Расширенный

Расширенный поиск

Автор

Статьи по теме: «Информационная безопасность»

QR-коды о вакцинации: новое мошенничество по старой схеме

QR-коды о вакцинации: новое мошенничество по старой схеме
Ни одно значимое событие, будь то Олимпийские игры, пандемия коронавирусной инфекции, перепись населения не обходится без внимания мошенников. Они используют любой информационный повод, чтобы с помощью различных уловок добиться финансовой выгоды. Так, в начале этого года злоумышленники воспользовались ситуацией с выдачей QR-кодов о прохождении вакцинации от коронавирусной инфекции и попытались получить доступ к учётным записям граждан на портале Госуслуг.

Цели злоумышленников

Целью злоумышленников всегда является получение прямой финансовой выгоды. Для этого они постоянно придумывают различные способы, схемы обмана и похищения данных банковских карт. Персональные данные также являются целью злоумышленников, потому что часто служат объектом продажи и средством, с помощью которого они могут добиваться своих меркантильных целей. Такие данные можно использовать для организации целевых и фишинговых компьютерных атак, шантажа.

Наиболее полным «хранилищем» персональных данных граждан является портал Госуслуг. Получение доступа к подтверждённой учётной записи на портале позволяет злоумышленникам реализовать большое количество противоправных схем: оформить кредит, юридическое лицо, провести сделку с недвижимостью. Кроме того, все личные данные пользователя попадут в базы данных, которые могут быть переданы или проданы другим мошенникам. Поэтому внимание злоумышленников к порталу Госуслуг не ослабевает год от года, они буквально охотятся за учётными данными пользователей этого сайта, изобретая всё новые и новые уловки.

Социальная инженерия как основной метод злоумышленников

Основной метод, уже давно взятый на вооружение злоумышленниками для получения интересующей информации, – это социальная инженерия. Техники социнженерии позволяют обманным путём выведать у человека важные данные (логины и пароли от учетных записей, реквизиты банковских карт) или возможности для получения доступа к целевой системе в обход ограничений безопасности. В основе социальной инженерии лежат психологические методы воздействия на людей: убеждение, внушение, манипулирование базовыми чувствами и эмоциями. В результате жертва добровольно и зачастую без каких-либо подозрений предоставляет злоумышленнику необходимые сведения. (Более подробная информация — в статье «Социальная инженерия: актуальная угроза и меры защиты»).

Ярким примером того, как актуальные социально-экономические события становятся поводом для активных действий социнженеров, являются их махинации с прошлогодними выплатами родителям школьников, приуроченными к началу нового учебного года. После объявления о выплатах в сети Интернет появилось огромное количество поддельных сайтов, на которых в обмен на небольшую комиссию предлагалась «помощь по оформлению выплат». Как только пользователь вводил на подобных ресурсах данные своей банковской карты, включая имя держателя карты и CVC / CVV-код с обратной стороны, мошенники получали доступ к денежным средствам жертвы.

Использование социальными инженерами информационных поводов при проведении атак

В этом году классическую схему мошенничества злоумышленники применили по новому информационному поводу, связанному с выдачей на портале Госуслуг QR-кодов о вакцинации от коронавирусной инфекции или перенесённом заболевании. Они воспользовались сбоем в работе портала, из-за которого в личном кабинете не сразу появлялась информация о ревакцинации, и предлагали людям помощь по добавлению QR-кода в их учётную запись. Целью злоумышленников было получение доступа к личному кабинету пользователя на сайте Госуслуг.

Принцип мошеннической схемы достаточно прост. Злоумышленники приобретают на «чёрном рынке» базу данных с «утёкшими» персональными данными граждан, переболевших коронавирусной инфекцией или вакцинированных. Затем они используют сервис восстановления пароля на портале Госуслуг, с помощью которого, зная номер телефона и введя код из СМС-сообщения, можно поменять забытый пароль от учётной записи. Злоумышленники вводят на портале Госуслуг номер мобильного телефона, звонят жертве и при помощи приёмов социальной инженерии убеждают человека продиктовать код из СМС-сообщения. Они могут представляться сотрудниками службы поддержки Госуслуг и предлагать привязать QR-код к учётной записи на портале Госуслуг. Как только пользователь продиктует код из СМС, мошенники установят новый пароль для аккаунта, и пользователь лишится доступа к нему.

После случаев подобного мошенничества на сайте Госуслуг появились дополнительные меры защиты: теперь для восстановления пароля недостаточно ввести один только код из СМС-сообщения. Кроме него необходимо указать СНИЛС, данные паспорта или ИНН.

Рекомендации

Главное орудие в борьбе с подобными мошенническими схемами – это критическое мышление и следование простому правилу: ни при каких обстоятельствах не передавать третьим лицам такие данные как СНИЛС, номер и серия паспорта, номер телефона, коды из СМС-сообщений. Помните, что ни сотрудники банка, ни специалисты техподдержки портала Госуслуг никогда не попросят сообщить им одноразовый код из СМС-сообщения.

При подозрительных звонках от техподдержки портала Госуслуг немедленно прервите разговор и самостоятельно позвоните по одному из официальных телефонных номеров портала Госуслуг. Они указаны в разделе сайта «Помощь – Другие способы связи»:

  • 8 800 100-70-10 – для звонков по России;
  • 115 – для звонков с мобильного телефона;
  • +7 495 727-47-47 – для звонков из-за рубежа.

Помните, что QR-код о вакцинации или перенесённом заболевании появляется в подтверждённой учётной записи на портале Госуслуг автоматически. Минздрав России передаёт соответствующие сведения в систему, никакого участия сотрудников Госуслуг или СМС-подтверждений для этого не требуется.

Напоследок ещё несколько советов для защиты Ваших данных:

  • Установите для личного кабинета на портале Госуслуг надёжный пароль и меняйте его раз в 2–3 месяца.
  • Включите двухфакторную аутентификацию, чтобы использовать для входа в личный кабинет не только логин и пароль, но и одноразовый СМС-код. И не сообщайте его никому, даже самым убедительно требующим «сотрудникам техподдержки».