1874 подписчика

Пользователь Хабра xenon написал, как дизайн формы восстановления доступа к Госуслугам помогает злоумышленникам и что с этим можно сделать.

— Хакер звонит и представляется сотрудником мобильного оператора. Просит подтвердить через Госуслуги личность владельца номера телефона и получает от жертвы код из смс;

— С кодом он захватывает профиль жертвы на Госуслугах и прямо по телефону сообщает об этом;

— Пароль жертвы больше не подходит. На экране восстановления пароля отображается сообщение о заморозке учётной записи из-за подозрительной активности и номер телефона для экстренной связи;

— Фишка в том, что это не системное сообщение, а текст контрольного вопроса, который прописал хакер, войдя в профиль жертвы. Жертва доверяет этому номеру, и после звонка по нему начинается основной развод;

— Вывод: даже сайт без технических уязвимостей можно использовать для атаки на пользователя методом социальной инженерии;

— Стоит проанализировать пользовательский путь в ситуации, когда доступом к его профилю завладел хакер. Особенно, если ваш сервис критически важен;

— Конкретно в этом случае на странице восстановления доступа можно выделить, что отображается именно контрольный вопрос, а его текст оформить так, чтобы он выглядел менее системным и более пользовательским;

— Не прячьте официальный номер телефона (хотя бы в рамках этого пользовательского пути). Например, чтобы найти его на Госуслугах, надо сделать очень много кликов;

— Также можно ввести ограничения для текста пользовательского контрольного вопроса.

1 минута

20 ноября 2023