Вчера ничего не предвещало беды, как внезапно на телефон прилетело странное сообщение от "госуслуг":
В целом ничего странного, такие смс приходят, когда пытаешься авторизоваться в системе или восстанавливаешь забытый пароль. Но в данном случае пароль ни я ни супруга не запрашивали и не пытались войти в систему.
И все же кто-то еще получил этот пароль параллельно и ввел, потому что через некоторое время пришло сообщение на почту:
Как можно было подтвердить чужой номер телефона, который физически находится у другого человека? Поймать смс, больше никак.
До этой статьи написал пост о случившемся, и один человек усомнился в возможности перехвата смс. Расскажу в двух словах, как возможно перехватывают смс.
Когда вы запрашиваете смс на смену пароля сайт госуслуг выступает в роли оригинатора сообщения и отправляет его вам на указанный номер. Как думаете это происходит? По сути госуслуги должны напрямую заключить договор с сотовым оператором и отправлять смс через программный шлюз, который предоставит оператор. Это максимально безопасно, потому что утечек смс в этом случае не будет, именно так работают все банки. Но это дорого и неудобно для оригинатора. Во-первых, оператор хочет много денег за такой шлюз, во-вторых, нужно определить точно какому оператору принадлежит номер и отправить в нужный шлюз и не ошибиться. Чтобы не было всей этой мороки многие оригинаторы обращаются к крупным агрегаторам смс, которые предоставляют единый шлюз и ощутимо дешевле, чем напрямую с оператором. Т.е. заключают договор с некоторой сторонней коммерческой организацией - все хотят экономить, а операторы, как монополия держат цены. Спрашивается, как можно отправить дешевле смс, если у оператора напрямую есть фиксированная цена? Через еще нескольких посредников с серыми схемами, которым отдает доставку смс большой агрегатор. Но это уже черный ящик, который никогда не виден снаружи. Вот именно тут и сидят мошенники - мелкие посредники из сомнительных личностей. Находится они могут где угодно, даже на территории недружественных стран, и все смс у них как на ладони.
Авторизация через ввод смс давно уже не является 100% защитой. Недавно так активировали на мой сотовый номер видеосервис Иви, и я ничего не могу с этим сделать, пароль, который пришел мне видят и жулики.
Первый признак, что к вашим данным пытаются получить доступ это входящие смс с паролями, которые вы не запрашивали.
Бывает ситуация, когда мошенники через различные утечки баз данных узнали ваш пароль. В этом случае они могут заходить в ваш личный кабинет и тихо пользоваться, а вы и не узнаете. Зачем? Многие государственные сайты, разные службы займов, бюро кредитных историй поддерживают вход через госуслуги, этим и будут пользоваться.
Всю историю входов можно видеть через портал в специальном разделе:
При каждом входе в систему можно включить уведомление на почту, но по умолчанию оно выключено, и вы долго можете не узнать что злоумышленники заходят в ваш личный кабинет.
Второй признак. Вот смотрите что было у меня:
Негодяй с этим IP адресом заходил каждый день в мои госуслуги по 4 раза. Через любой сайт проверки адресов можно вычислить географию входа, в данном случае это какой-то подмосковный городишко, при условии, что вхожу всегда в Нижнем Новгороде. Еще обнаружил входы из приморского края, Владивостока, Краснодара, Красноярска - короче вся география.
Т.е. у нас "сломали" сразу два личных кабинета, у супруги угнали номер в другой личный кабинет, а у меня подобрали пароль и просто пользовались давно.
Как защититься и что делать если пошли такие смс?
Первым делом зайти срочно в свой личный кабинет и сменить пароль. Если после смены вновь приходят смс поменять еще раз и проверить настройки безопасности.
Первое - включить подтверждение входа по-одноразовому смс, второе - активировать уведомления о входе на электронную почту, третье - добавить контрольный вопрос при смене пароля.
Как еще можно защитить? Если не доверяете смс, то настроить вход через одноразовые пароли TOTP:
Это надежно. На смартфон ставится приложение, которое генерирует каждые 30 секунд новый код. Но есть недостаток, если приложение "слетит" или потеряете смартфон, то восстановить доступ будет сложно.
Как решил проблемы со взломом?
В личный кабинет супруги пропал доступ по номеру телефона, и нельзя восстановить пароль по номеру телефона т.к. перестал подходить номер паспорта и документов. Зато удалось пойти по адресу электронной почты. В личном кабинете госуслуг был удален номер телефона, привязали его заново через личный кабинет сбербанка и поменяли все пароли, плюс добавили подтверждение входа по смс.
В своем личном кабинете просто сменил пароль, добавил контрольное слово и вход с подтверждением через смс. На данный момент больше не зафиксировано несанкционированного доступа.
Чем грозит, если злоумышленник получит доступ к чужим "госуслугам"?
Как минимум утечка ваших персональных данных, номер телефона, номера паспортов, снилс и всего того, что вы указали в профиле. Также через ваш личный кабинет хакеры смогут ознакомиться со всеми вашими долгами и кредитами. При плохом сценарии через ваш личный кабинет оформляют быстрые займы и выводят деньги, используя подставные карты.
Что в итоге?
Верить в смс, как защиту на 100% уже нельзя, есть рабочие схемы перехвата. Если приходят смс, которые не запрашивали нужно срочно реагировать и менять пароли. В случае обнаружения взлома как можно быстрее все восстановить и написать заявление в полицию. Заявление нужно на случай если кто-то успеет оформить кредит, поможет как доказательство взлома.