Вишинг: QR-коды и портал Госуслуги
Практически любой аккаунт на Госуслугах — это настоящая золотая жила для мошенников. Персональные данные можно продать или использовать для обмана владельца профиля в будущем. Только представьте, насколько убедительную легенду может придумать злоумышленник, если знает номер вашего паспорта, домашний адрес и модель машины.
Получить доступ к аккаунту на Госуслугах не так просто — на портале есть двухфакторная аутентификация, если она подключена, то даже знания логина и пароля будет недостаточно для входа. Поэтому взломщики полагаются на социальную инженерию. На прошлой неделе специалисты по информационной безопасности отследили новую волну фишинга. Делимся деталями.
Как это работает
Вам звонит мошенник, представляется сотрудником Госуслуг и сообщает, что возникла проблема с привязкой к вашему аккаунту QR-кода о вакцинации. Вас просят продиктовать код из SMS, который придёт во время разговора. Якобы это код для завершения процедуры, но на самом деле — чтобы успешно пройти двухфакторную аутентификацию и получить доступ к вашему профилю.
На руку обманщикам играют сообщения в СМИ о задержках появления QR-кода на Госуслугах — мы воспринимаем историю о «техническом сбое» как вполне реальную. Вишинг же используется, чтобы не дать вам возможность спокойно проанализировать ситуацию, ведь это не так просто сделать во время телефонного разговора.
Как защититься
В SMS и push-уведомлениях действительно могут приходить коды не только для входа в учётную запись, но и для подтверждения различных действий. Однако в любом случае все эти комбинации предназначаются исключительно для владельца аккаунта.
Эти коды придуманы, чтобы подтвердить личность пользователя через мобильный телефон и убедиться, что доступ не запрашивает кто-то посторонний. При этом администраторы, менеджеры и другие сотрудники платформы, как правило, обладают необходимым набором прав в системе, чтобы решать любые технические сбои без участия клиента. Было бы странно, если бы это работало иначе, не правда ли? Поэтому не стесняйтесь в любой подобной ситуации отвечать, что вы хотите сперва уточнить информацию в сети или по официальным номерам телефонов и заканчивать разговор.