На днях один мой знакомый получил звонок от работника ФНС с целью уточнить некоторые данные по декларации 3-НДФЛ на возврат бюджетных денег за лечение. Удивлению не было предела: мало того, что декларацию эту он не подавал (!) так и возврат уже был проверен и одобрен (!!), возврат средств предполагался на неведомый счёт в МТС-банке на его имя (!!!), нужно было лишь уточнить сущие пустяки. Небольшая, но поучительная история.
Важный дисклеймер
Статья сия не жалобы ради, а исключительно для предотвращения подобных ситуаций у кого-либо ещё. Лишним раз не будет проверить аккаунты ваших менее подготовленных родственников (да и свои тоже) на предмет защищённости.
Надо сказать, что тот самый знакомый не самый глупый человек на земле, весьма близок к IT, у него был весьма сложный и уникальный (по крайней мере так казалось) пароль от Госуслуг, регулярно проверялась почта и смс, на разводки мошенников из "банков" не поддавался, однако ввиду некоторых обстоятельств при поспешном переезде за границу РФ, двухфакторная аутентификация была отключена для удобства и потенциальной недоступности входящих смс. Итого имеем: злоумышленник знал верную комбинацию логина\пароля от Госуслуг (пока неясно откуда), на учетной записи была отключена двухфакторка. Да, вроде бы и сам короткую юбку надел, но ситуация не предполагала к действиям здравого рассудка.
История началась с того, что одной глубокой ночью злоумышленник входит в Госуслуги, снимает галочки об уведомлениях о входе и действиях в личном кабинете. Ну а далее уже начались множественные скитания по различным сервисам куда даёт доступ ЕСИА, попутно авторизуясь в десятках сервисов, получая огромный объём персональных данных, включая финансовые:
Авторизации на госуслугах
Тут интересны два пункта: вход в на сайт ФНС (nalog.ru) и авторизация в платёжном шлюзе МТС. Каким образом злоумышленник умудрился открыть целый счёт в МТС-банке пока непонятно. Подозреваю, что через оформление eSim (с помощью тех же Госуслуг) к которому автоматом открывается счёт в МТС-Деньги\Банке, но это ещё в процессе выяснения. Запросы к кредитным историям были явно получены с целью получения списка текущих активных счетов в банках, дабы передать информацию "коллегам" по цеху для последующих обзвонов.
Ну и далее по списку много дополнительных авторизаций, например, в контуре mos.ru:
Список действий в контуре mos.ru
Но это отдельная история. Вернёмся к нашим декларациям.
Собственно авторизовавшись на сайте ФНС была подготовлена декларация с целью получения налогового вычета за лечение, якобы за операцию на колене в 2021 году. К декларации были приложены весьма убедительные, но фиктивные документы (договор лечения, смета, лицензия и пр.).
Документ раз
Документ два
Документ три
При беглом осмотре никаких вопросов документы не вызывают, все реквизиты бьются с реальными данными (вытащенными, очевидно, с тех же госуслуг), часть документов легко гуглится для образца или вообще публичные. Клиника реальна, цены актуальны, договор полностью идентичен натуральному. Есть пара мелких кривостей типа странного емейла организации, но на это среднестатистический сотрудник камеральной проверки вряд ли обратит внимание. Также в декларацию были внесены абсолютно реальные сведения о полученных доходах за 2021 год, в том числе уплаченному НДФЛ. Всё это, как водится, вытащили с тех же Госуслуг. То есть в целом все выглядело крайне правдоподобно и корректно с точки зрения законных оснований для вычета. Сумма возврата предполагалась в размере ~15 тыс. руб. Реквизиты для получения возврата были указаны в МТС-Банке на ФИО владельца аккаунта. И вроде бы всё хорошо, но в декларации была допущена небольшая формальная оплошность, что и сподвигло сотрудника ФНС позвонить для уточнения. Забавно, что на момент проведения "операции" человек находился в другом полушарии, остаётся только порадоваться, что к базе данных пограничного контроля злоумышленник доступа не имел.
Реквизиты "непонятного" счёта в МТС-Банке
Отдельно хочу заметить, что для отправки декларации нужна ЭП, которая генерируется и хранится (рекомендованный ими же способ) на серверах ФНС. Злоумышленник не знал пароль от ранее выпущенного сертификата, потому без особых угрызений совести предыдущий сертификат был отозван и был сгенерирован новый с новым паролем, прям в личном кабинете. И уже вновь выпущенным сертификатом была подписана фиктивная декларация. Всё это занимает минут 10-15. Никаких подтверждений и\или уведомлений с сайта nalog.ru об этом не поступало, как собственно и с других сервисов. Это, конечно, фиаско. Декларация была успешно подготовлена cфабриковна, подписана и отправлена.
Отзыв сертификата на сайте ФНС
В сухом остатке: произошла полная утечка персональных данных, на многих второстепенных сервисах злоумышленник наследил в промышленных масштабах, произошла почти успешная попытка финансового мошенничества. И это только на первый взгляд. Злополучную декларацию сотрудник ФНС направил в нужно русло для корректировки и возврата. Также посетовал, что это уже не первого десятка подобный случай за последние пару месяцев и жаловаться в спортлото полицию, можно, но на практике эти заявления никто всерьёз не рассматривает. Заявление, однако, было всё равно подано через электронную приёмную, в основном интереса ради. Надо сказать, что дело происходит в провинции. О масштабах злодеяний в крупных субъектах РФ остаётся только догадываться.
Здесь история подходит к концу. Все пароли были успешно обновлены, подтверждения входа и уведомлений подключены, следы мошеннической деятельности заметены. Пока ещё продолжаются попытки выяснить с МТС и его банком детали открытия счёта без ведома владельца паспорта этого счёта.
В настоящий момент полностью верифицированная учётка на Госуслугах это ключ который открывает очень много дверей, кажется, что даже слишком. Тот факт, что этот ключ можно получить и использовать просто зная комбинацию логина и пароля весьма удручает. На Госуслугах не является обязательной двухфакторная аутентификация/вход по ЭП, кодовое слово и можно отключить уведомления о входе. Госуслугам не показались подозрительными юзерагенты устройств/адресов с которых раньше в учётку никто не заходил (например iOS, браузер Safari или Windows 7). А если вход кажется подозрительным, то просят ввести номер паспорта или прочую легкодоступную (если искать в правильных местах) информацию. Я уж не говорю насколько легко и просто интегрированы сторонние сервисы которые доверяют входящим запросам на авторизацию с Госуслуг предоставляя почти полный доступ к юридически значимым действиям. Без какого-либо дополнительного подтверждения по смс или почте. Здесь явно что-то не так. В одном американском банке при попытке разблокировать карту после подозрительного платежа, нужно отвечать на такие глубокие и каверзные вопросы (доступно только по телефону), что отсеет 95% воришек-любителей. Госуслугам явно есть куда расти в плане безопасности.
Надеюсь, что кого-то эта история подтолкнёт лишний раз сменить свои пароли, включить двухфакторку и не забывать о правилах сетевой безопасности.
P.S. Буду благодарен за дополнительную информацию к каким ещё критичным сервисам могли получить доступ и, что точно следует перепроверить.
Комментарии (216)
vak0
05.10.2022 21:53+14Могу ошибаться, но если приложение «Госуслуги» установлено на телефон, то включенная двухфакторка внезапно становится однофакторкой, и этим единственным фактором является пароль разблокировки самого телефона, ведь так?
plFlok
05.10.2022 23:37+8у меня на телефоне приложение госуслуг предложило установить дополнительный пинкод именно на вход в приложение. Без него отказывается работать теперь. Так что пинкодов теперь 2.
Didimus
06.10.2022 11:49+4Если у вас несколько пинкодов (паролей и т.п.), то в пределе они сходятся к одной и той же величине
Protos
06.10.2022 16:43Чиво? Это когда дуло у виска я полагаю.
Didimus
06.10.2022 17:01Вы начинаете использовать везде один и тот же пин-пароль
konst90
07.10.2022 00:56Сбер для себя решил эту проблему тем, что приложение требует строго 5-значный код, в то время как у остальных (ВТБ, Тинь, Госуслуги те же) 4 знака. То есть на Сбер будет отличный от всего остального код.
Moskus
06.10.2022 21:49+1Очевидно, Cybersecurity evangelist (так у вас в профиле написано) не знаком с содержанием NIST Special Publication 800-63B. Что не странно, кто не умеет работать - тот учит.
Moskus
06.10.2022 21:45+2В трактовке NIST, за отдельный фактор считаются только разнородные методы. То есть если при аутентификации у вас спрашивают десять паролей и больше ничего, это все еще один фактор - фактор знания.
AllexIn
07.10.2022 07:34Но ведь остается всё равно два фактора:
фактор владения
фактор знанияMoskus
07.10.2022 07:42В изложении ситуации автора комментария выше, "два пин-кода" - это один фактор.
perlestius
07.10.2022 08:22А разве автор комментария выше где-то утверждал, что это два фактора? И да, в описанной ситуации имеет место, наверно, двухэтапная, а не двухфакторная аутентификация. Хотя я не безопасник, могу ошибаться
Moskus
07.10.2022 08:37Мой первый комментарий о том, что два пин-кода - не два фактора, также не является прямым возражением. Является - уточнением, потому что первый и второй комментарии ветки говорят об этом без однозначности.
А вот дальше, разные индивидуумы зачем-то спорят, что это, мол, не один фактор.
hw_store
05.10.2022 23:46Не скажу конкретно за приложение "Госуслуги", но, например, приложение моего банка при запуске всякий раз требует ввести пин-код. И даже если я его не закрывал, оно все равно довольно часто просит ввести
Femistoklov
06.10.2022 09:49-1Это если шифрование включено, а если нет, то, наверно, можно как-нибудь перенести приложение на другой телефон.
Aelliari
06.10.2022 11:10Это какой современный телефон не имеет изкоробочного шифрования?
Yoti
06.10.2022 22:54При установке кастома почти во всех инструкциях зачем-то присутствует пункт по отключению шифрования. Хотя оно опционально: я не отключал и ввожу пароль для расшифровки /data при входе в TWRP. А сам кастом может появится потому, что кто-то заказал для родственника на Али китайскую версию подешевле, а потом кустарно русифицировал.
Aelliari
07.10.2022 08:32почти во всех инструкциях зачем-то присутствует пункт по отключению шифрования
Наследие времён андроида, когда шифрование было опционально а устройства - слабыми. Почему пишут до сих пор? Потому что кто-то до сих пор не умеет собирать twrp корректно. Или потому что на устройстве было FDE из коробки, а тот кто собирал прошивку не сумел завести FBE и при этом сломал FDE.
Но если ты ставишь кастом - я по умолчанию заношу тебя в категорию "тех кто понимает что делает", даже если ты не осознаешь всех возможных последствий
igolikov
05.10.2022 22:04+9Интересно каким образом утек пароль?
evgepet
06.10.2022 04:48+6У меня в прошлое воскресенье ночью угнали акк Госуслуг, выпустив (судя по всему) дубликат симки. Мне пришло смс о сбросе пароля, я проснулся и успел снова сменить пароль и удалить акк. Удалил я потому, что увидел внутри подготовленные заявки на микрокредиты.
В сентябре 2019 года Сбербанк просрал 60 млн персоданных. Теперь мне каждые 6-7 месяцев звонят мошенники, называя мои ФИО и адрес, и пытаются вызнать реквизиты карт. Я благоразумно решил, что удаление аккаунта Госуслуг спасёт меня от микрокредитов. А от Сбера я ещё в 2020 году ушёл после первого звонка мошенников.
baldr
06.10.2022 08:21+12Теперь они смогут завести аккаунт на вас, но уже со своим телефоном и паролем?
evgepet
06.10.2022 08:44+5Возможно. Но придётся подтверждать личность в МФЦ с липовым паспортом.
AdmAlexus
06.10.2022 10:02+4Не обязательно. Достаточно иметь своего человека в "Центре регистрации", коих по стране тысячи (и это далеко не только МФЦ).
https://map.gosuslugi.ru/?layer=coТам можно и упрощенную подтвердить, и новую зарегистрировать, и старую удалить.
evgepet
07.10.2022 05:23Зато теперь я смогу подтвердить свою непричастность: акк был удалён мной с моего IP, а создан в другом регионе, с не-моей подписью, с не-моим паспортом. Паспорт, кстати, наверняка не получится извлечь из удалённого аккаунта, вряд ли в центре регистрации есть права на доступ к удалённым данным.
fo_otman
06.10.2022 09:26+4Мне звонили мошенники, после того как зарегистрировал счет ИП в Альфе. Причем звонили в тот день и час, когда я договаривался о звонке с менеджером. Знали мое имя и что я только что открыл счет. До сих пор не понял, то ли это мошенники были, то ли сотрудник Альфы. Меня смутило, что он запросил паспортные данные.
avegad
07.10.2022 06:43Как мне кажется, большинство ПД, было слито/посрано появления понятия перс.данные.
Мошенники и подобные им, в большинстве случаев, звонят мне на один и тот же номер, который в "девичестве" был МТСовским, а МТСовские базы, в 2000-х, появлялись и на дисках и в инете , регулярно.
На второй номер, где есть сервисы, "непонятные звонки", прорываются редко, и обычно это случается, если пользуешься услугами менеджера Альфа-банка. Так же во время или после общения с менеджером по телефону, может поступить звонок с левого номера, с предложением халвы или другой гадости.
Для себя открыл следующее(подойдёт не всем): Периодически менять хотя бы фамилию, с изменением хотя бы одной буквы, буква должна быть хорошо слышна по телефону. И никогда не обновлять свои данные, там где это обновление не обязательно или не несёт никаких последствий, как отключение услуги, если перс.данные у оператора услуги и в МВд не совпадают. В таком случае ,при звонках от мошенников, очень смешные случаи случаются, можно поднять себе настроение, и опустить звонившему, у которого "рыбка" срывается, через 1.5 часа разговора.
MSBlast Автор
06.10.2022 10:18Полагаю, что пароль всё же не был столь уникален и утёк в этом году среди множества инцидентов
RodionoF
06.10.2022 12:58+5У меня вчера прилетело СМС о входе от двухфакторки Госуслуг. Благо что включил её. Пароль был сложный, уникальный, нигде не использовал. Где его смогли добыть - не пойму.
igolikov
06.10.2022 14:57У меня похоже утекли все пароли на "мусорные" сайты, вирусы маловероятны, linux + macos, приложения только из репозитариев
Priestmor
06.10.2022 13:26Вариантов очень много. Вспомните ввод проверки паролей у Гугла, когда все пароли, сохранённые в браузерах утекли. Вирусняки и т.д. Ограничения по возможной утечке хранятся только в голове.
Protos
06.10.2022 16:54+1Админ госуслуг в заббиксе увидел уведомление об отключении 2FA, зашел на сервак с паролями, запустил что-то типа mimikatz но для базы данных РусДБ, отловил в памяти отправляемый на проверку пароль при очередном входе и сохранил себе
unlive74
05.10.2022 22:07+17Полагаю, что сумма для возврата немногим меньше 15 т.р. была выбрана для того, чтобы можно было вывести деньги без идентификации клиента (по закону обязательная идентификация именно с 15 т.р.). В МТС, действительно, при имеющемся контракте на моб. связь (решается, как справедливо подметил автор, eSIM с в оризацией через ГУ) можно выпустить виртуалку без визита в банк. И, думаю, что 15 т.р. это как раз та сумма, после которой требуется идентификация владельца счета путем "засветка" лица с паспортом. Да, учитывая отношение обывателя к стойкости паролей, трудно представить масштаб потенциального бедствия..
Anderson
05.10.2022 22:43+3Скорее всего просто сумма около максима 120 000 * 13% = 15600
Максимальный размер налогового вычета по расходам на медицину — 120 тыс. рублей, гражданину вернется 13 % от этой суммы.
Squoworode
06.10.2022 00:15+1Не сходится: по справке сумма выше максимума, так что возврат дожен быть 15600. Скорее всего, в 2НДФЛ уже был налоговый вычет на 6850 рублей, что-нибудь вроде взносов в пенсионный фонд, или типа того.
oxothuk_uae
05.10.2022 22:22+2потенциальной недоступности входящих смс.
а это еще почему? входящие смс бесплатны, работают даже при ограничении услуг связи (отрицательном балансе).
SlonicK
05.10.2022 23:23+3... при поспешном переезде за границу РФ ...
novoselov
06.10.2022 06:10+2Это не важно, за границу СМС доставляются без проблем
Главное не забывать периодически "пользоваться" телефоном, иначе его отберут, вот тогда будет плохо
ArkadiyShuvaev
06.10.2022 11:00+1Главное, чтобы были списания денег.
Что интересно, через некоторое время я заметил, что простая отправка СМС в роуминге НЕ приводит к списанию ДС.
Приходится каждые 3 месяца подключать платную услугу и через несколько дней отключать её, чтобы номер оставался "активным".
vis_inet
06.10.2022 12:00Что интересно, через некоторое время я заметил, что простая отправка СМС в роуминге НЕ приводит к списанию ДС.
Точно?
Какой опсос, какой тариф?
ArkadiyShuvaev
06.10.2022 13:11Точно :) Т к у нас женой одна и та же ситуация. МТС, по тарифу не скажу, смотреть надо. Карты выехали за пределы РФ более четырех лет назад.
Emileps
06.10.2022 15:34Интересно, что далёком 2013 году купил sim-карту мегафона, в 2014 перешёл на Yota с сохранением номера, а в 2016 уехал из страны. Sim-карта до сих пор рабочая, приходят СМС, уведомления и т.д., но, при этом, с 2016 года ни разу не использовал платных услуг.
isden
06.10.2022 16:50Нужны не "платные услуги", а движение средств на счете. Пополнение/списание (за звонки/смс например).
Emileps
07.10.2022 10:19+1Я вообще счёт не пополнял ) Ничего не оплачивал с номера, не производил звонков. Ни разу с 2016 года. Только входящие СМС при отрицательном балансе.
Но номер активный и до сих пор принадлежит мне.
Склонен полагать, что при переходе с одного провайдера на другой, сам номер пришлось выкупить (там была какая-то плата в 300-500 руб, точно не помню). Возможно, в этом есть сокровенная тайна долгой жизни симки без блокировок. Мой мегафоновский номер сохранился на Yota, включая код (+7925).
Да, кстати, номер всегда в сети, так как я телефон беру всегда 2х симовый и первой симкой стоит местный номер, второй симкой российский.
MSBlast Автор
06.10.2022 10:25+4При выезде на ПМЖ вы становитесь очень зависимым от физической сохранности маленькой симкарты. Её можно: потерять, сломать, инактивировать (не пользуясь ей на протяжении 3+ месяцев). Также есть страны и операторы которые не очень быстро доставят вам смс. Это кажется ерундой, но при долгосрочном выезде шансы кратно увеличиваются. Теряя возможность принимать входящие смс вы гарантированно лишаетесь доступа к огромному количеству ресурсов и действий. И единственный путь восстановления ехать обратно в РФ.
PrinceKorwin
06.10.2022 10:47+1Можно выписать доверенность чтобы за вас это делал другой человек. Можно вообще ему сим-карту оставить.
vadimr
06.10.2022 13:44+1Честно говоря, выдача симкарты по доверенности – само по себе гораздо большее зло, чем всё вышеописанное.
Dolios
06.10.2022 15:14+3Вот эвакуировались вы от могилизации в условный Ташкент и тут ваша симка приказала долго жить. Поедете домой восстанавливать? Зло, это завязать всю безопасность на симку.
KivApple
06.10.2022 19:53-1Симкарту вставляете в тупую звонилку (заодно защита от мобильных вирусов), которая всегда дома (соответственно, её очень сложно потерять), а тариф у российского оператора должен быть с абонентской платой (сам по себе или за какую-то услугу), чтобы стабильно списывал сколько-то денег раз в месяц.
mm3
05.10.2022 22:30+15Если есть опасения что смс не дойдёт или имеется общее недоверие одноразовым паролям по смс, то отключать двухфакторную авторизацию всё таки не стоит потому, что на на госуслугах всё таки заработал TOTP и второй фактор можно поменять на него.
Не знаю в каком качестве участвует секретный вопрос в процедуре восстановления доступа, не пробовал, но раз дают такую возможность, то его тоже стоит добавить, естественно не указывая в качестве ответа на него никакой публичной информации.Dzenses
05.10.2022 23:25+8:)
mm3
05.10.2022 23:54Тоже такую картину наблюдал всё лето. Настойчиво перепробовал разные браузеры под разные операционки, неизменно в консоли браузера наблюдал ошибку CORS policy. Но где-то с месяц назад смог успешно активировать в последнем хроме. И сбрасывать для проверки что то не тянет.
ddark008
06.10.2022 08:23+5Необходимо запустить Chrom без CORS policy, костыль, но работает.
"C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" --disable-web-security
wataru
06.10.2022 11:34+3Еще вроде надо --user-data-dir какую-то указать. Если открывать со стандартным профилем, то флаг отключения безопасности не сработает.
Soren
06.10.2022 15:12+1Подтверждаю, вышло сгенерировать QR без ошибки CORS только через запуск Chrome с ключом disable-web-security И указанием нового профиля через user-data-dir.
Спасибо!
selivanov_pavel
06.10.2022 19:19+1Спасибо, теперь получилось.
"C:\Program Files\Google\Chrome\Application\chrome.exe" --user-data-dir=C:\tmp\tmp-chrome-data-dir --disable-web-security
Heliki
06.10.2022 14:48Такая же проблема при входе без vpn из-за рубежа. У госуслуг разные настройки доступа для разных поддоменов, и надо найти такой впн, с которого открываются они все.
Didimus
06.10.2022 13:56Это будет железный ключ? Поясните, пожалуйста
Aelliari
06.10.2022 14:20Софтовый, но на устройстве владельца аккаунта
Didimus
06.10.2022 14:28+1А его можно восстановить при утрате телефона? И какой системы TOTP подходит?
inkelyad
06.10.2022 14:53+1А его можно восстановить при утрате телефона?
Как обычно. Записать код генерации в хранитель паролей и прочитать.
Это, конечно, неправильно, но правильный способ, когда имеются несколько ключевых артефактов, и утерянный можно восстановить при помощи оставшихся, есть приблизительно нигде.
Aelliari
06.10.2022 14:58+3TOTP уже сам по себе способ генерации, как правило софт уже умеет стандартные реализации TOTP/HOTP, но некоторые конторы в дополнение к стандартным пилят что-то своё (например яндекс, вроде когда-то обещал раскрыть информацию о своей реализации...).
По поводу восстановить - зависит от того, какие возможности представляет софт. По умолчанию подразумевается что ты отсканировал QR-код или ручками добавил токен на необходимые устройства и пользуешься. Но, различные приложения дают различные возможности, в том числе и бекап, и синхронизация и ещё чертичто.
Примеры софта: Яндекс.Ключ (умеет кроме своего - ещё и стандартные), google authenticator (в штатном виде не имеет возможности бекапа, но вроде как был опенсурс раньше, и старые версии пересобирались сообществом с такой фичей), authy, пароли iCloud, bitwarden (умеет такое в себе), keepass (вроде мог, возможно с плагином), да тысячи их под любые платформы. Не все из них стоят внимания, но их много.
P.S. хоть это и софтовая штука, но есть и "аппаратные" токены, куда можно скормить ключ, и они будут генерировать коды
P.P.S. скорее всего сайт при включении 2FA предложит записать коды восстановления, тоже резервный способ восстановления доступа
zetroot
06.10.2022 19:25+1Зря вы keepass в самый конец запихнули:-) Его совместимый форк KeepassXC отлично работает с TOTP токенами. А для мобилки есть KeepassDX, тоже умеет хранить и генерировать TOTP.
Записать их в базу проще всего с телефона, надо просто предложить из сканера qr-кодов поделиться текстом, зашитым в qr-коде, "в запись" в KeepassDX. После этого разделяемый секрет сохраняется в записи базы парольного менеджера.
P.P.S. скорее всего сайт при включении 2FA предложит записать коды восстановления, тоже резервный способ восстановления доступа
Госуслуги не дают резервных кодов. Вероятно сбросить креды доступа можно ответом на контрольный вопрос, но эту тему я не исследовал.
Aelliari
06.10.2022 19:46+2Зря вы keepass в самый конец запихнули:-)
Всего лишь список без ранжирования, в порядке в котором смог вспомнить:)
А вообще я за U2f и FIDO2, тем более что таким токеном может быть любой современный андроид/ios телефон, а при наличии Bluetooth в ПК - ещё и в паре с ПК можно бфло бы задействовать. Но увы, такой радости у нас пока нет
P.S. я давно и плотно подсел на селфхост Bitwarden (точнее альтернативную реализацию vaultwarden), я не знал о том ято keepass неплохо прокачали в плане удобства)
Vilgelm
07.10.2022 02:59В Google Authenticator есть возможность экспорта аккаунтов через QR коды. Вы не знаете, есть ли другое OTP приложение, которое понимает этот формат и через которое можно импортировать аккаунты из Google Authenticator? Google сильно испортил приложение, оно стало виснуть секунд на 20 при генерации кодов, это какой-то кошмар. А перейти в другое «руками» когда аккаунтов много требует много труда.
Aelliari
07.10.2022 08:38К сожалению не могу потрогать то что экспортирует google authenticator, когда трогал последний раз - он ещё такое вроде бы не умел.
Но как вам уже подсказали, там почти наверняка будет стандартное. И если новое приложение её не понимает (что маловероятно), то можно от URI попробовать оторвать только токен и скормить его
polinashilo
05.10.2022 23:25+11Спасибо большое, что поделились столь поучительно историей одного своего знакомого!
thatsme
06.10.2022 03:58+6Самым главным злоумышленникам, даже пароль не нужен, да и гос-услуги им не нужны, чтоб с вашей жизнью сделать всё что угодно ...
v-milenin
06.10.2022 05:57+12После появления возможности записаться в добровольцы (а также обжаловать решение о мобилизации) через госуслуги, злоумышленник может подать за гражданина заявку, которая внесет существенные изменения в его жизнь…
novoselov
06.10.2022 06:13+11Подать заявку в армию
Взять кредит на 5 млн
Дождаться "возвращения" бойца, которое автоматически погасит кредит
ildarin
08.10.2022 00:53айти стартап 2к22 по русски
как бы страшно это не звучало, но по факту такое практически невозможно. угроза персональным данным и цифровым финансам несомненно есть, но в остальном все ок. никакой суд не признает приоритет строчки в бд над фактическим волеизъявлением гражданина.
каким бы жутким и страшным не казался интернет - всё же пользы от него несомненно больше, даже с учетом всех алчных взломщиков-пид*расов, которые за 500 рублей и бабушку в гроб не постесняются уложить.
Abyss777
06.10.2022 06:27+1Недавно (в августе) у меня и моих родственников протухли пароли в ГУ, естественно поменяли.
А у вашего знакомого не было принудительного сброса пароля? Он случайно старый пароль при этом не поставил?Может эта массовая смена паролей была вызвана их утечкой, о которой умалчивают?
LLORD
06.10.2022 12:31Пароли всем гражданам сбросили принудительно. У меня до этого он 8 лет стоял. Допускаю, что причиной могла быть утечка, но восстановить доступ без телефона и электронной почты было невозможно.
mbait
07.10.2022 02:17Их не просто сбросили, но и ввели принудительное усложнение, что ещё сильнее намекает на утечку.
Vilgelm
07.10.2022 03:02Мне не сбрасывали. Возможно они сбросили пароли, которые не соответствовали их новым требованиям. Значит ли это, что они хранят их в открытом виде?
maxwolf
08.10.2022 01:29Очень похоже. (мне сбросили, и вариация старого, сложного пароля не прошла, т.к. в ней не было спец. символов).
P.S. Усиленно захотели привязать телефон. Причём, не просто по СМС, а исключительно визитом в офис аффилированных структур.
Melonom
06.10.2022 08:32+5двухфакторная аутентификация была отключена для удобства
Ну вот серьёзно? Человек вкидывает все свои данные на один сайт и такой:«Ой ждать смс, чет не удобно» Что в голове? Компотик?MSBlast Автор
06.10.2022 10:37+2По статистике гугла двухфакторкой для GMail пользуются меньше 10% пользователей. Статистика не самая новая, но думаю +- актуальная. Как думаете какой процент будет на Госуслугах? Что-то мне подсказывает, что не многим выше, если не сильно ниже. Я не возьму на себя смелость рассуждать о качественном наполнении черепной коробки всех этих миллионов людей. Среди них наверняка есть ваши друзья и родственники. Это всё наши соотечественники которые тоже уязвимы. Статья лишь иллюстрирует об одном реальном и, вполне возможно, массовом способе мошенничества. Нравоучения о важности двухфакторной авторизации, конечно, важны, но не в такой форме.
inkelyad
06.10.2022 11:43По по статистике гугла двухфакторкой для GMail пользуются меньше 10% пользователей.
И они явно не очень хотят это менять. Или им не дают. Потому что с их ресурсами можно добиться того, чтобы на каждом углу(а не только в онлайн магазинах) продавались аппаратные ключики. И не за $30 - они явно столько в производстве не стоят (смотри SIM карты, которые по сути то же самое, и которые дают бесплатно). И залить рекламой все вокруг так, чтобы каждый понимал, что если у тебя этой штуки нет - ты страшный ретроград. А уж использовать некую железку, чтобы входить куда-то -- это умеет и привык делать каждый, у кого замок на входной двери есть.
Aelliari
06.10.2022 11:46Cloudflare попытался, правда это по слишком ограниченной выборке попадёт
inkelyad
06.10.2022 11:49Так и Гугл, формально, попытался. Не зря же именной ключик выпустил. Но пытаются они как-то ну очень осторожно. Так, что хотеть воспользоваться начинают только те, кто уже точно знает, почему и для чего это надо, а не все подряд.
Vilgelm
07.10.2022 03:05Они наоборот с год назад усложнили установку второго фактора в виде OTP приложения, просто убрали такую возможность пока не включишь второй фактор по СМС. Можно включить смс, потом подключить приложение, а потом удалить номер, но зачем они так сделали непонятно.
Moskus
07.10.2022 04:21Понятно, зачем. Потому что телефонный номер - часть второго фактора, которую обычному человеку сложно потерять или как-то "повредить". Чего не скажешь о ситуации единственного токена или приложения.
Moskus
07.10.2022 04:15Не знаю, откуда берутся все эти люди, которые вечно пытаются какой-то пропагандой загнать всех к счастью, желательно - силами правительства или корпораций. А потом (иногда даже те же самые) люди удивляются, откуда берётся кибер-гулаг и почему в правительстве одни и те же авторитарные рожи десятилетиями.
Между тем, например, есть исследования, которые показывают, что подростки часто совмещают вполне хорошее знание правил информационной безопасности с полным пренебрежением этими правилами. Считая, что это ни для чего не нужно.
Так что, вероятно, десять процентов - это те, кто в состоянии осознать, для чего это, а потому это для них также очевидно, как замок на двери (выбор которого, к слову, тоже нетривиален и часто ведёт к "театру безопасности"). А остальным до этого нужно дорасти.
Didimus
06.10.2022 11:57+10Потому что взлом Гмэйла практически ничего не дает у 90% населения. В большинстве случаев это пустой профиль для активации андроида.
LLORD
06.10.2022 12:37Гуглу двухфакторка особо не нужна, т.к. при первой попытке входа с незнакомого устройства Гугл требует подтверждения в телефоне.
Ну и опять же, как эта двухфакторка реализована. Я ей пользуюсь для ВК, решил добавить в Яндекс-ключ Яндекс-почту, по результату у меня сгенерированный пароль не подходит для авторизации, долго бился и в итоге через сброс паролей восстанавливал доступ, указывая д.р., телефон, резервную почту, любимую учительницу и пр.
Dolios
06.10.2022 14:21+10Компотик в голове у тех, кто завязал вообще все на смс, при том, что симку может перевыпустить любая Маринка в Зажопинске.
ildarin
08.10.2022 01:14у меня в голове банальная мысль о том, что если мои данные у кого-то есть - их передача третьим лицам лишь вопрос времени. майор ли сотрудник мфц ли - но факт в том, что я не знаю внутренней кухни системы, оттого не то что не могу никак повлиять - даже и предположить не могу в каком точно виде и качестве эта услуга предоставляется. всё, что есть - знание о том, что люди в 95% стараются творить пользу, а не целенаправленно гадить (животный инстинкт тяги к социальной значимости).
двухфакторная аутентификация была отключена для удобства
может не компотик - может просто паранойи нет у человека? или ему допи*ды на косяки третьих лиц, ведь это их косяк - утечки и уязвимость системы, не?
беда не в том, что человек не хочет тратить время на лишние телодвижения; а в том, что системы правозащитные не защищают достаточным образом; что не обсуждаются открыто эти проблемы; что никто не обращает внимание на это. Зато вместо этого вешают еще один замок на свою дверь.
krrrrr
06.10.2022 09:17+4Потрясающая операция ради 15 тыс. рублей...
Мельчают жулики.
hw_store
06.10.2022 11:01+2У них не много свободы выбора - сидеть анализировать содержимое аккаунтов, или просто сидеть
YMA
06.10.2022 11:08Плюс, возможно, там работают не руками - после получения доступа к госуслугам на аккаунт натравливается бот, выполняющий типовые действия по открытию счетов, получению доступа к налоговой, подаче заявок и т.д.
Интересно в истории то, что при смене симки злыдни сразу получили пароль, у операторов сейчас после выдачи новой SIM/eSIM на сутки блокируются входящие СМС, а на старую сим уходит оповещение о начале процесса замены. Время на реакцию есть...
PS: Спасибо @mm3 за новость про TOTP, надо будет подключить... Посоветуете хорошее приложение TOTP для iOS, а то начал смотреть в аппсторе - почти все что-то хотят обо мне собирать или куда-то отправлять...
YMA
06.10.2022 13:29Отвечу сам себе - для iOS отдельное приложение не нужно, функционал TOTP есть в системе "из коробки" - заходим в Настройки - Пароли - заводим учетку для gosuslugi.ru, если её еще там нет.
Потом запрашиваем на госуслугах переход на ТОТР, и показываем камере QR-код (не в приложении Пароли), оно спрашивает - добавить пароль в учетку - добавляем и там появляется строчка Код проверки и обратный отсчет актуальности кода (из забавностей - на скриншот код не попадает ;) ).
aMster1
06.10.2022 18:09А на андроиде такое не работает?
В смысле без сторонних приложений?
serginhold
07.10.2022 11:44типа есть какая-то разница между отдельным Google Authenticator и им же, сразу встроенным в систему ?)
но из коробки нет, т.к. на android производители делают что хотят с прошивками, соответственно зависит от прошивки и производителя, может у кого-то и есть
marcbook
06.10.2022 09:33+8Может, не совсем по теме, но вдруг кто не знал:
1) Чтобы злоумышленник не смог восстановить вашу сим-карту по доверенности, и с ее помощью увести все ваши учетки, можно заранее у своего оператора связи оформить запрет на любые действия с сим-картой по доверенности. После этого для подобных операций (в теории) потребуется личное присутствие человека, на которого оформлена симка.
2) С 1-го октября нынешнего года можно подать в банк заявление о запрете на различные действия от своего имени, такие как: онлайн-переводы, онлайн-кредитование, и т.д., либо об установлении лимита на такие операции.
Механизм, насколько я понял (могу ошибаться), работает пока по-тупому: в каждый банк нужно подавать отдельное заявление. Но это уже движение в правильном направлении!
Была идея об установлении такого запрета в БКИ (т.е. в одном месте), чтобы различные банки сами проверяли его наличие/отсутствия перед выдачей кредита, но почему-то пока так не сделали. Сейчас же получается такая ситуация: в девять банков вы подадите заявление о запрете, а мошенники без проблем оформят на вас кредит в десятом банке. В общем, есть еще над чем поработать.
3) В Росреестре можно установить запрет на продажу недвижимости с использованием ЭЦП без личного участия собственника (т.е. через Госуслуги).Anvano
06.10.2022 10:39+12Вот почему у нас в государстве всё через одно место устроено.
У меня есть полная уверенность, что всё должно работать абсолютно в обратную сторону.
Т.е. я должен не бегать и везде подавать лично заявления на запрет тех или иных действий, а наоборот ЕСЛИ МНЕ НАДО - то должен прийти и подать заявление на ВКЛЮЧЕНИЕ возможности таких действий.
А по умолчанию, без такого заявления - вообще ничего не должно быть доступно.
Тем кому это реально требуется - оторвут один раз от дивана известное место и оформят ОДНОРАЗОВО! такое заявление и будут пользоваться всеми благами онлайн кредитов и продажи своей квартиры через сайт.
А моей бабушке - это точно не надо и никогда уже не понадобится, так зачем ей бегать по всем инстанциям и везде "запреты" ставить?
barmaley81
06.10.2022 11:13+1В большинстве других стран вам именно помешать придётся и в очередях постоять и нервов помотать во много раз больше.
То что в госуслугах есть косяки - очевидно, этим такие посты и хороши что подсвечивают их. Постепенно и тут поправят. Сделают единый запрет.
w0lf
06.10.2022 10:48+7У вас немного устаревшая информация. 13 Августа 2019 действует 286-ФЗ, регулирующий порядок применения усиленной квалифицированной электронной подписи (УКЭП) при проведении сделок с недвижимостью. Новые правила и поправки устанавливают возможность проведения таких сделок только с письменного согласия владельца недвижимости.
gravity
06.10.2022 16:51П.1 работает, но не совсем так, как кажется. Я написал заявление, принёс в салон МТС, всё нормально приняли. Но вслед сказали "Вы же в курсе, что оно действует ТОЛЬКО в том салоне, где вы его оставили?". Москва, МТС, 21 г.
klounader
06.10.2022 09:46+1Тут имеет смысл прикинуться белым хакером и выручить бабла
habr.com/ru/news/t/691626PowerMetall
06.10.2022 13:53+1Тут имеет смысл прикинуться белым хакером и выручить бабла
А что тут "хакерского" то?
Чел не включил двухфакторку, его пароль попал в открытый доступ, злоумышленники решили поиметь. Собственно "хакерства" не вижу ))klounader
06.10.2022 17:14ну как, очевидно же, что нужно убрать возможность отключения двухфакторок и уведомлений с смсками как минимум. принять в правило возможность привязки аккаунтов к железу. запретить по умолчанию использование аккаунта по доверенностям. а при манипуляциях с данными или разрешению к аккаунту всяким мтс-банкам необходимо будет набрать секретное слово, чтобы удостовериться, что железо не краденое. можно также скрывать часть отображаемых данных без этого слова. и можно выдавать данные по отдельности, а не целым скопом. можно добавить второе слово, которое включает режим тревоги, но по ощущениям ведёт себя естественно, чтобы владельца аккаунта не успели убить раньше, чем до него доберётся группа быстрого реагирования в стране розовых пони. А пока что так и будут красть аккаунты и вытворять там всё, что душе угодно все, кому не лень.
p07a1330
06.10.2022 22:02Чет хакер с солонской вспомнислдя
Moskus
06.10.2022 22:20+2Зря вспомнился, потому что в той истории речь об абсурдно сложных дополнительных мерах. Тогда как речь в этой ситуации о том, чтобы не допускать определенных комбинаций настроек и поведения системы. Это требование корректной, не исключающей саму себя логики взаимодействия существующих мер.
klounader
07.10.2022 20:36В случае со столовой, проблема в том, что соль стырят или нагадят в неё один из миллиарда посетителей столовой, и то, чаще всего не нарочно (будучи в неадекватном состоянии или по случайности) и тот самый хакер (который тоже, похоже, этой соли объелся). В случае же с ПД — их расхватывают как горячие пирожки, будто это женская баня с множественными отверстиями наружу по всему периметру. А уже через полчаса всем этим дамам начинают названивать производители принадлежностей по уходу за телом и различные клиники всех фронтов, вплоть до персональных скидок на 100% излечение от геморроя. Это в лучшем случае. В худшем, ещё и подслушают, кто с кем у кого на этот раз переночевал и будут шантажировать этим.
Так что, затыкание дыр в бане является оплотом информационной безопасности девок, а затыкание дыр в солонке является геморроем для всех посетителей и сотрудников столовой.
Чтобы решить проблему приватности персональных данных и подглядывания за девками в бане — нужно их обесценить до уровня соли. Разрешить бабам шляться где угодно и как угодно голышом, а персональными данными позволить пользоваться всем кому не лень на законодательном уровне прям в открытую кем угодно и как угодно. Тогда не придётся городить все эти мегатонны систем доступа к системам доступа с системами доступа, ведь у всех в профиле будет написано, что в Химках его видали.inkelyad
07.10.2022 21:04нужно их обесценить до уровня соли
Не получится. Во всяком случае сразу. Потому что они используются, чтобы уболтать цель, которая почему-то думает, что если кто-то знает номер карты(пороть платежные сети за то, что этот номер надо охранять), паспорта, какие-то 'секретные' данные - то он из банка.
Кроме разрешения нужно будет еще старательно в СМИ долго и старательно объяснять, что вот эти данны - все, кому хоть сколько-то интересно, знает, и знание этих данных ничего не означает.
klounader
08.10.2022 00:04Ну когда изобрели соль, за неё тоже сначала дрались и учились добывать и изготавливать. Она была сродни золоту, за которое до сих пор дерутся. А потом научились добывать её в таких масштабах, что она есть на каждом столе практически всегда, стоит недорого и достать её не составляет особого труда. Это дело времени и отношения к объекту, в т.ч. если это информация.
Другое дело, что просто так вот так с бухты барахты выпускать такого зверя — это жесть без необходимой законодательной базы и неотвратимой ответственности за несанкционированное использование этой информацией с помощью наживы. Пока мошенники будут анонимными и безнаказанными, то дичь с пд будет продолжаться независимо от того, текут пд или не текут. А течь они будут всегда. Все дырки не перекроешь — новые проковыряют.
Moskus
08.10.2022 08:41+1Проблема с тем, что ПД используются для повышения привилегий при мошенничестве - есть, но она (пусть не в каждом случае, потому что некоторые люди слишком эмоциональны) имеет конкретное простое решение для индивидуума прямо сейчас.
А вот проблема с тем, что определенные комбинации ПД позволяют злоумышленнику совершать действия от имени индивидуума без всякого участия этого индивидуума, конкретного решения сейчас не имеет.
vvalnik
06.10.2022 10:04+36Дополню вашу историю своей. Чтобы стало еще страшнее.
Недавно я получил по электронной почте уведомление о входе в мой личный кабинет Госуслуг. Удивился, поскольку не входил. Удивился еще больше вспомнив, что у меня настроена двухфакторная аутентификация, а смс с кодом в этот раз не приходило.
Попытался авторизоваться — не получилось. Мой пароль был изменен злоумышленником.
С помощью процедуры восстановления пароля вернул себе доступ к личному кабинету.
Стал разбираться. Открыл в профиле раздел «Безопасность / Действия в системе». Там увидел запись о «восстановлении пароля в результате личного обращения». После которой обнаружил записи об успешной авторизации неизвестных лиц.
Обнаружил также, что двухфакторная аутентификация была просто выключена в процессе этого «восстановления пароля в результате личного обращения». Без каких-либо уведомлений-оповещений.
Обратился в техподдержку Госуслуг. Началась долгая переписка. Техподдержка очень не хотела разбираться с проблемой и несколько раз пыталась закрыть мое обращение. Проявил настойчивость и заставил работать. В результате они нашли злоумышленника. Им оказался работник клиентской службы провинциального отделения ПФ РФ.
Потом мне звонил руководитель этого отделения и уговаривал меня написать заявление, будто бы я сам обратился к ним для восстановления пароля. Объяснял это тем, что злоумышленник — очень ценный сотрудник, и они очень хотят спустить эту историю на тормозах. Вежливо послал его по известному адресу.
Однако мои наивные надежды, что сотрудники Госуслуг инициируют служебное расследование и накажут злоумышленника быстро разбились о суровую реальность глубокого пофигизма этих самых сотрудников. Видимо, они не посчитали этот инцидент заслуживающим внимания.
Мотивацию злоумышленника предполагаю, но не уверен.
В сухом остатке имеем следующее:
Сотрудник провинциальной клиентской службы может запросто сбросить ваш пароль одновременно выключив двухфакторную аутентификацию. Потом спокойно авторизоваться в вашем ЛК и сделать все, что ему нужно. И, главное, ему потом за это ничего не будет, если он дружит со своим начальством.
Интересно, сколько стоит сегодня на рынке предоставление доступа к чужим учетным записям через ЕСИА по описанному выше алгоритму…DurRandir
06.10.2022 10:54+14Ну так раз вы не написали заявление в полицию — они все сделали правильно, со своей точки зрения.
YMA
06.10.2022 11:12+9+1, где-нибудь в какой-нибудь Германии бюргер всяко бы не поленился сходить в полицию и подать заявление о преступлении. Нельзя это так оставлять.
PS: Вот поэтому они живут так, а мы... по другому.
JBird
06.10.2022 12:08+5Ну, у них тоже не все гладко с работой копов:
У знакомого в известном привокзальном районе кошель вытянули, там не много было, позвонил в полицию - получил ответ на понятном языке "нех.. было шастать"
https://t.me/mein_frankfurt/160294Нам заднее стекло ночью, наверное, ради прикола какая-то пьянь на парковке разбила, больше двух лет прошло, до сих пор ждём письмо с протоколом и номером дела ???? уже и не дождёмся, скорее всего. Отлично работают)
https://t.me/mein_frankfurt/160300Хотя, по нарушению DSGV, думаю, что работать подорвутся как ужаленные - все-таки, покушение на священную корову Германии.
vvalnik
06.10.2022 11:37+7Обращение в полицию по частному случаю никак не решит системную проблему небезопасности доступа через ЕСИА.
Подавляющее большинство людей в таких случаях даже не понимают, что случилось. Просто идут в ближайший МФЦ, восстанавливают доступ, и спокойно живут дальше. И логи в разделе «Безопасность / Действия в системе» никогда не смотрят.
Усугубляет ситуацию проблема межведомственности. Фактически ЕСИА раздает большому и неопределенному кругу лиц административный доступ, позволяющий сбрасывать пароли и получать доступ к чужим учетным записям. И эти лица формально никак не связаны ни с порталом Госуслуг, ни с ЕСИА (работают в других организациях). В результате техподдержка Госуслуг считает эту проблему не своей, а проблемой смежников. И не хочет ей заниматься.
eugeny54
06.10.2022 13:29+4Можно попробовать обратиться напрямую к ответственным за ИБ в Госуслугах. Контакт есть по ссылке https://www.gosuslugi.ru/security.txt
2n2222
06.10.2022 16:26+3В результате они нашли злоумышленника. Им оказался работник клиентской службы провинциального отделения ПФ РФ.
Подозреваемого, злоумышленником его может признать только суд. Вот эти погони полиции за угнанными автомобилями в штатах, угонщики в движении стреляют по полиции, а все рано комментатор с вертоллета их называет "suspect".
Насчет ПФ РФ, зашел туда пару лет назад с знакомым начать оформлять ему пенсию, передаем в окошко документы, через некоторое время дают бумажку и говорят - напишите свой пароль от госуслуг, таким обыденным рутинным голосом говорят. Спрашиваем - зачем? Говорят заявление от вашего имени запустить на пенсию, говорим - так ведь запустили же уже не так давно, отвечают - немного рано запустили, надо не раньше такого-то срока. Сказали - сами перезапустим с домашнего PC. Спрашиваю негромко - голосование, что-ли? Без ответа, естесственно, но на физиономии характерная ухмылка.
LLORD
06.10.2022 19:21Поучительно. Взял на заметку.
Про звонок руководителя. Звонивший документы же не показывал, так что скорее всего звонил или сам "умник", или кто-то по его просьбе.
vvalnik
06.10.2022 21:37Добавлю подробностей:
Попытки переговоров были несколько раз. Руководитель клиентской службы был не очень компетентен в вопросах ИБ, и передал дальнейшее общение со мной в региональное отделение ПФ. Там я общался по этому инциденту уже с двумя сотрудниками, в том числе с начальником отдела ИБ регионального отделения ПФ. И одному из них звонил сам по его рабочему (не мобильному) номеру, который пробивается. Кроме того, была переписка по эл.почте — тоже с официальных адресов.
Меня больше всего поразило, когда начальник отдела ИБ тоже пытался эту историю спустить на тормозах и замять. Объяснял это тем, что в этом населенном пункте большая проблема с квалифицированными кадрами, и «кто же там тогда работать будет».
DmitryKuzmenko
06.10.2022 22:17+1я недавно регистрировался в ЕИС, для участия в торгах на РТС. После регистрации автоматически моя "идентификация" рассылается по куче бирж (приходит туча емэйлов от них с предложением участвовать, штук 20). И буквально через 2 дня мне звонит мошенник (полиция, ЦБ выявил, и прочее), который при разговоре на повышенных тонах сообщил мне даже мой домашний адрес.
Так что сливают всё целиком и полностью. Я написал в ЕИС, они тоже развели руками.
myhambr
07.10.2022 15:25Что в итоге этот сотрудник сделал в ГУ, или ничего не успел ?
Кредиты в мфц не успел набрать ?
За ЕР не проголосовал ? https://www.kommersant.ru/doc/4839799vvalnik
07.10.2022 15:51Судя по логам, в моем конкретном случае он просто ничего не успел. Из-за того, что я оперативно отреагировал.
Chuchelomedvedya
06.10.2022 10:04Что может сделать злоумышленник, зная мой пароль от госуслуг? Запросить смс код двухфакторной аутентификации)
tvr
06.10.2022 10:37+3Полезное.
Включил двухфакторку и уведомление на почту о входах, спасибо за алерт!
AlexanderS
06.10.2022 10:50+1Единый доступ — это зло. Я не понимаю людей, которые придумывая какие-нибудь 20-символьные пароли пользуются им потом везде! То же относится и к авторизации, и к ключам… Либо по безопасности параноить (везде разные пароли, разные ящики), либо упрощать себе жизнь и не париться, но адекватно воспринимать риски и потом не унывать.
А двухфакторка по СМС — это вообще аншлаг. Есть же нормальный ТОТР. Я на госуслуги раз в год пишу заявки когда уже появится такой способ верификации)wtigga
06.10.2022 11:13+11Уже появился.
AlexanderS
06.10.2022 12:56+3Вот редиски! А отписывались, что сообщат когда сделают)
Большое спасибо за эту хорошую новость! Теперь бы ещё в банках…
Dolios
06.10.2022 14:34А как эти коды получать?
Aelliari
06.10.2022 15:07Самое простое - приложение-генератор кодов на вашем андроид Кирове ю устройстве. Если iOS - функционал встроен в "паролях"
Dolios
06.10.2022 15:11Ну так я и спросил, что за приложение-генератор? Как госуслуги поймут, что код сгенерировал я, а не мошенник?
Aelliari
06.10.2022 15:16+2Этих генераторов - тысячи, некоторые - откровенное зло. При большом желании можно и "аппаратный" генератор сообразить
Сайт генерирует токен, этот токен добавляется в приложение-генератор, генератор меняет код по времени (если TOTP) или по кнопке в случае HOTP. Сайт помнит про твой токен и имеет возможность при запросе аутентификации сгенерировать код самостоятельно, а после сверить с тем что пришло от тебя. Важно правильно настроенное время как на устройстве, так и на сервере. Мошеннику же, в штатном режиме этот токен взять просто не от куда. Бонусом, код можно сгенерировать без интернета, и нет привязки к смс
Dolios
06.10.2022 15:43Спасибо за ликбез. А под андроид можете такой генератор посоветовать?
inkelyad
06.10.2022 16:11Aegis Authenticator неплох. В Google Play он тоже, насколько я помню, был. Ну или можно список других в этом описании посмотреть.
AlexanderS
07.10.2022 12:51+1При большом желании можно и «аппаратный» генератор сообразить
В современный «аппаратный» генератор можно превратить самый дешёвый смартфон с затёртой прошивкой радиомодуля и установленным andOTP)
inkelyad
06.10.2022 15:26+4Как госуслуги поймут, что код сгенерировал я, а не мошенник?
Генерация происходит на основании 'затравки' которую знает сайт и твое устройство. Подразумевается, что у мошенника ни устройства, ни, соответственно, затравки нет.
Из этого следует, кстати, что ходить на сайт, набирать на нем логин-пароль и держать генератор с затравкой надо на разных устройствах. Причем то, что с генератором - хорошо бы чтобы было полностью оффлайновым.
inkelyad
06.10.2022 15:48+5Вообще... тут проблема. Если у сайта утекают логин/пароли, то с тем же успехом одновременно утечет seed для этого TOTP, после чего злодей так же успешно, как пароль, сгенерирует и ведет и код.
wtigga
06.10.2022 15:51Пароли отдельных людей утекают на порядки чаще, чем нешифрованные пароли и seed у сайтов. Если сайт взломали и украли всё, то тут пользователь бессилен.
inkelyad
06.10.2022 16:07В контексте аутентификации это не совсем так. Насколько я понимаю, в том же WebAuthn, даже если у сайта украдут всю базу ключевой информации - то притвориться пользователем злодей не сможет. Потому что для этого нужны приватные ключи, а они только у пользователей в их устройствах есть.
На самом деле оно возможно уже давным-давно -- нужно просто требовать взаимной авторизации в https. Но вот этот способ ну оооочень не популярен.
Aelliari
06.10.2022 11:17Пользуясь случаем, там у cloudflare акция совместно с yubico. U2f токены по 10$-штука. Вопрос оплаты и доставки - это уже не ко мне
Firelander
06.10.2022 12:05А что ситуация с поддержкой улучшилась? А то покупал токен пару лет назад, так и валяется без дела. Даже в самых крупных сервисах не так много где есть поддержка, а там где есть нет 1f passwordless
Aelliari
06.10.2022 12:38Вроде как логин в винду сейчас из коробки можно повесить на токен, у самых крупных IT - не редко можно, но чаще только как второй фактор (без passworless auth), у софта - все не очень. У такого монстра, как Oracle - нет, но вроде как туда можно свою SSO проволочь...
izh-vii
06.10.2022 12:28+4Статья, мотивирующая пользователей включать двухфакторную аутентификацию должна выглядеть именно так.
Со мной сработало, включил.
GTK87
06.10.2022 12:28Даже я, далёкий от IT человек, никогда не упускаю возможность включить двухфакторку, тем более упаси господь спецом её выключать, тем более на госуслугах. Так что ваш пост может и не жалоба, но констатация тупости вашего друга.
HappyGroundhog
06.10.2022 12:35+2Самое интересное, что в «документе раз» прямо в заголовке
«оказание медЕцинских услуг».
Хотя кого это нынче удивляет…
Rad_66
06.10.2022 13:57+3С таким же успехом завтра на вас могут повесить любой кредит _
хотя вы не были в банке
как показывает практика когда это на до не ВАМ а БАНКУ то вам его легко дадут даже без посещения )) но когда кредит будет нужен ВАМ то вы приползете с паспортом в зубах и его не получите)
это реалии сегодняшнего отношения к людям Мы всего лишь мусор из которого выжимают деньги)
ipswitch
06.10.2022 14:49+15Обратите внимание на номер "счёта" в "декларации":
40914810...
Это НЕ банковский счёт физического лица!!! Счета физических лиц резидентов РФ в рублях всегда будет 40817810, счета нерезидентов РФ в рублях - 40820810...
Это "электронный кошелёк" или иной структурированный счёт (не является банковским счётом, деньги не застрахованы АСВ).
Смотрим в план счетов и видим - 40914 - "Средства для осуществления переводов (возврата остатков) электронных денежных средств физических лиц".
Таким образом, злоумышленник создал не банковский счёт, а кошелёк "МТС.Деньги". Неудивительно, что налоговая не стала на такой счёт платить.
Насколько мне известно, там требовался чётко и ясно счёт физического лица 40817810, а попросить налоговую загнать возврат на всратый электронный кошель... Это мм... круче было бы только "залей на киви".Ну и безопасность всех этих "кошельков" куда слабее, т.к. они не подчиняются нормам, которые должны соблюдать банки для идентификации клиентов при открытии счетов.
Как в рекламе - никотин-то "электронный", а одышка самая настоящая.
Antra
06.10.2022 15:53В свое время я через госулуги мог действительно авторизоваться на nalog.ru, посмотреть и, возможно, даже оплатить налоги. Но вот инициировать получение вычета было невозможно. Требовалось ножками прийти в налоговую и там получить полный доступ и специальный пароль.
Не уверен, но вроде и не так давно после перекидывания с Госулуг на nalog.ru я не все возможности получил. Пришлось именно на nalog.ru их паролем авторизоваться для расширенного доступа.
Теперь что, полный доступ, даже перевыпуск сертификата, гуляй рванина?
miarh
06.10.2022 16:27+1Получал вычет в этом году. Попросили цифровую подпись (была). Что было б, если б не было - хз. Но знаю, что знакомые уже давно ногами за вычетом не ходят, они мне и сказали - госуслуги ж... :)
ipswitch
06.10.2022 19:37Да, именно так. Никакой отдельный пароль или ЭЦП не требуется если на ЕСИА полный профиль. ЕСИА первична сейчас по отношению ко всему остальному кроме квалифицированной ЭЦП физ.лица (не квази ЭЦП в налоговой, а та что по ГОСТу от удостоверяющего центра)
KivApple
06.10.2022 20:01Весьма оригинальная схема. И ведь владелец аккаунта может вообще ничего не заметить, если только сам захочет в этом же году получить вычет (но многие люди ими редко пользуются) и упрётся в лимит, либо к нему полиция придёт (если налоговая всё же поймёт, что документы ненастоящие). То есть высокая вероятность, что никто никогда ничего не узнает, а злоумышленники получат деньги.
laatoo
06.10.2022 20:27-2потерял телефон - потерял доступы, пушто твой vendorname Authenticator не умеет в бэкапы.
развлекайтесь, параноики :)aborouhin
06.10.2022 22:01+1Authy вполне себе умеет. Плюс есть десктопная версия, что (а) удобнее, если логинишься с компа и (б) само по себе дополнительный бэкап.
aborouhin
06.10.2022 21:46одной глубокой ночью злоумышленник входит в Госуслуги, снимает галочки об уведомлениях о входе и действиях в личном кабинете
Но ведь одно уведомление о первичном входе непонятно откуда глубокой ночью пришло? А последующие действия, судя по скриншотам, продолжались уже днём, и не одним. Так что знакомый проявил ещё досадную невнимательность к этому звоночку...
KrasikovK
06.10.2022 22:55+1Насколько мне известно, при подаче заявления на вычет обязательно среди документов должен быть чек, и его подделать не получится, в отличие от договоров, т.к. он должен биться по базе налоговой. Собственно, это и есть подтверждение оплаты услуги, без которого вычет не положен. Среди подаваемых документов там случайно чека или чего-то похожего не было?
svr_91
07.10.2022 08:25+1Пересмотрел документы, которые помогал делать маме для вычета, и почти нигде нет чека. В 90% случаев только какая-то справка об оплате услуг с вписанной руками суммой
Viduity
07.10.2022 11:21+1Не обязательно. Я уже несколько раз подавал без чеков. Достаточно справки с печатью.
vlivyur
07.10.2022 13:43Справку об оказанных услугах, лицензию и договор-всё остальное можно не прикреплять.Даже в бумажном виде не обязательно их иметь, достаточно скана или фотографии
Viduity
07.10.2022 11:41+3Включение усиленной аутентификации было на iOS, Firefox, а написано Safari
Вход в систему был с Linux, Firefox, а написано - и какой-то EVENTS.USER_LOGIN_TYPES.UNKNOWN
И так далее.
При изменении номера телефона и сбросе пароля через онлайн банк нет никакой записи в Безопасности и не приходит на почту ничего. Это очень плохо.
Aelliari
07.10.2022 14:05+1"Включение усиленной аутентификации было на iOS, Firefox, а написано Safari"
Там все равно движок от safari, эпл других не пускает, видно где-то кто-то натупил с user-agent, если ios вообще позволяет его менять.
Daddy_Cool
Очень интересно!
открытие счёта без ведома владельца паспорта этого счёта - совсем интересно.
Можно ли в МТС-банке открыть счет дистанционно, как в Тинькове?
https://www.mtsbank.ru/chastnim-licam/vkladi/mts-schet/
Дистанционно можно, но карту надо получать в офисе. А туда надо с паспортом. Значит есть сотрудник банка который кому-то выдал карту. Значит можно спросить - когда выдал, и что на камерах.
Вполне так детективная история!
Tr_1986
Вот прямо 10 секунд назад случайно открыл себе счёт через ГУ в Почта Банке. Заходишь в ГИС ЖКХ, пытаешься оплатить любую квитанцию по реквизитам, предлагает оплату с комиссией в 50 рублей в любом банке и 0 рублей в волшебном "Виртуальном кошельке". Дай, думаю, проверю ,что за вирт. кошель. Нажимаю и проваливаюсь в предложение заполнить тучу ПДН для открытия счёта в Почта Банке. Нажимаю единственную кнопку "Я ленивая жопа - возьми всё из Госуслуг", аппрувлю доступ и вуаля, через пару минут счёт готов. Никакой двухфакторки даже нет. Если есть доступ к ГУ, значит есть доступ к созданию счёта в Почта Банке.
Tachyon
С такими косяками в безопасности, что описаны в статье и у вас в комментарии это уже не ГУ , а УГ какое-то
PowerMetall
- "У нас дыры в безопасности!"
- "Ну, хоть что-то у нас в безопасности..."
osj
3 раза пытался используя ГУ открыть в Почта Банке виртуальную карту в разный период, так счета и карта и не открылись) Используя офф приложения ПБ.
Tr_1986
Так попробуй через ГИС ЖКХ, если такая задача стоит.
gremlin244
Я делал там виртуалку, но она без личной явки какая-то очень кастрированная по возможностям получается. Мне тогда надо было карту которую можно на вывод с payoneer поставить (ох, какое прекрасное время было когда он работал со всеми российскими банками), и вот ее вкорячить не вышло, ибо карта как бы есть, но счета нет.
hw_store
у меня, например, есть счёт (открытый, правда, в офисе банка с помощью операциониста), с которого я могу производить платежи (и переводы частным лицам) без всякой карты. Собственно говоря, я на карточных счетах обычно не держу больше двух-трёх тысяч рублей, с тех пор как с одной карты однажды исчезло три тыщи в уплату штрафа
llava
Приставы списывают со всех счетов. Сразу.
hw_store
Я не исключаю, что в каком-то банке такое возможно, зависит от внутренней политики банка. Но, например, деньги, доступные на кредитном счёте, принадлежат банку, а не вам. Не очень логично было бы, чтобы банк отдавал по запросу приставов свои деньги, а не ваши. Всё-таки не до такой степени госорганы между собой срослись. В моём случае списали 3000 рублей как только я положил на карточный (дебетовый) счёт сумму, превышающую это.
llava
У коллеги загнали в минус пустые карты. Но процент по ним банк не начислял.
gremlin244
Нет, не со всех. Обычно они атакуют только крупные банки, которые у всех на слуху, счет в каком-то мелком региональном банке вполне могут пропустить. Правда держать деньги в мелком банке свои риски, но это другая история. Алсо приставы не списывают с как бы банковских организаций которые не то чтобы банки, пример — Юmoney. По крайней мере у меня со счета там, и в одном мелком банке ни разу ничего не списывали, тогда как давно уже не используемую карту Альфа банка махом загоняют в овердрафт.
Tr_1986
Продолжать тестирование не буду, но там же можно онлайн оформить кредит О_О
LLORD
Сим-карта: покупаем карту саморега (или заказываем e-SIM) и регистрируем ее через "госключ", а "госключ" можно подключить, если есть доступ в Госуслуги. Физически карту можно не получать, т.к. есть доступ к онлайн-банку. А сумма возврата в 15000 рублей говорит о том, что в банке для более крупных сумм требуется дополнительная идентификация клиента.
spovst
Подозреваю, что сумма возврата там 15600 рублей. Это 13% от 120000 рублей - максимум, с которого можно получить налоговый вычет за один период.
rombell
(ошибся)
vlivyur
Но можно же сделать «высокотехнологичную операцию» и получить сверх тех 120тр
z00
Опять начинается любимая тема поиск крота, там где его нет. А зачем получать карту, если наверняка с этого счета можно пополнить какой-нибудь киви или номер телефона, и оттуда спокойно обналичить
dimnsk
а зачем пластик?
получить на карту и перевести на другую не нужен пластик