пока подобные действия не будут только при личном присутствии с паспортом, смена пасса в гос услугах с задержкой в 24 часа и уведомлением везде и всюду, надежды на безопастности не будет.

Безопасность авторизации по смс - полный бред.

Пока не будет персонального электронного ключа с ЭЦП, выдаваемого налоговой и , защищённого кодом, ничего не изменится. Варианты исполнения самого ключа могут обсуждаться, USB, карта, защищённая сим-карта, nfs, загруженные в криптокалькулятор и тд.

Но для того, чтоб это все работало надо чтобы всякие ебучие ведомства сделали нормальный вход в свои системы по эцп с любого устройства.

Сейчас например, чтобы зайти по эцп на налог ру, можно ебануться и застрелиться сразу. Все через жопу. Миллион настроек и если человек не IT ничего не получится

Отличное решение, но в Билайне для организаций вот так:
Обратиться в центр поддержки по кодовому слову можно с любого номера, а не только с того, который указан в договоре

Очень безопасное решение )))

У нас в ДНР Сейчас преллагают завести СНИЛС и аккаунт на госуслугах без номера телефона, только через почту Странно, подтверждение по смс работает только если заходить в акк через ПК? Установил функцию, но через телефон вход по старинке через отпечаток и все.

Напишите, пожалуйста, где в мобильном приложении найти настройки и как подключить подтверждение входа по смс?

Хоть убейте не могу найти вкладку безопасность. Где ее найти? Спасибо за напоминание, а то вчера хотел поставить и забыл

В любом случае нас имеет доверенный посредник.

Опасаюсь я этого подтверждения по смс.
Проебешь телефон и что? Вообще не зайдешь больше

Кста вот только зашел на почту а там

На ГосУслугах поменялся интерфейс, сейчас, что бы вкл. 2хФА надо сделать так.
Через мобильные приложения это сделать нельзя.

Как вариант иметь тел. не на себя, тогда на фио и заблокировать сим не смогут)

А как интересно обстоит дело с кодовым словом в теле2, видно его сотрудникам теле2 или не видно?

Отличная тема с двухфакторной аутентификацией, только в том случае, если у тебя телефон под рукой. Но если ты вдруг проебешь симку, телефон или ещё какая хуйня случится нежданно-негаданно, то врятли ты уже зайдёшь в свой акк.

нету нигде настроек на сайте. только услуги((((

Электронная подпись: как обходиться без бумаги и при этом не отдать все свои активы мошенникам?

Электронная подпись появилась в России еще в прошлом веке, когда компьютеры были большими, а интернет был по диал-апу. С тех пор применение усиленной электронной подписи (ЭП) расширяется. Её регистрируют как крупные организации, так и совсем небольшие ИП.

После начала пандемии коронавируса случился настоящий бум получений ЭП, ведь иначе бизнес бы встал. В результате за 2020 год было выдано почти вдвое больше сертификатов ЭП, чем в 2019-м. Разберемся, что такое ЭП, почему она так привлекательна для мошенников и как защитить ее от злоумышленников.

ЧТО ТАКОЕ ЭЛЕКТРОННАЯ ПОДПИСЬ?

В этом материале мы говорим об усиленной электронной подписи – идентификаторе человека при дистанционном обмене информацией, имеющем юридическую силу.

Бывает еще простая электронная подпись, подтверждающая, что документ отправил конкретный пользователь. Ее можно сделать с помощью обычных офисных программ, но уровень ее защищенности таков, что всерьез ее воспринимать сложно. Однако простые подписи используются широко. Например, ими незаметно для клиента заверяются все операции по банковским картам. Простая подпись может быть доказательством в арбитражном суде.

Чтобы ввести электронный документооборот, требовался инструмент, одновременно достаточно защищенный, чтобы ему можно было доверять, и достаточно простой, чтобы им мог пользоваться обычный пользователь ПК. Так появилась усиленная электронная подпись.

Усиленная ЭП – это реквизит документа, подтверждающий его авторство и отсутствие изменений в данных с момента подписания. Она защищена криптографическими методами, и взломать ее практически невозможно.

Чтобы подписать документ, нужна пара из секретного и открытого ключа.

Когда человек ставит электронную подпись, алгоритм считает контрольную сумму данных и зашифровывает получившееся значение секретным ключом.

Получатель документа с помощью парного открытого ключа узнаёт, кем именно был подписан документ и проверяет совпадение контрольной суммы. Если после подписи в документе хотя бы переставят запятую или удалят пробел, она будет уже другой. Значит, подпись недействительна.

Из всех ЭП юридической силой собственноручной подписи обладает только усиленная квалифицированная. Чтобы получить ее, нужно, чтобы соответствующий открытый ключ был подписан секретным ключом УЦ.Открытый ключ с метаданными владельца и подписью УЦ и называется сертификатом электронной подписи.

Квалифицированная подпись по закону считается официальным документом. Она позволяет удаленно работать с налоговой инспекцией, присылать документы в суд – делать все то же, для чего нужна собственноручная подпись. Она подтверждается сертификатом от аккредитованного удостоверяющего центра.

НЕМНОГО ИСТОРИИ

С помощью сотрудников Музея криптографии, который скоро откроется в Москве, мы смогли составить хронологию использования ЭП в России.

1994 – в России принят первый стандарт электронной подписи – ГОСТ Р 34.10-94 (сейчас действуют национальный стандарт ГОСТ Р 34.10-2012 и межгосударственный ГОСТ 34.10-2018)

2019 – появление облачной подписи, которую можно оформить удаленно.

2020 – ключи ЭП можно получать через МФЦ.

2020 – ЭП активно используется в банках для защиты переводов.

Электронная подпись стала по-настоящему доступна. Но так ли это хорошо?

ОХОТА ЗА КЛЮЧОМ

Секретный ключ чужой электронной подписи для мошенников поистине золотой. Имея его, для всего цифрового мира злоумышленник может оставить её настоящего владельца без банковского депозита, бизнеса и единственного жилья.

Самые распространенные преступления с использованием ЭП:

- вывод средств со счетов компании;

- заключение договора дарения или купли-продажи на собственность человека или компании, включая недвижимость и дорогую технику;

- различные манипуляции с организацией: смена руководителя компании, главбуха, других ключевых сотрудников, ограничение доступа организации к госзакупкам и даже ликвидация компании.

Чтобы осознать полный спектр возможностей мошенников, представьте, что вы решили очень сильно навредить собственному материальному положению. Что вы можете для этого сделать? Мошенник с вашим секретным ключом может сделать все то же самое.

Открытый ключ на то и открытый, что давать его можно всем, кому требуется подтвердить вашу электронную подпись. Им можно:

- зашифровать что-то так, что расшифровать сможет только владелец парного секретного ключа;

- проверить подпись, созданную с использованием парного секретного ключа.

Имея доступ к открытому ключу, получить секретный невозможно. Поэтому его можно безопасно предоставлять всем, кому нужно прочитать ваши документы.

УДОСТОВЕРЯЮЩИЙ ЦЕНТР: ЗАЧЕМ ОН НУЖЕН?

На всех сайтах удостоверяющих центров говорится: чтобы получить электронную подпись, нужно получить в УЦ ключевую пару и сертификат. Создается впечатление, что ключевую пару могут сделать только там. Но это а) не так, б) нарушает главное правило работы с ЭП: секретный ключ не должен оказываться в чужих руках. Тем более – в непонятно чьих.

Удостоверяющие центры – это частные организации (порой ИП или вообще частные лица), которые не в полной мере контролируются государством. До 2020 года существовали сотни УЦ, среди которых встречались созданные с мошенническими целями – как раз для кражи секретных ключей. Теперь требования к ним значительно ужесточили, и многие недобросовестные игроки с этого рынка отсеялись. Но все ли? Вряд ли вам хочется проверить это ценой собственной квартиры или бизнеса.

Поэтому если УЦ не аккредитован в Минкомсвязи, с ним можно иметь дело только если:

- это собственный УЦ вашего предприятия;

- он сертифицирует подписи для участия в конкретных мероприятиях (например, в торгах, и тогда УЦ должен иметь аккредитацию не менее чем шести торговых площадок).

Смысл создания аккредитованных УЦ – в дополнительной защите подписи путем сертификации. Сертификат УЦ говорит о том, что его сотрудники удостоверились в том, что конкретный гражданин пришел к ним с паспортом и заявил, что принесенная им ключевая пара принадлежит ему. Для такой идентификации достаточно предоставить в УЦ открытый ключ. Но явиться лично и с паспортом придется. Дистанционные способы подтверждения личности в таком важном деле, как получение сертификата, могут применяться только в исключительных случаях. Если УЦ предлагает такие варианты просто по желанию клиента, возможно, организация настолько же непринципиальна и в других вопросах информационной безопасности.

КЕЙС: КАК СДЕЛАТЬ СЕБЕ ЭП

Верный способ защитить секретный ключ от утечек на начальном этапе – сделать на предприятии собственный УЦ. Он не будет аккредитованным, зато вы точно будете знать, кто имеет доступ к настолько важным данным. Приведем кейс от дружественной компании, которая не поленилась немного поработать, и теперь ее руководство спит спокойно. Ну, почти спокойно: инсайдерское в+оздействие (то есть, злой умысел сотрудника) никто не отменял, но это уже другая задача.

openssl_conf = openssl_default

[ openssl_default ]

engines = engine_section

[ engine_section ]

gost = gost_engine_section

[ gost_engine_section ]

engine_id = gost

default_algorithms = ALL

В других системах на основе GNU/Linux все тоже заработало, но усилий приложить потребовалось чуть больше. Нам удалось настроить софт для создания ключевой пары под Windows и MacOS, но в этих случаях гораздо острее встает проблема вредоносного ПО, нацеленного на кражу секретного ключа.

После создания ключевых пар мы обратились в аккредитованный УЦ и зарегистрировали их по установленной законом процедуре. Мы предъявили в УЦ открытые ключи и необходимые документы как для физических лиц, так и для организации. Этот этап оказался самым сложным: сотрудники УЦ не сразу поняли, что нам не нужна медвежья услуга по созданию ключевой пары, а достаточно просто подписать уже существующий открытый ключ.

С 1 января 2022 года вступят в силу изменения к ФЗ-63, но принципиально поменяется только выбор УЦ, в которых могут получить сертификат руководители предприятий, индивидуальные предприниматели и нотариусы. Список компаний, которые смогут выдать сертификат в таких случаях, будет ограничен УЦ ФНС и организаций, которые налоговая служба сочтет доверенными. Получать ключевую пару именно в них закон по-прежнему не требует.

Как хранить секретный ключ

Ключевую пару можно хранить в специализированном устройстве. Для этого обычно используют рутокен или е-токен. УЦ выдает секретные ключи именно на этих устройствах, но их вполне можно приобрести самостоятельно.

Внешне токен похож на обычную USB-флешку, но внутри содержит не накопитель, а криптопроцессор – устройство, хранящее секретные ключи и осуществляющее внутри себя все необходимые криптопреобразования. Поместить секретные ключи в эти устройства можно, но извлечь их оттуда уже не получится, что обеспечивает дополнительный уровень защиты.

Две главных опасности для секретного ключа – это вредоносное ПО и действия пользователя. Надеяться только на антивирусные программы недостаточно. Важно соблюдать правила:

- не оставлять токен подключенным к компьютеру дольше необходимого;

- не оставлять устройство без присмотра (его нужно всегда иметь при себе или хранить в сейфе);

- ни в коем случае не помещать секретный ключ в облачное хранилище и вообще не использовать для его хранения Интернет.

ЭП: ТЕХНИКА БЕЗОПАСНОСТИ

1. Изучите компьютерную грамотность сами и обучите ей сотрудников или родственников! Антивирусы – это хорошо, но лучшая защита пользователя от кибермошенничества – его собственная голова. Люди, которые могут хотя бы подойти к вашему компьютеру, должны знать, что такое фишинг, как отличить настоящий сайт от подделки и почему нельзя открывать все ссылки подряд.

3. Не используйте токен на компьютере, в защищенности которого вы не уверены.

4. Ключевую пару можно и нужно создать самостоятельно.

5. Не пользуйтесь услугами неаккредитованных удостоверяющих центров, если это не ваш собственный УЦ.

6. Секретный ключ, в том числе содержащий его токен, нельзя передавать никому. Даже родным и близким. Сотрудникам, которые имеют право подписывать документы, сделайте их личные ключи.

7. Паспортные данные и тем более сканы документа должны храниться максимально надежно. Нельзя размещать их в Интернете, даже в якобы безопасных хранилищах. Если при получении какой-либо услуги вместо паспорта допустимо предъявить другой документ, так и поступите. Иначе есть риск обзавестись неучтенной цифровой подписью.

8. Установите пароли на токен и компьютер. Пароль должен иметь достаточную длину и содержать как буквы в разных регистрах, так и цифры со спецсимволами. Еще лучше использовать ключевую фразу (passphrase): это набор слов, разделенных цифрами или спецсимволами. Например, 1k*СпОc0бОв/=\zaS4itit`+token|_|. Его придется выучить наизусть. Записанный на бумажке, даже самый сложный пароль теряет смысл. Достаточно один раз забыть такой листок на столе – и в лучшем случае просто придется заказывать новую подпись.

9. Не храните незащищенный секретный ключ на жестком диске компьютера.

10. Если вы – руководитель, и у ваших подчиненных есть ЭП, дающая право подписывать документы от имени предприятия, при увольнении сотрудника отзывайте его подпись даже раньше, чем он получит расчет.

Мошенники придумали очередной способ украсть личные данные россиян. В соцсетях появились жалобы на взлом аккаунтов на портале Госуслуг. Мы узнали у экспертов, чем рискуют те, чей аккаунт взломали, и как защитить свою учётную запись на «Госуслугах».

Что случилось

В личном кабинете Диана Забелина увидела, что неизвестный зашёл в её аккаунт через систему «Центр обработки персональных данных Всероссийской политической партии "Единая Россия"», к которой она никакого отношения не имеет. В разделе «Выданные разрешения» девушка обнаружила, что она якобы выдала центру разрешение на использование всех данных с «Госуслуг».

В комментариях к материалу несколько человек рассказали, что попали в такую же ситуацию.

Аналогичную историю на портале «ЯПлакалъ» рассказал житель Орла. Схема — один в один: те же СМС о смене номера телефона и разрешение на использование информации, якобы выданное центру обработки данных «Единой России».

Зачем взламывают «Госуслуги»

Зачем неизвестные заходят под чужими аккаунтами и оформляют разрешения на использование персональных данных политической партией — сложный вопрос, говорит бизнес-консультант по безопасности Cisco Systems Алексей Лукацкий.

Версии минимум три:

взломы происходят действительно ради разрешения на использование персональных данных, но это, по словам эксперта, «выглядит совсем по-детски»;
кто-то, наоборот, пытается подставить таким образом «Единую Россию»;
упоминание партии случайно — в действительности злоумышленникам нужны персональные данные граждан или аккаунты конкретных людей.

Что могут сделать мошенники, зная данные с «Госуслуг»

Взлом «Госуслуг» — это действительно очень неприятное событие, говорит Алексей Лукацкий. Он называет три основных риска в этой ситуации.

1. Мошенники могут внести сведения с портала в базы данных, которые используют мошенники. У мошенников будет больше сведений, а значит, их звонки и письма на почту буду вызывать больше доверия. Например, зная серию и номер паспорта, СНИЛС, ИНН, можно с большей эффективностью проводить фишинговые атаки. Пользователи будут получать письма якобы от имени «Госуслуг» с данными, которые известны только этому порталу. Таким письмам люди будут больше доверять, переходить по указанным ссылкам и вводить данные банковских карт, тем самым терять деньги.

2. Мошенники могут оформить кредит, если найдут на Госуслугах сканы паспортов.

3. Мошенники могут воспользоваться деньгами на банковской карте, если она привязана к аккаунту.

Как защитить свой аккаунт на портале Госуслуг

Для защиты аккаунта достаточно включить двухфакторную аутентификацию, то есть вход на портал не только по логину и паролю, но и одноразовому СМС-коду. У тех, в чьи аккаунты смогли зайти мошенники, такой защиты не было, отмечает Лукацкий.

Кроме того, нужно использовать сложный пароль — с буквами разного регистра, символами и цифрами. В нём должно быть от восьми знаков. Использовать этот пароль нужно только на «Госуслугах», не устанавливать такой же пароль, например, в соцсетях, добавляет руководитель команды разработки мессенджера Gem4me Ваге Закарян. Он также советует один-два раза в год менять пароль и никому его не сообщать.

Чтобы свести риски к минимуму, можно удалять данные банковских карт, сканы документов, но это не всегда удобно, ведь тогда теряется сам смысл единого портала, считают эксперты.

Как включить СМС-подтверждение на «Госуслугах»

Чтобы включить подтверждение по СМС, нужно:

1. Зайти в меню «Настройки и безопасность».

4. В появившейся строке ввести пароль от аккаунта и нажать кнопку «Включить».

Теперь на портал нельзя зайти без одноразового СМС-кода, который приходит на телефон пользователя.

Авторизация «вслепую»: о работе с мобильными приложениями, требующими входа через Госуслуги

23 марта 2021

В последнее время появляется всё больше приложений для жизненных ситуаций, в которых раньше приходилось совершать гораздо больше телодвижений, — звонить, лично посещать какие-либо инстанции и т. д. Сейчас, когда посещать публичные места для многих не только некомфортно, но и нежелательно в виду пандемии, такого ПО становится всё больше. Объединяет эти приложения, как правило, необходимость для начала работы авторизоваться через портал Госуслуг. И вот на этапе входа кроется определённый риск, о котором мы хотели бы сегодня поговорить.

Для входа через Госуслуги некоторые клиентские приложения различных сервисов просят указать логин и пароль от вашей учетной записи и нажать на соответствующую кнопку подтверждения — все совершенно привычно. Но приведёт ли это к авторизации через настоящие Госуслуги или же перед вами был, к примеру, фишинговый сайт — непонятно. А следовательно, неясна дальнейшая судьба логина и пароля от Госуслуг, которые будут введены при попытке авторизации. Если реквизиты доступа окажутся в руках мошенников, это открывает для них возможность использовать портал от имени жертвы — со всеми вытекающими последствиями.

Конечно, можно уповать на то, что приложение прежде чем появиться в маркете — будь то Google Play или AppStore — прошло проверку со стороны Google или Apple. Можно довериться приложению исходя из того, что доверие вызывает имя разработчика. Однако (и мы вынуждены регулярно писать об этом в наших новостях) злоумышленники умеют обходить подобные проверки, и в магазинах приложений под видом полезных программ продолжают появляться трояны. Практика показывает, что в случае выявления вредоносные программы удаляются из маркетов весьма оперативно, но риска скачать и запустить «полезную» программу в неудачный момент это не отменяет.

Нет никаких специфических признаков, которые однозначно указывали бы на опасность авторизации на портале Госуслуг через специальные приложения. В то же время киберпреступники на волне популярности таких приложений продолжают проявлять чудеса изобретательности. Тем не менее есть несколько рекомендаций, которые помогут уберечь ваши конфиденциальные данные.

Читайте также: