Подруга рассказала на прошлой неделе. Позвонили, представились из её alma mater — мол, актуализируют базу выпускников, всё официально, нужно только подтвердить диплом через Госуслуги. Продиктовала код. Через час не смогла войти в свой аккаунт.
Пароль уже был сменён.
Это не единичная история и не что-то из разряда «ну кто вообще ведётся». Схема работает именно потому, что звучит до неприличия убедительно — и попадает в очень конкретный момент, когда человек не ожидает подвоха.
Сейчас объясню, как это устроено и почему даже внимательные люди оказываются в ловушке.
Звонок приходит, как правило, в будний день, в рабочие часы. Голос спокойный, деловой. Человек называет себя сотрудником отдела кадров или учебной части — иногда даже произносит правдоподобную фамилию. Предлог: в системе не хватает данных о дипломе, нужно подтвердить через портал, чтобы сведения отобразились корректно.
Дальше — классика. «Сейчас вам придёт СМС от Госуслуг, продиктуйте код». И вот тут всё и происходит.
Парадокс в том, что в этой же самой СМС прямым текстом написано: никому не сообщайте этот код, сотрудники сервиса его не запрашивают. Люди просто не читают. Или читают — но уже после того, как продиктовали.
Почему схема работает? Потому что она бьёт точно в доверие к институтам. Университет — это не какой-то незнакомый продавец из интернета. Это место, где человек провёл несколько лет жизни. Там знают его имя, специальность, год выпуска — и мошенники это используют. Часть данных можно купить в утечках, часть — найти в открытых источниках.
Плюс фон: последние годы государство активно переводит всё в цифру. Подтверждение документов, электронные трудовые книжки, цифровые дипломы — это реально происходит. Просьба «подтвердить данные» на этом фоне звучит не странно, а своевременно.
Теперь о том, что происходит после. Получив доступ к личному кабинету, мошенник меняет пароль и привязанный номер телефона. С этого момента владелец полностью отрезан от аккаунта.
А дальше — как повезёт. В Госуслугах хранится всё: паспортные данные, ИНН, СНИЛС, медицинская информация, история обращений в госорганы. Через портал можно подать заявку на микрозаём — и ряд МФО принимает такие заявки в автоматическом режиме. Можно запросить кредитную историю и использовать её для других схем. Можно подписать документы электронной подписью.
Реальный владелец узнаёт об этом обычно тогда, когда начинают приходить уведомления о долгах — или когда пытается сам войти в аккаунт и обнаруживает, что пароль не подходит.
По данным исследований в сфере кибербезопасности, Госуслуги входят в топ самых атакуемых российских платформ именно потому, что являются единой точкой входа ко множеству сервисов. Один взломанный аккаунт — это не один потерянный пароль. Это потенциально вся цифровая личность человека.
Отдельная история — электронная подпись. Если она была выпущена и привязана к аккаунту, злоумышленник технически может подписывать юридически значимые документы от имени жертвы. Оспорить такие действия потом крайне сложно — это долгие разбирательства и не всегда предсказуемый результат.
Самое важное, что нужно зафиксировать: код из СМС — это и есть ключ. Не пароль от аккаунта, не кодовое слово, не ответ на контрольный вопрос. Именно этот шестизначный набор цифр открывает дверь. И никакая официальная организация — ни университет, ни банк, ни налоговая — не имеет технической необходимости его знать. Если кто-то просит — это мошенник. Без вариантов, без «ну вдруг».
Что делать прямо сейчас, если аккаунт ещё не тронут: зайти в настройки Госуслуг и проверить, какие устройства авторизованы, включить уведомления о входах и двухфакторную аутентификацию через приложение (это надёжнее, чем СМС). Если приложение Госуслуг установлено, включить вход по биометрии или PIN — это добавляет ещё один барьер.
Если взлом уже случился — немедленно на горячую линию Госуслуг: 8 800 100-70-10 (бесплатно), и параллельно в полицию с заявлением. Чем быстрее, тем больше шансов заблокировать мошеннические действия до того, как они оформятся во что-то финансово ощутимое.
Схема с «обновлением данных об образовании» — не первая и точно не последняя. До этого была тема налоговых вычетов, перед ней — «перепись населения». Предлоги меняются, механика остаётся той же: создать ощущение официальности, создать лёгкое давление, получить код.
Единственная защита — рефлекс. Код из СМС не называется никому. Точка. Даже если звонок кажется стопроцентно настоящим, даже если голос знакомый, даже если очень убедительно объяснили зачем. Настоящие сотрудники настоящих организаций этого не попросят — потому что им это не нужно.