Что может сделать злоумышленник зная пароль от Госуслуг
На днях один мой знакомый получил звонок от работника ФНС с целью уточнить некоторые данные по декларации 3-НДФЛ на возврат бюджетных денег за лечение. Удивлению не было предела: мало того, что декларацию эту он не подавал (!) так и возврат уже был проверен и одобрен (!!), возврат средств предполагался на неведомый счёт в МТС-банке на его имя (. ), нужно было лишь уточнить сущие пустяки. Небольшая, но поучительная история.
Статья сия не жалобы ради, а исключительно для предотвращения подобных ситуаций у кого-либо ещё. Лишним раз не будет проверить аккаунты ваших менее подготовленных родственников (да и свои тоже) на предмет защищённости.
Надо сказать, что тот самый знакомый не самый глупый человек на земле, весьма близок к IT, у него был довольно сложный и уникальный (по крайней мере так казалось) пароль от Госуслуг, регулярно проверялась почта и смс, на разводки мошенников из «банков» не поддавался, однако ввиду некоторых обстоятельств при поспешном переезде за границу РФ, двухфакторная аутентификация была отключена для удобства и потенциальной недоступности входящих смс. Итого имеем: злоумышленник знал верную комбинацию логина\пароля от Госуслуг (пока неясно откуда), на учетной записи была отключена двухфакторка. Да, вроде бы и сам короткую юбку надел, но ситуация не предполагала к действиям здравого рассудка.
История началась с того, что одной глубокой ночью злоумышленник входит в Госуслуги, снимает галочки об уведомлениях о входе и действиях в личном кабинете. Ну а далее уже начались множественные скитания по различным сервисам куда даёт доступ ЕСИА , попутно авторизуясь в десятках сервисов, получая огромный объём персональных данных, включая финансовые:
Авторизации на госуслугах
Тут интересны два пункта: вход в на сайт ФНС (nalog.ru) и авторизация в платёжном шлюзе МТС. Каким образом злоумышленник умудрился открыть целый счёт в МТС-банке пока непонятно. Подозреваю, что через оформление eSim (с помощью тех же Госуслуг) к которому автоматом открывается счёт в МТС-Деньги\Банке, но это ещё в процессе выяснения. Запросы к кредитным историям были явно получены с целью получения списка текущих активных счетов в банках, дабы передать информацию «коллегам» по цеху для последующих обзвонов.
Ну и далее по списку много дополнительных авторизаций, например, в контуре mos.ru:
Список действий в контуре mos.ru
Но это отдельная история. Вернёмся к нашим декларациям.
Собственно, авторизовавшись на сайте ФНС, злоумышленник подготовил декларацию с целью получения налогового вычета за лечение, якобы за операцию на колене в 2021 году. К декларации были приложены весьма убедительные, но фиктивные документы (договор лечения, смета, лицензия и пр.).
Документ два
Документ три
При беглом осмотре никаких вопросов документы не вызывают, все реквизиты бьются с реальными данными (вытащенными, очевидно, с тех же госуслуг), часть документов легко гуглится для образца или вообще публичные. Клиника реальна, цены актуальны, договор полностью идентичен натуральному. Есть пара мелких кривостей типа странного емейла организации, но на это среднестатистический сотрудник камеральной проверки вряд ли обратит внимание. Также в декларацию были внесены абсолютно реальные сведения о полученных доходах за 2021 год, в том числе уплаченному НДФЛ. Всё это, как водится, вытащили с тех же Госуслуг. То есть в целом все выглядело крайне правдоподобно и корректно с точки зрения законных оснований для вычета. Сумма возврата предполагалась в размере ~15 тыс. руб. Реквизиты для получения возврата были указаны в МТС-Банке на ФИО владельца аккаунта. И вроде бы всё хорошо, но в декларации была допущена небольшая формальная оплошность, что и сподвигло сотрудника ФНС позвонить для уточнения. Забавно, что на момент проведения «операции» человек находился в другом полушарии, остаётся только порадоваться, что к базе данных пограничного контроля злоумышленник доступа не имел.
Реквизиты «непонятного» счёта в МТС-Банке
Отдельно хочу заметить, что для отправки декларации нужна ЭП , которая генерируется и хранится (рекомендованный ими же способ) на серверах ФНС. Злоумышленник не знал пароль от ранее выпущенного сертификата, потому без особых угрызений совести предыдущий сертификат был отозван и был сгенерирован новый с новым паролем, прям в личном кабинете. И уже вновь выпущенным сертификатом была подписана фиктивная декларация. Всё это занимает минут 10-15. Никаких подтверждений и\или уведомлений с сайта nalog.ru об этом не поступало, как собственно и с других сервисов. Это, конечно, фиаско. Декларация была успешно подготовлена cфабриковна, подписана и отправлена.
Отзыв сертификата на сайте ФНС
В сухом остатке: произошла полная утечка персональных данных, на многих второстепенных сервисах злоумышленник наследил в промышленных масштабах, произошла почти успешная попытка финансового мошенничества. И это только на первый взгляд. Злополучную декларацию сотрудник ФНС направил в нужное русло для корректировки и возврата. Также посетовал, что это уже не первого десятка подобный случай за последние пару месяцев и жаловаться в спортлото полицию, можно, но на практике эти заявления никто всерьёз не рассматривает. Заявление, однако, было всё равно подано через электронную приёмную, в основном интереса ради. Надо сказать, что дело происходит в провинции. О масштабах злодеяний в крупных субъектах РФ остаётся только догадываться.
Здесь история подходит к концу. Все пароли были успешно обновлены, подтверждения входа и уведомлений подключены, следы мошеннической деятельности заметены. Пока ещё продолжаются попытки выяснить с МТС и его банком детали открытия счёта без ведома владельца паспорта этого счёта.
В настоящий момент полностью верифицированная учётка на Госуслугах это ключ который открывает очень много дверей, кажется, что даже слишком. Тот факт, что этот ключ можно получить и использовать просто зная комбинацию логина и пароля весьма удручает. На Госуслугах не является обязательной двухфакторная аутентификация/вход по ЭП, кодовое слово и можно отключить уведомления о входе. Госуслугам не показались подозрительными юзерагенты устройств/адресов с которых раньше в учётку никто не заходил (например iOS, браузер Safari или Windows 7). А если вход кажется подозрительным, то просят ввести номер паспорта или прочую легкодоступную (если искать в правильных местах) информацию. Я уж не говорю насколько легко и просто интегрированы сторонние сервисы которые доверяют входящим запросам на авторизацию с Госуслуг предоставляя почти полный доступ к юридически значимым действиям. Без какого-либо дополнительного подтверждения по смс или почте. Здесь явно что-то не так. В одном американском банке при попытке разблокировать карту после подозрительного платежа, нужно отвечать на такие глубокие и каверзные вопросы (доступно только по телефону), что отсеет 95% воришек-любителей. Госуслугам явно есть куда расти в плане безопасности.
Надеюсь, что кого-то эта история подтолкнёт лишний раз сменить свои пароли, включить двухфакторку и не забывать о правилах сетевой безопасности.
P.S. Буду благодарен за дополнительную информацию к каким ещё критичным сервисам могли получить доступ и, что точно следует перепроверить.
Авторизация на сайте через Госуслуги
Авторизация на сайте через Госуслуги – это процедура входа в персональный кабинет, где необходимо указать логин (это может быть телефон или адрес электронной почты) и пароль, придуманный при регистрации аккаунта. Если пользователь не помнит логин, возможно восстановление данных по паспортным данным или СНИЛС.
Cetera выполняет интеграцию с ЕСИА только в составе комплексных проектов по созданию, поддержке и развитию личных кабинетов.
Принципы работы пользовательской идентификации
Чтобы получить доступ к полному пакету услуг после прохождения регистрации, нужно пройти идентификацию. Новые пользователи чаще всего не знают, что такое авторизация и как ее пройти через ЕСИА на сайте. ЕСИА – это единственный возможный способ повысить уровень созданной учетной записи. В ситуации, когда частное или юридическое лицо работает с важными документами, денежными оборотами, без использования ЕСИА обойтись невозможно. Чтобы пройти успешную интеграцию, важно выполнить несколько моментов.
Первоначально предполагалось, что ЕСИА будет использоваться исключительно для идентификации и авторизации на портале Госуслуги. Система появилась в 2010-ом году. Система постоянно развивалась, и ее стали использовать коммерческие организации, чтобы связать учетные записи с личностью в офлайн режиме.
Как авторизоваться на площадке
Новым пользователям нужно предварительно пройти регистрацию, выполняя несколько шагов:
• перейти на официальный сайт Госуслуг и нажать на кнопку «регистрация»;
• в стандартной форме необходимо указать данные: ФИО, номер телефона, адрес электронной почты, адрес; далее подтвердить ввод данных;
• указать в соответствующем поле код подтверждения, отправленный на номер мобильного.
Авторизацию на сайте через Госуслуги для зарегистрированных пользователей сделать не сложно. Достаточно перейти по адресу esia.gosuslugi.ru/registration, ввести логин и пароль для входа.
Чтобы у начинающих пользователей не возникало вопросов, стоит подробно разобрать данный вопрос.
Вход в личный кабинет для частных лиц
После прохождения регистрации пользователю становится доступно посещение государственных и частных учреждений: налоговой инспекции, ПФР, ГИС, ЖКХ.
Вход с использованием номера телефона
Авторизоваться в системе можно через стандартный веб-ресурс или посредством мобильного приложения. Для этого необходимо в специальную форму для входа вписать номер телефона и созданный пароль.
Если вход планируется с чужого устройства, рекомендуется снять галочку с пункта «запомнить пароль». Далее кликнуть по кнопке «войти». При авторизации на личном устройстве галочку можно оставить.
Авторизация через СНИЛС
Альтернативный способ авторизации через Госуслуги. Номер СНИЛС состоит из 11 цифр. Пароль остается идентичным, как и в случае со входом по номеру телефона. При этом разницы, каким образом авторизоваться на портале, не существует. При использовании СНИЛС встречаются следующие трудности:
• при регистрации была допущена ошибка в номере;
• СНИЛС не действителен;
• если была смена фамилии, а СНИЛС не был изменен.
Если данные аспекты отсутствуют, то СНИЛС возможно использовать для авторизации.
С использованием ЭЦП
Является наиболее безопасным способом при авторизации. Данный вариант могут использовать не только физические, но и юридические лица. Подпись значительно упрощает процесс работы на портале Госуслуг. Но предварительно нужно создать электронную цифровую подпись и установить специальное программное обеспечение, чтобы распознавался ключ.
Чтобы авторизоваться в системе этим методом, рекомендуется выполнить следующие действия:
• среди имеющегося списка выбрать ЭЦП;
• система автоматически запросит диск, карту или флешку, либо другой носитель, на котором должна быть записана информация о ключе;
• как только идентификация пройдена, пользователю будут доступны функциональные возможности кабинета.
Какие функциональные возможности дает идентификация
Авторизация через Госуслуги дает возможность использования личного кабинета. В зависимости от того, была ли пройдена идентификация, предлагается набор функциональных возможностей. При прохождении полной процедуры пользователи могут:
• подписывать документы в электронном формате, иметь доступ к конфиденциальным и медицинским данным;
• заполнять анкеты и заявления с автоматическим проставлением персональных данных: ФИО, сведения из паспорта, ИНН, информация о детях. При этом нет необходимости каждый раз проверять достоверность указанных данных;
• будет полезен личный кабинет не только для частных пользователей, но и для юридических лиц;
• для частных пользователей идентификация является гарантом хранения данных в конфиденциальном порядке. Также не потребуется запоминать пароли.
Какие существуют виды учетной записи
Когда пользователь регистрируется на портале Госуслуг, появляется личный кабинет, где можно оплачивать судебные задолженности и штрафы, получать справки в электронном формате, что позволяет избежать очередей в МФЦ. Уровень учетной записи зависит от того, какое количество информации будет указано в анкете. Чем подробнее будет заполнена анкета, тем больше функциональных возможностей будет предоставлено:
• при прохождении формальной регистрации, где необходимо указать ФИО, мобильный номер телефона и адрес электронной почты, учетной записи будет присвоен статус Упрощенной;
• стандартная учетная запись присваивается при указании в личном кабинете паспортных данных и СНИЛС;
• подтвержденная запись имеет наиболее высокий статус. Для этого идентификацию можно пройти через онлайн-банк Сбербанка, ТКС, Альфа-Банка или ВТБ, либо лично посетить отделение МФЦ.
Восстановление пароля
Нередко пользователь сталкивается с ситуацией, когда пароль от личного кабинета может быть утерян. Восстановление данных – это довольно простая процедура. Под формой входа на главной странице есть функция «забыли пароль». Системой автоматически будет предложено несколько вариантов: с использованием мобильного номера телефона, посредством ввода данных из паспорта, СНИЛС, ИНН.
После того, как информация будет указана, пользователю, зарегистрированному в системе, будет направлено смс сообщение с одноразовым паролем для входа. Далее нужно перейти в настройки и задать новую комбинацию для входа. В среднем, процедура занимает 15-20 минут и не предполагает каких-либо сложностей.
Какие возможности приобретают зарегистрированные пользователи
Сервис Госуслуги дает широкие функциональные возможности:
• поставить бронь на роспись в ЗАГСе, запросить копию свидетельства о рождении;
• отправить заявку на оформление нового загранпаспорта;
• записаться на прием к специалисту;
• поставить транспортное средство на учет;
• получить справку о несудимости;
• поставить ребенка на очередь в детский сад;
• оплачивать услуги ЖКХ;
• запрашивать выписки из налоговой, ПФР.
Большинство услуг возможно получить в дистанционном режиме, не выходя из дома.
В чем преимущества подтвержденной учетной записи
Если пользователь планирует использовать все функции, которые предоставляет портал Госуслуг, то прохождение идентификации является обязательным условием. Граждане с анонимной учетной записью не могут воспользоваться никакими функциями. Только при предоставлении полного пакета документов возможно прохождение идентификации.
За счет прохождения регистрации больше не нужно стоять в очередях, чтобы оплатить пошлину или штрафы. Еще одно важное преимущество – это получение привлекательных скидок при оплате через ресурс. Пенсионеры могут самостоятельно контролировать поступления, проверять начисления, а также узнавать о самых последних нововведениях, принятых в государственных проектах.
Замков больше не будет, но SSL всё ещё нужны
История замка в браузерах начинается с ранних версий Netscape в 1990-х. Этот маленький значок стал символом, означающим безопасное соединение через HTTPS. В то время HTTPS был редкостью, и замок привлекал внимание к дополнительной защите, обеспечиваемой протоколом.
На протяжении последнего десятилетия браузеры, в том числе и Chrome, активно участвовали в инициативе по расширению использования HTTPS в интернет-экосистеме. В 2013 году всего лишь 14% сайтов использовали HTTPS. Однако, благодаря поддержке использования безопасного протокола, он стал нормой — сейчас более 95% страниц используют передачу данных по защищённому каналу.
Первые изменения: потеря смысла
С распространением HTTPS стало ясно, что знак замка уже не выполняет свою первоначальную функцию. В 2016 году, после исследований, которые показали неправильное понимание пользователями значения значка, Chrome изменил его дизайн. Однако даже после изменений только 11% участников нового исследования 2021 года правильно объяснили точное значение символа.
«Когда HTTPS был редкостью, значок блокировки привлекал внимание к дополнительной защите, предоставляемой HTTPS. Сегодня это уже не так и HTTPS является нормой, а не исключением, и мы соответствующим образом развиваем Chrome», — заявили в Google.
С учётом этого Chrome продолжил разрабатывать новые методы индикации безопасности в браузере. По мнению Google, они будут понятны и явно отобразят безопасность сайта. Не так давно Google анонсировал, что уже в сентябре этого года произойдут изменения в привычном всем символе замка.
Новые изменения: жизнь без замка
Google планирует, что с десктопной версии браузера Google Chrome 117 значок замка в адресной строке будет скрыт. Вместо него будет отображаться иконка настроек. Изменения вступят в силу 16-24 августа для бета-релиза и 6 сентября для версии стейбл.
Разработчики рассказали, что информацию из замочка не уберут полностью: её, как и прежде, можно будет увидеть по клику на иконку настроек. А в разделе «Безопасное подключение» пользователи всё так же смогут смотреть информацию об SSL-сертификате. Сайты без сертификатов продолжат маркировать небезопасными.
Поэтому мы рекомендуем для всех сайтов обязательно использовать SSL-сертификат. А выбрать подходящий именно вам вы можете на нашем сайте в разделе SSL-сертификаты. Там же подробнее написано про различия между видами сертификатов.
Как попробовать?
Уже сейчас можно увидеть, как будет выглядеть новая иконка в Chrome.
Для этого откройте браузер на базе Chromium. Затем введите в его адресной строке chrome://flags и нажмите Enter . На открывшейся странице введите в поиске chrome-refresh-2023 и установите для него значение Enabled . Если у вас нет желания проделывать всё это, просто посмотрите на скриншоты:
Новая иконка в браузере Chrome. Пока этот вид в разделе экспериментальных функций, но в будущем, разработчики обещают, что так она будет выглядеть и в основном продукте
По клику на иконку откроется раздел «Безопасное подключение» с тем самым замочком
Сайты без сертификатов будут маркировать меткой «Не защищено»
Что же дальше?
Сейчас на базе ядра Chromium работает большинство браузеров (например, Opera, Edge и Яндекс.Браузер), поэтому изменение со временем коснётся большей части пользователей. Это новшество может заставить пользователей уделять больше внимания тому, какие сайты они посещают и проверять безопасность подключения. Что хочет сказать Google, так это то, что один лишь замочек не гарантия безопасности. Если люди привыкнут проверять подробности безопасного подключения, то у мошенников будет меньше шансов обмануть подставным сайтом с бесплатным сертификатом. Подробнее прочитать о проверках компаний перед выдачей сертификатов и приобрести один из них вы можете на нашей странице SSL сертификатов.
Нас читает уже более 35 000 человек
Подпишитесь и получите промокод на 10% скидки на новые лицензии ispmanager! Выбирайте интересное вам: новости ispmanager, подборка статей для начинающих веб-специалистов, всё для матёрых разработчиков или предложите свой вариант рассылки Архив рассылок
Благодарим за интерес к рассылке от ispmanager! На ваш почтовый адрес: отправлено письмо с просьбой подтвердить свой email. Сразу после подтверждения почтового адреса мы вышлем вам обещанную скидку за подписку. *Если вы не получили письмо, пожалуйста, проверьте правильно ли был указан почтовый адрес и попробуйте заполнить форму еще раз.
Получение ИНН на Госуслугах
Посещение государственных органов зачастую оставляет в сердцах граждан не самые лучшие отклики. Бумажная волокита на сегодняшний день остаётся нелюбимым делом россиян. Возможности удалённого документооборота стали отличным решением этой проблемы. Сегодня получить ряд документов, а конкретно идентификационный номер налогоплательщика, можно не выходя из дома.
Получить ИНН онлайн: электронные платформы, порядок действий
Зарегистрироваться физическому лицу в качестве налогоплательщика на сегодняшний день не составляет труда. Существует множество платформ для получения ИНН , среди них:
- сервис « Постановка физического лица на учёт в налоговом органе на территории Российской Федерации »;
- сервис « Личный кабинет налогоплательщика для физических лиц ».
С 1 декабря 2022 года граждане смогут получить номер налогоплательщика через портал государственных услуг . Воспользоваться такой услугой может любой гражданин России, достигший возраста 14 лет, а также иностранные граждане. Для того чтобы оформить ИНН через «Госуслуги», нужно иметь регистрацию на портале. Далее всё просто — необходимо осуществить несколько элементарных действий :
1. Введите пароль и логин при входе на платформу.
2. Обратитесь к услуге «Получить ИНН».
Для получения свидетельства нужно подать заявление. Обращение о постановке на учёт в налоговом органе необходимо подписать усиленной неквалифицированной электронной (НЭП) или усиленной квалифицированной (КЭП) электронной подписью. Сделать это нужно в приложении « Госключ ». Программа позволяет сохранить свою электронную подпись и при необходимости использовать её без очных встреч и бумажной волокиты.
3. Сайт предоставит перечень сведений, необходимых для подачи заявления. К ним относятся паспортные данные гражданина и адрес регистрации.
4. Кликните «Перейти к заявлению».
5. Приложение автоматически заполнит ваши личные данные и предоставит их вам для ознакомления и редактирования. Если всё в порядке, кликните «Верно».
6. Следующий шаг — добавьте или подтвердите адрес и дату вашей постоянной регистрации. Если у вас её нет, укажите сведения о временной.
7. На данном этапе заявление готово к подписанию.
8. В приложении «Госключ» вы осуществляете подписание.
9. Сразу после того, как вы подпишете заявление, оно будет успешно направлено в ФНС.
10. Постановка гражданина на учёт в ИФНС проходит в течение 5 рабочих дней. После проверки всех сведений в налоговых органах документ будет сформирован. Получить его можно в личном кабинете «Госуслуг».
Ваш идентификационный номер налогоплательщика будет полностью идентичен аналогичному документу на бумажном носителе, который вы бы получили в налоговой инспекции. При желании бумажный ИНН можно забрать, обратившись в любую налоговую инспекцию или МФЦ.
Способы узнать ИНН
В век информационных технологий узнать 11 цифр ИНН проще простого. Существует несколько способов:
Введите на сайте ФНС дату рождения и паспортные данные. В режиме онлайн вы получите номер своего ИНН.
Войдите в личный кабинет на сайте ФНС. Выберите иконку «Войти через «Госуслуги» (ЕСИА)». Если учётная запись подтверждена и вход прошёл успешно, в личном кабинете налогоплательщика будет доступен ИНН.
Если вы получили ИНН путём подачи заявления на портале «Госуслуги», он будет доступен в личном кабинете. Кроме того, вы могли ранее самостоятельно его туда ввести. Сама система также автоматически получает данные от ФНС.
Как узнать номер ИНН на «Госуслугах»?
Как говорилось ранее, ИНН сразу после его получения размещается в личном кабинете. На сайте государственных услуг можно запросить номер этого документа. Для этого нужно осуществить несколько простейших шагов:
Войдите в ваш аккаунт на «Госуслугах».
В поле «Напишите, что ищете» или в чате с роботом Максом укажите «Посмотреть ИНН».
Бот мгновенно покажет ваш идентификационный номер налогоплательщика.
Как восстановить утраченный ИНН?
При восстановлении утраченного документа прилагать много усилий не нужно. Для получения дубликата свидетельства достаточно уплатить госпошлину размером в 300 рублей. Затем вы подаёте заявление через органы ИФНС или МФЦ. Через 5 рабочих дней можно будет забрать ИНН. Далее он также будет доступен на портале государственных услуг в личном кабинете.
Как получить ИНН на ребёнка?
Если ребёнку до 14 лет необходимо оформить ИНН , сделать это можно, обратившись в налоговую инспекцию по месту жительства. Выдаётся документ на ребёнка через 5 дней. Гражданин, достигший 14 лет, может самостоятельно по паспорту получить документ, а также оформить его на сайте «Госуслуги».
Сегодня граждане России в любой точке земного шара имеют доступ к своей документации и её оформлению. Современные сервисы дают возможность в автономном режиме подать заявление и через время стать обладателем нужного документа.