Казалось бы, как деньги связаны с аккаунтом на портале? Оказывается, напрямую: «Госуслуги» содержат данные документов, по которым преступники могут оформить кредит или микрозаём, позволяют оформлять собственность на недвижимость, дают доступ к кредитной истории, позволяют получить сведения о налогах и банковских счетах… Портал даёт широчайшие возможности, и с каждым годом их становится больше. Честным гражданам «Госуслуги» экономят много времени, а злоумышленникам, к сожалению, облегчают их промысел. Поэтому аккаунт на «Госуслугах» должен быть хорошо защищен. Рассказываем, как это сделать.

Взломать «Госуслуги» классическим образом крайне сложно, даже от перебора паролей портал защищён. А вот применить уже известную злоумышленнику пару «логин — пароль» возможно.

Украсть пароль могут многими способами. Самые распространённые из них — это:

• фишинговые сайты, на которых требуется ввести логин и пароль от соцсети или от самих «Госуслуг»;
• подбор паролей (актуален для распространенных или очень простых паролей);
• трояны — зловредные программы, крадущие данные;
• использование данных из облачных хранилищ, где многие пользователи любят хранить конфиденциальную информацию;
• поддельные Wi-Fi-сети, когда преступник раздаёт доступ всем желающим, а на деле крадёт пакеты данных Сети, которые могут содержать в том числе и пароли.

Поэтому людям, заботящимся о безопасности, не стоит пользоваться публичными соединениями, необходимо поддерживать базы антивирусных программ в актуальном состоянии и, конечно же, заботиться о паролях.

Правила создания надёжного пароля одинаковы для любого аккаунта.

Во-первых, он должен быть уникальным, то есть применяться только на одном сайте. Это важно. Смысл в том, что если преступникам удастся украсть доступ, например, к вашей социальной сети, они могут попробовать с тем же паролем зайти на «Госуслуги».

Во-вторых, он должен быть одновременно сложным и легко запоминающимся, чтобы не приходилось хранить его в браузере или облаке.

Надежный пароль содержит буквы в разном регистре (заглавные и строчные), цифры и символы. Их случайную последовательность запомнить сможет далеко не каждый, а простую последовательность вроде Anna_1980 легко подберут преступники. Но выход из ситуации есть. Это фразы-пароли — passphrase. Они легко запоминаются, разнообразны и отвечают нормам безопасности. Например,

2vesElyx[:|||:]gUsYA2.

Эта фраза состоит из 21 символа, содержит цифры и достаточно абсурдна в качестве пароля. Заглавными выделены ударные гласны. Символы визуально складываются в музыкальный инструмент — гармошку. Можно нарисовать и балалайку:

|>---=

Придумывать фразы-пароли увлекательно, поэтому и запоминаются они легко. Менять пароли стоит раз в полгода: несмотря на все предосторожности, их всё-таки могут украсть.

Все способы защиты на «Госуслугах» устанавливаются одинаково.

Войдите в аккаунт.

Чтобы было проще, мы сделали скриншот, на котором указали важнейшие локации стрелочками.

В правом верхнем углу найдите цветной кружок с вашими инициалами (красная стрелка).

Кликните на него и выберите пункт «Профиль».

Под адресом вашей электронной почты расположена ссылка на пошаговую инструкцию, как обезопасить аккаунт.

Если инструкция кажется сложной (сейчас это довольно громоздкий документ), то либо попросите помощи у близких, которые свободно владеют компьютером, либо вернитесь в «Профиль» и в левой колонке найдите пункт «Безопасность» (синяя стрелка).

Вам предложат три способа защиты: двухфакторную аутентификацию и два дополнительных.

Двухфакторная аутентификация — это подтверждение входа в аккаунт уже после введения пароля. Таких способов три: СМС, биометрия и электронная подпись. Проще всего оформить двухфакторную аутентификацию через СМС. Для этого потребуется только мобильный телефон.

Самый распространенный способ подтверждения личности вошедшего — через СМС. Им пользуются, например, банки для подтверждения личности клиента, проводящего операцию. Но популярность способа привела к тому, что мошенники изобрели множество вариантов его обойти. Например, фишинговые сайты.

С 1 октября двухфакторная аутентификация станет обязательной для пользователей «Госуслуг». Наиболее простой и популярный способ подтвердить личность — СМС с одноразовым кодом. Будьте осторожны, у мошенников большой опыт выманивания таких кодов у жертв. Назвав кому-либо нужные цифры из сообщения, вы даете возможность управлять вашим аккаунтом!

Нередко код пытаются узнать по телефону. И зачастую злоумышленникам это удаётся, несмотря на предупреждения о том, что код из СМС никому говорить нельзя.

Схема такова: злоумышленник, имея данные для входа в личный кабинет (логин и пароль), пытается зайти на портал, но упирается во второй фактор. Как правило, номер телефона владельца аккаунта у него уже есть. Он звонит жертве и под разнообразными предлогами пытается выманить код из смс. Например, говорит, что аккаунт заблокирован или в нём оставлена заявка на смену номера телефона. Чтобы разблокировать, не допустить или наказать, нужно немедленно назвать преступнику код из СМС, который в этот момент и приходит жертве.

Следующий ход — замена номера телефона в профиле. После этого мошенникам не нужно будет беспокоить жертву, все коды они будут получать уже сами. Соответственно, они смогут проводить с аккаунтом любые операции, в том числе брать займы.

Чтобы не передать код мошенникам, важно регулярно решать три задачи на внимательность.

1. Помнить, что настоящие сотрудники «Госуслуг», МФЦ и любых других компаний никогда не просят назвать код из СМС.
2. Когда вы вводите код из СМС на сайте, внимательно посмотрите на адресную строку. Он должен полностью, с точностью до символа совпадать с официальным адресом портала: gosuslugi.ru.
3. Внимательно читать весь текст СМС: кроме цифр, которые так хочется поскорее ввести и покончить с формальностями. В сообщении всегда пишут, кто и зачем хочет получить код. Например, по телефону вас убеждают, что код нужен для возврата средств, а в СМС чётко написано: оплата. Или вы уверены в том, что оплачиваете товар или услуги от конкретной компании, а в СМС указана совершенно другая фирма. То же и с «Госуслугами»: СМС от портала выглядит вот так и никак иначе:

Другие два способа установить второй фактор входа в аккаунт «Госуслуг» — биометрия и электронная подпись. Биометрия — это уникальные данные тела. Для входа на «Госуслуги» используется видеозапись лица и голоса владельца аккаунта.

Чтобы сдать стандартные биометрические данные, потребуются:

• загранпаспорт нового образца;
• смартфон или планшет с NFC-чипом (возможность бесконтактной оплаты смартфоном);
• приложение Госуслуги Биометрия, которое можно скачать через QR-код на портале «Госуслуги».

Этот способ даст доступ только к самым безопасным услугам портала. Чтобы получать любые услуги, придется посетить МФЦ и подтвердить биометрические данные.

Для входа по подтвержденной биометрии потребуется компьютер с подключенной камерой. Со смартфонами этот способ не работает.

Специалисты «Госуслуг» смогли убедить экспертное сообщество в том, что биометрические данные на портале надёжно защищены. Красть их бессмысленно, поскольку записи надёжно зашифрованы и взломать их современными техническими средствами практически невозможно. Однако эксперты по безопасности придерживаются противоположных точек зрения.

Одни считают идентификацию по биометрии самым надёжным способом защиты. Другие напоминают о deepfake — воссоздании с помощью нейросети видеоизображения человека, которое сложно отличить от настоящего. Доводом за надёжность биометрии считается технология, которая позволяет отличить видеозапись реального человека от его цифрового клона. К тому же даже если допустить, что deepfake можно применить для взлома личного кабинета «Госуслуг», это будет очень затратным, поэтому о массовом применении такого способа в обозримом будущем говорить не приходится.

Электронная подпись (ЭП) считается наиболее защищенным способом подтверждения личности в онлайн-пространстве. Квалифицированная ЭП аналогична собственноручной подписи, ей заверяют самые важные документы.


Неквалифицированная ЭП считается достаточной во многих других случаях.

Для входа на «Госуслуги» нужна квалифицированная ЭП. Её создают платно в удостоверяющих центрах, список которых размещен на сайте Минцифры. Создавать такую подпись только для входа на «Госуслуги» избыточно. Но для индивидуальных предпринимателей, руководителей юрлиц ЭП — необходимость. Она нужна не только для входа, но и для подписания многих документов компании.

Минус использования ЭП в том, что её очень важно правильно хранить. Кража секретного ключа позволит злоумышленникам полностью разрушить работу компании или до нитки обворовать гражданина.

«Госуслуги» в разделе «Безопасность» предлагают еще два способа защиты, которые не относятся к двухфакторной аутентификации, но могут осложнить мошенникам жизнь. Это уведомление о входе на портал, приходящее на электронную почту, и контрольный вопрос.

Уведомление — полезная опция для тех, кто постоянно следит за электронной почтой или мгновенно получает уведомления о пришедших письмах. Письмо позволяет быстро среагировать, если в аккаунт кто-то вошёл, а вы этого не делали. В такой ситуации попробуйте сменить пароль, а если это не помогло, зайдите в МФЦ с паспортом и обязательно проверьте кредитную историю.

Польза от контрольного вопроса на «Госуслугах» как фактора защиты сомнительна. Подключить, отключить, изменить его можно, просто введя пароль. Если злоумышленник уже зашел в аккаунт, то пароль он знает.

Единственное, для чего контрольный вопрос может пригодиться — это экономия времени. Если вы забыли пароль, не придется идти в МФЦ, чтобы вернуть доступ в личный кабинет. В остальном же без двухфакторной аутентификации такой вопрос в большинстве случаев оставляет злоумышленникам дополнительную лазейку.

Пользователи обычно задают такие вопросы, ответы на которые им легко вспомнить. Но эти сведения легко получить и злоумышленникам. Как звали вашего кота, могут «знать» ваши же соцсети, раскопать девичью фамилию вашей матери (и даже бабушки) вообще не проблема. Придумать же по-настоящему надёжный вопрос и ответ на него — задача непростая. Поэтому не стоит рассчитывать на эту опцию как на способ защиты. Надёжного, регулярно меняющегося пароля и второго фактора аутентификации достаточно для того, чтобы быть уверенными в безопасности аккаунта на «Госуслугах».