Я был достаточно неосмотрителен, чтобы эта история произошла со мной, но, возможно, достаточно технически грамотен, чтобы рассказать ее детали, сдерживая эмоции и понимая, что происходит, в отличии от большинства людей, оказавшихся в этой ситуации еще и с ощущением полного непонимания происходящего.
Когда появились госуслуги, на них не было автоматического информирования о входах в аккаунт с непривычного IP, не предлагалась двухфакторная аутентификация. Я создал пароль достаточно надежный - не использованный нигде ранее, и считал,что все отлично, не меняя его 5 лет. На портал заходил я редко, но авторизовывал через ЕСИА государственные сервисы. Госуслуги присылали рассылки на почту, а я был уверен, что при аутентификации с подозрительного IP или попытки брутфорса меня уведомят, а аккаунт заблокируют, ведь телефонный номер Госуслуги и так знают.
По-видимому, пароль от Госуслуг мне пришел в голову еще раз в качестве пароля от какого-то сайта, где я зарегистрировался с той же почтой, и с тех пор пара "почта-пароль" слилась в базы злоумышленников. Это все, что вам нужно знать о причинах произошедшего. Теперь о последствиях.
Утром 11 июля мне потребовалось авторизоваться на сайте Госуслуг, но "пользователь с таким email не зарегистрирован". Я набрал службу поддержки, назвал свой номер СНИЛС, а мне (не спрашивая всяких контрольных вопросов, что в моем случае было как раз хорошо) техподдержка заявила, что с этим номером СНИЛС аккаунт заведен 5 июля, почта и телефон там другие, а тот, в котором была ваша почта и телефон, удалены того же числа.
Была заведена заявка на техподдержку (удивительный ответ пришел позже и прочитать его вы сможете в конце статьи). Цель заявки - просто описать мне произошедшее, и по возможности выяснить, какие именно действия были предприняты еще в старом аккаунте (меня интересовало, авторизовались ли они через ЕСИА где-то еще, пытались ли создавать электронные подписи, брать кредиты именно под старым аккаунтом, так как в любом случае сам бы я увидел только историю нового аккаунта). Более того, оператор сказал, что в системе они не видят истории событий удаленных аккаунтов, а так бы с радостью рассказал бы, но, похоже, на том уровне, что есть у них доступ, такую историю им не видать.
Кроме того, оператором в аккаунте был перебит телефон и емейл на мои, мне пришла СМС подтверждения, и я смог зайти внутрь, полюбоваться на художества злоумышленников, прямо с телефона. Кроме того, я тут же подтвердил аккаунт через приложение Сбербанка. Расследование началось!
Первым делом обратил на себя внимание адрес регистрации, он был явно невозможный с точки зрения классификаторов адресов КЛАДР, даже удивительно, как удалось такой внести:
195009, г Санкт-Петербург, пл Ленина, д. 89, кв. 37. Поиски 89 дома на Площади Ленина в Петербурге у меня успехом не увенчались.
Затем я стал смотреть, что в моем аккаунте вообще осталось "моего", а что пропало навсегда. Первый беглый взгляда показал: исчезли внесенные в базу дети, но остались автомобили, остались выпущенные еще под тем моим аккаунтом электронные подписи, но исчезли обращения в госорганы вместе с их ответами (включая обращение в ГИМС, электронный отказ которого прямо сейчас у нас обжалуется в суде, к счастью, все документы и электронные подписи были выкачаны заранее). В общем, возникло ощущение, что то, что как-то внутри Госуслуг имело связь с емейлом или телефоном, оно здесь, а что было привязано к какому-то другому идентификатору, то пропало.
Поначалу мне даже показалось из-за этого неполного исчезновения, что все это последствие сбоя, невнимательной работы с БД на продакшене, а техподдержка в сговоре и пытается замести следы - я расчитывал, что пропадет уж все. Более того, я авторизовывался новым аккаунтам в ЕСИА в старые сайты, где уже были мои аккаунты ранее, тоже с авторизацией через ЕСИА, и там везде я попадал в свои же старые собственные аккаунты. То есть тоже, емейл был основным идентификатором? Короче, это оказалось довольно удобно.
Захожу в историю событий:
А вот история авторизаций:
11.07.2023
09:15:46
Самостоятельное восстановление пароля
176.59.114.231 Android, Chrome
05.07.2023
23:54:08
Вход в систему Профиль пользователя ЕСИА
Авторизация по номеру телефона. Личный кабинет физического лица
95.70.103.36 Windows, Edge
05.07.2023
23:54:03
Вход в систему Портал государственных услуг Российской Федерации
Авторизация по номеру телефона. Личный кабинет физического лица
95.70.103.36 Windows, Edge
05.07.2023
17:48:48
Выход из системы Портал государственных услуг Российской Федерации
95.70.103.36 –
05.07.2023
17:47:28
Изменение адреса электронной почты
95.70.103.36 Windows, Edge
05.07.2023
17:47:21
Вход в систему Профиль пользователя ЕСИА
95.70.103.36 –
05.07.2023
17:47:19
Вход в систему Портал государственных услуг Российской Федерации
95.70.103.36 –
05.07.2023
17:47:17
Из нее пока ничего такого интересного не следует. Принимаюсь читать о возможных последствиях угона УЗ Госуслуг, понимая, конечно, что основные интересности могли произойти со старой УЗ, к которой нет доступа. Новых электронных подписей нет, объекты недвижимости вроде пока все те же самые в списках имущества в приложении налоговой. Возникает идея проверить кредитную историю - в ней могут отражаться и взятые кредиты (как раз прошло 5 дней и все кредитные организации, включая микрокредитные, должны донести свою информацию о них), и запросы к кредитной истории от таких организаций.
Перехожу на сайт https://person.nbki.ru/ и нахожу там...
Во-первых, нахожу, что сам еще в 2022 году формировал отчет по своей кредитной истории, хотя напрочь не помню для чего и зачем это делал. Далее, в 5 июня был запрос рейтинга ПКИ теми самыми злоумышленниками.
Очевидно, это значение сподвигло их как-то попытаться проделать с аккаунтом то, что они проделали.
Формируем новый отчет кредитных историй и смотрим на предмет подозрительного.. А там:
Гуглим этот "Триумвират"... А там все отзывы примерно про мою ситуацию: https://banktop.ru/mfo/privetsosed/
Регина (Казань) | 12 июля 2023
Недостатки: Мошенники
Комментарий: Взламывают госуслуги, оформляют онлайн кредит, когда звонишь им то говорят что кредитов на твое имя у них нет. А в итоге висит просроченный долг. Удоды редкостные. Портят кредитную историю и ещё и должен остаёшься. Если кто‑то решил с ними вопрос положительно с свою сторону расскажите.
Михаил (Москва) | 02 июля 2023
Достоинства: Ничего
Недостатки: Мошенники
Комментарий: Украли данные паспорта после взлома гос услуг и взяли микрозайм. буду обращаться в суд.
Анонимно (самара) | 30 июня 2023
Достоинства: ничего
Недостатки: Твари ох....
Комментарий: В мае взломали госуслуги и, как оказалось, оформили микрозайм на сумму в 5000 рублей!! Я узнала об этом чисто случайно, из приложения сбера, когда увидела что у меня какой то левый кредит, который я не брала даже! Позвонила им, сообщила об этом, они суазали оформлять заявление в мвд, а потом направлять им на почту талон и само заявление. Будьте аккуратны и бдительны. Обязательно проверяйте кредитную историю раз в год.
Анонимно (Орел) | 28 июня 2023
Недостатки: Твари, мошенники! Крадут данные, оформляют кредиты на людей без их ведома.
Комментарий: Крадут данные, взламывают госуслуги, затем полностью удаляют кабинет госуслуг. Нет никаких данных, оформляют на людей кредиты без из ведома. Портят кредитную историю людям.
Анонимно (Санкт‑Петербург ) | 20 июня 2023
Достоинства: Ничего
Недостатки: Взломали через госууслуги, оформили мошейнеческий кредит, и это при условии что я был в командировки без какой либо связи
Ну пока подождем так кидаться с огульными обвинениями на организацию.
Становится понятно, что "работает мошеннический скрипт", который скорее всего использует Госуслуги для копирования данных, достаточных для заполнения формы заявки на микрокредит в сервисе микрокредитов "Привет, сосед" (это и есть ООО МКК Триумвират).
И вот именно тут-то мне и стало страшно. Оказывается, достаточно паспортных данных и правдоподобно заполненной формы, чтобы уже сделать первый шаг к получению микрокредита. Никакого очного предъявления личины к документам уже не нужно! Данные могут быть и не украдены с УЗ Госуслуг, а например, скопированы у кадровика в крупном предприятии. И вообще, мы привыкли думать, что собственно паспортные данные не шибко защищены, но что вообще можно такого сделать с ними, а оказывается можно. Получается, что для защиты от такого, особенно теперь, когда они точно у мошенников есть (хотя были и раньше, ведь звонили же с ними по телефону), паспорт надо менять также, как пароль, как истекший авторизационный токен. Но паспорт это не короткоживущий токен! У меня сейчас в работе несколько "оффлайн-транзакций", в ходе которых я не должен менять паспорт! Короче, ситуация ужасная, но выход из нее был только в том, чтобы подключить за 750 рублей отслеживание взятых кредитов в бюро кредитных историй, без понимания, что же все-таки правильно делать, если такое уведомление таки придет.
Но чтобы сделать это, пришлось еще через техподдержку удалить аккаунт НБКИ, потому что в нем были забиты данные мошенников (емейл) и сбросить их было нельзя. Вот кстати, их емейл. Остался там забит, можете написать пару ласковых... opodg@mailto.plus
Далее, понимая, что паспортные данные все равно скомпрометированы, завожу аккаунт с ними на "мой сосед" и пытаюсь взять тот же займ. С облегчением получаю отказ. Несмотря на рекламные "вероятность одобрения 90%" на этапе предзаполнения:
Далее, без особого доверия, конечно, к полученной информации, звонок в их техподдержку. Сообщаю без доказательств, что я это я, по их запросу, серию и последние три цифры паспорта, и устный ответ, что на ваш документ открытых кредитов нет, а в истории попыток - есть. Принимают заявление на письменный ответ на емейл в течение 12 дней.
Возможно, какой-то антифрод и срабатывает у "моего соседа", мол, зачем нужен микрокредит человеку с рейтингом ПКИ в районе 860, если он прямо сейчас платит "совсем не микро" кредит, и платит в срок и с досрочным гашением.
Наконец, точку с запятой в этой истории поставил ответ от Госуслуг с описанием их внутреннего расследования ситуации:
Уважаемый... җаным!
По обращению, зарегистрированному под номером INC000017615532, был проведен анализ, в ходе которого установлено, что 05.07.2023 года на ваше имя была зарегистрирована в Единой системе идентификации и аутентификации (далее - ЕСИА) учетная запись (далее - УЗ) и подтверждена в Центре обслуживания (далее – ЦО) – Янгильский сельсовет муниципального района Абзелиловский район Республики Башкортостан, адрес: Республика Башкортостан, Абзелиловский р-н, с. Янгельское, ул. Титова, 1
В настоящее время ЦО был заблокирован за недобросовестную работу.
Обращаем внимание, что Служба поддержки Портала не несет ответственности за деятельность ЦО.
Для получения дополнительных разъяснений вы можете обратиться в данный ЦО лично.
Предоставить информацию о более раннем состоянии УЗ не представляется возможным, поскольку УЗ была удалена.
В соответствии с 152 Федеральным законом от 27.07.2006 года "О персональных данных" из Единой системы идентификации и аутентификации удаляются все данные, прямо или косвенно относящиеся к пользователю, поэтому идентифицировать такую УЗ и предоставить по ней какую-либо информацию не представляется возможным.
УЗ могла быть удалена злоумышленниками после получения к ней доступа.
Также вы можете обратиться в отделение Министерства внутренних дел России (далее - МВД) со скриншотами событий в ЛК, для составления заявления.
Предоставление официального заключения, использующего в уголовном деле, происходит по запросу МВД или следствия.
Во избежание несанкционированных действий в УЗ со стороны третьих лиц, рекомендуем включить усиленную аутентификацию, а также задать контрольный вопрос.
Для включения усиленной аутентификации необходимо выполнить следующие действия:
Войдите в личный кабинет и нажмите на ваши ФИО в правом верхнем углу экрана.
В меню выберите пункт "Профиль", далее "Безопасность".
На открывшейся вкладке в разделе "Вход с подтверждением по SMS" нажмите на кнопку "Настроить".
Введите пароль и нажмите на кнопку "Включить".
При включенной усиленной аутентификации при каждом входе в систему по паролю вам будет отправляться sms-сообщение с кодом подтверждения, который необходимо вводить в специальное поле.
Обращаем внимание: при смене номера мобильного телефона происходит отправка кода подтверждения по старому номеру до тех пор, пока новый номер не будет подтвержден.
Задать контрольный вопрос вы можете в разделе "Профиль" в блоке "Безопасность", выбрав "Контрольный вопрос".
Придумайте контрольный вопрос, ответ на него, подтвердите действие паролем от личного кабинета и нажмите кнопку "Включить".
Дополнительно сообщаем: что все события сохраняются в разделе "Действия в системе" вашего личного кабинета. Перейдите по ссылке https://lk.gosuslugi.ru/settings/safety/events, на вкладке отобразятся все выполненные авторизации под вашей учётной записью.
Если вами замечена авторизация на сторонний сайт без вашего ведома, рекомендуем обратиться в службу поддержки этого сайта для уточнения совершенных на сайте действий.
Для сохранения истории взаимодействия при последующей переписке по данному запросу обязательно сохраняйте тему письма.
Благодарим за обращение на Портал госуслуг.
Анализ поступающих вопросов и предложений помогает нам улучшать работу Портала.
С уважением,
Служба поддержки Портала госуслуг
8(800)100-70-10
www.gosuslugi.ru (http://www.gosuslugi.ru/)
Особенно мне понравилась идея поехать лично разбираться с ЦО в Абзелиловский район и объяснение, почему нельзя иметь аудит данных и предоставить их мне же, хозяину удаленного аккаунта, ФЗ о защите персданных.
Я, разумеется, включил двухфакторку через СМС, добавил контрольный вопрос, удалил действующую электронную подпись, пережившую переход в другой аккаунт, так и не разобравшись, можно ли что-то с ней сделать, включил уведомления о входах на емейл.
Разработал свою систему удобозапоминаемых неподбираемых паролей, но она подходит только для татар. Берем фамилию классика татарской литературы, переводим имя на латинский алфавит, конвертим не-ASCII буквы в сочетания, добавляем год смерти. Получаем ghabdullatuqay1913, maecitghafuri1934, fatixaemirxan1926.
Сделал оргвыводы: если сайт знает ваш телефон и емейл, не значит, что в случае "странной" авторизации он уведомит вас сам. Следите за включенностью двухфакторной аутентификации и уведомлений.
Впечатление об организации Госуслуг: единая точка, куда сведено много всего, что делает удобным манипуляцию мошенника, но размазанная отвественность, что делает неудобным противодействие им.
Точка в истории еще не поставлена, и возможно не поставится даже после смены паспорта.
P.S. Если вам статья показалась полезной, и вы хотите отблагодарить автора, пропустите пожалуйста из песочницы эту статью: https://habr.com/ru/sandbox/85473/ Она моя же, но инвайт мне дали не за неё, так и осталась в песочнице, хотя вроде и полезна :)
Комментарии (157)
AWRDev
13.07.2023 08:49+5Слышал, что в Абзелиловском районе были случаи, когда ходят разные люди и под всякими предлогами пытаются сфоткать документы у людей, не знаю связаны ли эти ситуации, не интересовался
ifap
13.07.2023 08:49+15Следите за включенностью двухфакторной авторизации и уведомлений.
Какой в этом смысл, если всегда можно найти взаимопонимание в Янгильском сельсовете, что перекроет любую защиту?
Eljah Автор
13.07.2023 08:49+1ну чтобы затереть старое хотя бы не могли
kimisa
13.07.2023 08:49+1Уже писала на эту тему. Один профит - о смене вашего номера телефона на госуслугах вам по крайней мере придет смс на привязанный номер. А то, что номер могут сменить где-то в ЦО или в банке или еще где, от этого никто не застрахован. Даже если перепривязывамый новый номер привязан к другому аккаунту на госуслугах.
selivanov_pavel
13.07.2023 08:49+39Госуслуги умеют TOTP. Это куда лучше телефона, симка может быть подделана.
Пароли - только в парольном менеджере, случайные и разные для любых сайтов. Любой другой подход создаёт риски.
Didimus
13.07.2023 08:49-3Для мусорных сайтов, куда один раз зайди, можно и единый пароль использовать. И временную почту (кстати, мэйлра и Яндекс стали их предоставлять)
13werwolf13
13.07.2023 08:49+11проблема всё же немножко глубже. при заведении TOTP госуслуги не предоставляют коды восстановления, на мой вопрос "а что делать если утерян аутентификатор" (ну ведь и базу keepass можно потерять, и телефон утопить.. да мало ли..) мне было отвечено "прийдите в авторизованный центр обслуживания где вам отключат TOTP". Тоесть схема с "добазарился с девочкой в сельском ЦО" всё ещё остаётся рабочей даже при использовании TOTP.
kvk-2019
13.07.2023 08:49+2KeePass умеет TOTP тоже. У меня не вызвало проблем подключить и на телефоне - Яндекс Ключ, и на компе - KeePass, а у него общая облачная база с Keepass2Android, кстати, там предусмотрен отдельно ввод кодов TOTP через свою защищённую клавиатуру (наравне с обычными паролями - просто выбирается другое поле базы данных). Ну и, может быть вариант с биометрией на компе, кроме похода в МФЦ. Ну а база KeePass отдельно хранится по правилу 3-2-1, а кроме того та копия, что лежит на компе, также защищена "историей файлов" (на NAS), а также общим копированием содержимого всего компа по правилу 3-2-1. Я ещё не всё перечислил :)
ildarz
13.07.2023 08:49+4Дело не в том, что умеет или не умеет KeePass и сколько у вас копий паролей, а в том, что один гнилой сотрудник в произвольном ЦО делает все эти продвинутые схемы совершенно бесполезными.
kvk-2019
13.07.2023 08:49На это есть защита тоже: уведомление на почту о входе, периодические входы в приложение/на сайт. Когда узнал, как у нас изначально построена была система реагирования на инциденты в банках согласно законодательству, взял за правило не реже двух раз в сутки внимательно проверять состояние всех счетов во всех банках, выбрал банк, где счет, на который переводят пенсию автоматически застрахован. Так и с Госуслугами можно построить работу. Согласен, не удобно, но в выборе баланса между безопасностью и удобством я в данном случае сместил акцент на безопасность. Но у каждого своя предпочтительная точка [условно] между этими двумя полюсами.
lerrok
13.07.2023 08:49+2Только добавила электронную подпись, как мою учетку вскрыли. Всё, что успели сделать, это подать заявку на справку о трудовой деятельности. Кому это понадобилось - хз
wildfish
13.07.2023 08:49ну так учётка была с логином и паролем, которые уже использовались в других сервисах? (автор про это и писал - не надо так)
foxyrus
13.07.2023 08:49+17> Берем фамилию классика татарской литературы, переводим имя на латинский алфавит, конвертим не-ASCII буквы в сочетания, добавляем год смерти. Получаем ghabdullatuqay1913, maecitghafuri1934, fatixaemirxan1926.
То есть вы повторно наступаете на те же грабли, размещая в общем доступе алгоритм генерации своих паролей? Достаточно теперь обогатить слитые пароли сгенерированными по этому алгоритму и привет?
Eljah Автор
13.07.2023 08:49+12В этом предложении заложен скрытый и широко понятный в узких кругах сарказм ) Никто не знает, как правильно написать слово по-татарски латиницей из-за того, что вариантов транслитерации столько же, сколько пользователей )
berez
13.07.2023 08:49+4Сомневаюсь, что при всем разнообразии написаний тот же Габдулла Тукай даст хотя бы пару десятков вариантов. Даже если вы будете транслитерацию с междунарожного фонетического алфавита использовать - серамно не даст :)
Eljah Автор
13.07.2023 08:49Это если в одной системе будет один вариант передачи букв :) Представим, что у буквы есть 5 вариантов передачи, но система отсуствует настолько, что 5 вариантов передачи другой буквы не зависят от этих вариантов. Итого там что-то вроде 5^10 вариантов набегает, по числу букв, что неоднозначно передадутся в ascii ))))
Тукай тут конечно плохой пример, а вот M(a|ae|e|ea)(c|z|j|zh|dj|dzh)i(d|t) (G|gh)afuri уже неплохо так )
berez
13.07.2023 08:49+2M(a|ae|e|ea)(c|z|j|zh|dj|dzh)i(d|t) (G|gh)afuri уже неплохо так )
Считаем варианты:
(a|ae|e|ea) - 4 варианта
(c|z|j|zh|dj|dzh) - 6 вариантов
(d|t) - 2
(G|gh) - еще 2.
Итого имеем 4*6*2*2 = 96 вариантов.
А если взять пароль из двух случайных букв латинского алфавита, у нас уже будет 24*24 = 576 вариантов.
Vsevo10d
13.07.2023 08:49+18Каждый раз в подобных ситуациях говорю одно и то же.
Бессмысленно добавлять в алфавит пароля регистр, цифры, спецсимволы, иероглифы, свою мать, потому что это увеличивает основание степени. А вот увеличение показателя степени, то бишь длины пароля, усложняет пароль на порядки.
40^5 и 60^5 - это 1,024 * 10^8 и 7,776 * 10^8 вариантов.
40^5 и 40^7 - это 1,024 * 10^8 и 1,6 * 10^11 вариантов.
Значит, пароль Va$YaNy4 - хуже, чем habruzhenetort.
mixsture
13.07.2023 08:49+9Несомненно, но есть и обратная сторона. Когда длинные пароли — это предложения, то некорректно о них думать, как о случайном наборе символов. Это все же набор токенов (условно 2-4) из словаря в 5 тыс слов, может быть с небольшими морфологическими изменениями в окончаниях. А вот 5к ^ 2 это совсем не такая большая величина, как кажется, при взгляде на этот пароль с позиции случайных символов.
Vsevo10d
13.07.2023 08:49+1А вот 5к ^ 2 это совсем не такая большая величина, как кажется,
ага, всего 250 000, а вот 5000^4 - это уже 6,25*10^14. Выходит, пароль allthelonelypeople несильно хуже как набор слов, чем набор символов, а забыть его почти невозможно. Также словарь можно расширить не только английским языком, но и любым, записываемым латиницей, соответственно, для условно американского хакера словарно брутфорсить пароль whatawonderfulworld может оказаться проще, чем japierdole.
Didimus
13.07.2023 08:49Кроме 5 тыс слов ещё есть словоформы. А можно и специально неграмотно написать
K0styan
13.07.2023 08:49+1И транслит - с чего и началась эта ветка обсуждения)
В этом плане у тех, у кого нативная письменность не латинская, возможностей собрать надёжный и запоминающийся пароль - выше крыши.
mixsture
13.07.2023 08:49+1Мне не кажутся неграмотное написание или особенности транслитерации хорошими методами. Мы же пытаемся найти такие пароли, которые запоминать человеку легко, а компьютеру подобрать сложно.
Когда мы берем предложение — то в реальности не помним все слова, скорее помним некоторый набор смысловых векторов и еще несколько отличительных признаков. По ним мы и воссоздаем заново предложение. Мы на это тренировались десятилетиями в процессе жизни, изучая язык.
А вот специально вносить ошибки или кривой транслит — навык совсем не такой тренированный и поэтому сильно повышается сложность пароля для нас самих (скорее мы тренированы на обратное — на коррекцию ошибок). Вы скорее всего слова вспомните, а вот набор ошибок, который надо внести — забудете.
Ошибки — это по сути вторая система правил, конкурирующая с основной (смысловые предложения).Я бы подумал в сторону компромиса: можно вторую систему правил использовать как соль: на каждом сайте логин будет написан с какой-то ошибкой, и эта же ошибка будет присутствовать в пароле. Получим вобщем-то все преимущества соли: не выйдет использовать радужные таблицы, не выйдет сравнивать пароли между сайтами.
Moog_Prodigy
13.07.2023 08:49Иногда навык тренированный. См. Падонкаффский йазыг. А ведь есть и древние "языки" типа кирпичного языка. Такое сложно забыть, а коль и забыл - туториалы есть и справки все.
Я использую оба метода. Первый - это предложенный в статье, а вторая часть пароля - это смещение в определенном иррациональном числе. Но не "пи", но - подобное ему. Причем в первой части пароля определенным способом закодировано смещение и длина. Да, сложно, не особо человекочитаемо, но освобождает от запоминания второй части пароля, которая может быть длинной. Но есть метод попроще, где не надо знать константы до миллионной длины. Вот пример - brybakHrybakayvidit3izdaleka. Этот пароль составной, и привязан он к всем известной таблице ASCII. Но как же она работает, как это вообще понять? По фразе - она всем известна, можно вычленить лишние символы. Это bHy3. Каждый символ в таблице ascii - это определенный байт. Получаем 062 048 079 033. Но это в шестнадцатеричной системе. И это важно, потому что в ней есть алфавитные символы. Не буду утомлять: итоговый пароль выглядит как rybakrybakaviditizdaleka62487933. Он именно выводится "аналитически". Коряво? Не спорю. Но без знания алгоритма расшировки - затея сложная.А со знанием - в уме все делается.
Сам я использую систему кодирования посложнее, как раз на основе иррационального числа (ну возьмите пи тот же), кодирущие ( они же "мусорные") символы в начале слов в результате и дают смещение по числу, а общее количество символов в пароле - это длина блока данных от смещения. Поэтому пароли можно иметь как и короткие, так и до бесконечности. Без возможности перебора.
cliver
13.07.2023 08:49Бессмысленно добавлять в алфавит пароля регистр, цифры, спецсимволы, иероглифы, свою мать, потому что это увеличивает основание степени. А вот увеличение показателя степени, то бишь длины пароля, усложняет пароль на порядки.
Это действительно верно. Но сайты при регистрации требуют верхние регистры, цифры, и иногда спецсимволы. Поэтому с практической точики зрения это сделать хотелось бы, но не дают.
dimentiyinfo
13.07.2023 08:49Бессмысленно
В 2/3 случаев системы Требуют присутствия этих символов, так что ваш habruzhenetort тупо не сможет быть установлен.
Ghool
13.07.2023 08:49+2автор сказал, что разработал алгоритм, но не сказал, что использует этот алгоритм для ГУ :)
vesper-bot
13.07.2023 08:49Но он по логике мог попасть в используемый кем-то ещё алгоритм с другим списком замечательных людей и другими датами, и таки чьи-то пароли после этого попадут в глобальный словарь.
M_AJ
13.07.2023 08:49+1размещая в общем доступе алгоритм генерации своих паролей?
Этого мы знать не можем, возможно автор написал тут про классика татарской литературы, а сам в реальности использует имена классиков немецкой музыки, написанное русскими буквами в латинской раскладке, например bjufyy[hbpjcnjvdjkmaufyuntjabkvjwfhn
Leetc0deMonkey
13.07.2023 08:49+21Ох нунафиг уже эти информатизации и онлайн доступы. Лет 10 назад это было вау-вау. И как порядочный гик, был early adopter'ом всего этого, включая Госуслуги. А сейчас понимаешь что наступили времена, что всё что касается некопеек и документов, всё должно быть строго ножками и под собственноручную подпись. Теперь я early adopter возврата к бумажным договорам и справкам.
ifap
13.07.2023 08:49+17И то верно: оспаривать "бумажную" подделку, когда и если Вы о ней узнаете, дотопав ножками до соответствующего присутствия и отстояв многочасовую очередь, куда как интереснее...
Leetc0deMonkey
13.07.2023 08:49Тем не менее, практически гарантированно докажу.
ifap
13.07.2023 08:49+5Вы исходите из того, что суд назначит подчерковедческую экспертизу, которая с достаточной достоверностью покажет, что закорючку на, скажем, кредитном договоре ставили не Вы. Но также исходите из того, что тот же суд схавает в качестве "доказательства" распечатку лога якобы Ваших действий в системе ДБО, представленную той же МФО, что в противном случае представила бы поддельный кредитный договор. Хотя распечатка, в отличие от договора, вообще не является допустимым доказательством и суду следовало бы ее отклонить даже без оценки. Так может проблема в суде, а не информатизации?
Leetc0deMonkey
13.07.2023 08:49+3Начнём с того, что доказывать что закорючка не моя буду не я, а владелец поддельного [кредитного] договора. А он наверняка не совсем олень чтобы даже пытаться это делать. Проблема может и не в информатизации, но текущее законодательство выстроено так, что лучше держаться от этой информатизации подальше.
ifap
13.07.2023 08:49+3ПАО "Вымпелком", как по-Вашему, совсем олени или не совсем? А они дважды (!) представляли в ФАС поддельный договор со мной. Уже в первый раз не прокатило, но они снова представили подделку через какое-то время по другому делу.
AlexHighTower
13.07.2023 08:49+1ПАО "Вымпелком" — занятные очень…
на запрос следствия "чей номер" ответили что принадлежит компании в которой работаю (именно принадлежит, а не используется по договору), хотя по договору с ними этот номер не выделялся и вообще в коде другого города.
так же отказывались предоставить сведения о текущих договорах и указанных в них телефонных номерах.
а следствие пришло к нам, мол какого лешего вы совершаете мошеннические звонки и обманываете людей на сотни тысяч рублей...
MikeVentris
13.07.2023 08:49+1Ох, если бы это работало именно так! За последнее время аж трое родственников старшего поколения столкнулись с кредитами, взятыми на их паспорт, уж не знаю каким способом. В двух случаях оказались мелкие суммы в микро-помойках, которые проще было вернуть, чем оспорить, а вот третий был уже приличный и дело дошло до суда. Так вот, доказывать все-таки вынужден потерпевший и до вынесения решения суда, договор считается действительным и все платежи по нему нужно вносить. Можно, конечно, и не вносить, но в этом случае кредитный рейтинг пробьет дно и его отдельно нужно будет восстанавливать, полагаю, что с помощью отдельного обращения в суд.
Leetc0deMonkey
13.07.2023 08:49+7и все платежи по нему нужно вносить
Внося платежи вы априори соглашаетесь с правомерностью договора. После такого что-то потом доказывать будет крайне сложно. Равно как и нельзя просто игнорировать, мол ничего не знаю, ничего не подписывал.
MikeVentris
13.07.2023 08:49+3Именно. Получается просто офигенская ситуация: потерпевший не вносит платежи, тк для него это наиболее правильное решение, а банк режет кредитный рейтинг, тк с его стороны это правильный алгоритм поведения. Все поступают правильно, но что-то явно тут не так.
Surrogate
13.07.2023 08:49+6трое родственников старшего поколения столкнулись с кредитами, взятыми на их паспорт, уж не знаю каким способом.
Их беспокоит их кредитный рейтинг ?
Leetc0deMonkey
13.07.2023 08:49+1Получается просто офигенская ситуация
А вы думали баги и дыры безопасности только в программах бывают? И "хакеры" их эксплоятищие только в интернете существуют? Сразу обращайтесь к безопаснику - т.е. юристу.
Xokare228
13.07.2023 08:49+1>> Так вот, доказывать все-таки вынужден потерпевший
Оспорить по безденежности и сверху заявить что ничего не заключали
>> до вынесения решения суда ... все платежи по нему нужно вносить
Ни в коем случае, это фактическое признание договора. Пускай шуруют в суд и взыскивают, если докажут
>> но в этом случае кредитный рейтинг пробьет дно и его отдельно нужно будет восстанавливать
Принести в БКИ решение суда о том что договора вы не заключали и написать заявление, запись исключат
Eljah Автор
13.07.2023 08:49+4Просто надо, чтобы облегчения в автоматизации не касались "скользких" мест. Например, прежде чем можно подписывать электронной подписью кредит, можно выставить настройку, убираемую только через личный визит, что брать кредиты с электронной подписью нельзя. У нас же вывернули эти удобства наизнанку, поменьше рядовому маглу и побольше пронырам.
Dolios
13.07.2023 08:49+5Например, прежде чем можно подписывать электронной подписью кредит...
Нужно, как минимум, сделать так, чтобы это была полноценная электронная подпись, которую человек получил в полноценном удостоверяющем центре, на физическом носителе, притопав в этот УЦ ногами. Как с юриками.
А сейчас смс-ку стали электронной подписью называть. Подтверждение чего угодно по смс нужно в принципе искоренить. Потому что сим-карта и телефонный номер не принадлежат и не контролируются человеком.
freeExec
13.07.2023 08:49+2Ну закон её так называет - простоя электронная подпись. А та что после топания ножкой - это усиленная электронная подпись и это не одно и тоже.
Dolios
13.07.2023 08:49+8Я знаю. И я категорически против этой дичи. Подтверждением моей личности является что-то, что не принадлежит мне и может быть у мення отобрано в любой момент без моего ведома. Это феерический бред.
DaemonGloom
13.07.2023 08:49Учитывая любовь УЦ генерировать сертификат и ключи полностью у себя, а не по запросу — тут безопасности тоже не особо добавляется.
vikarti
13.07.2023 08:49Не все УЦ такие .
Ну и я думаю вполне можно найти даже какой то публичный документ от ФСБ или хоть от КриптоПРО про правила обращения с ключами где будет прямо сказано что генерация не пользователем = закрытый ключ возможно скомпрометирован и надо перевыпускать.
Потому что это вообщем то так и есть же.inkelyad
13.07.2023 08:49+1генерация не пользователем = закрытый ключ возможно скомпрометирован
С генерированием пользователем есть засада - далеко не все его осилят. И поэтому найдутся желающие помочь в этом деле, которые, конечно, помогут, но приватный ключик могут и себе оставить.
Правильно - это генерировать внутри нормального аппаратного токена и под присмотром персонала УЦ, если сам не можешь.
Leetc0deMonkey
13.07.2023 08:49+1С генерированием пользователем есть засада - далеко не все его осилят. И поэтому найдутся желающие помочь в этом деле, которые, конечно, помогут, но приватный ключик могут и себе оставить.
Если не могут, значит пусть топают ножками с бумажками.
vikarti
13.07.2023 08:49+2С генерированием пользователем есть засада — далеко не все его осилят. И поэтому найдутся желающие помочь в этом деле, которые, конечно, помогут, но приватный ключик могут и себе оставить.
У Контуру (именно Контура) когда у них получаешь — там достаточно внятная на мой взгляд даже для обычного пользователя инструкция и генерация сводится (для пользователя) к запустите то-то, подвигайте мышкой.
Так что решаемо средствами нормальных инструкций пользователю.Аппаратный токен — тут сразу добавляется проблема с тем, что делать если он сдох или утрачен, нужна процедура перевыпуска а до этого — без подписи. Да, возможно размен на снижение шансов что уплывет подпись — того стоит.
Ну и проблема с тем что не только на компе может быть подпись нужна.Вот как мне кажется — с Госключом сделали достаточно удобно:
- нафиг вообще УЦ куда надо ножками
- УНЭП выдается по факту аккаунта на Госуслугах (все же — это получше чем по SMS на телефон, да — можно поломать его но можно и хоть какие то меры принять)
- УКЭП выдается по факту наличия аккаунта на Госуслугах И биометрического загранпаспорта с его чипом (и смартфона который может его прочитать). Пролюбить загран сложнее чем токен + два загранпаспорта одновременно — иметь можно
inkelyad
13.07.2023 08:49+1Так что решаемо средствами нормальных инструкций пользователю.
С пунктами о проверке, что дистрибутив, что нужно запустить -- тот что надо. И пунктом о проверке того, что страничка, где смотришь контрольные суммы - та, что надо. И как-то еще надо проверить, что сама инструкция -- та, что надо, а не слегка подредактированная злодеями.
Я, конечно, утрирую, но если параноить по поводу того, что УЦ может сгенерированный им ключик украсть, то нужно параноить и по этому поводу.
Кража ключика персоналам, кстати, должна быть порядком затруднена, если оно все внутри облепленного пломбами и сертификатами HSM происходит. Ну вот как ключики внутри банковской карты -- они тоже где-то непонятно где создаются и в карту записываются. И как-то никто особо этим фактом не возмущается.vikarti
13.07.2023 08:49Не могу согласится. По хорошему то да надо… но
Случаи когда УЦ выдавали то, что не должны были выдавать (ну например — по сканам паспортов и даже без видео связи с человеком и вроде бы можно было и не совсем по своим сканам — судя по обсуждениям некоторых проблем у фирм с тем что всплывали их ЭЦП о которых их руководство — не знало) — насколько я помню в России — были так что угрозу можно считать 100% реальной.Контрольные суммы — а если речь о мобильном приложении то как тут проверять? Termux ставить и apk с сайта? Люди — забьют.
inkelyad
13.07.2023 08:49судя по обсуждениям некоторых проблем у фирм с тем что всплывали их ЭЦП о которых их руководство — не знало) — насколько я помню в России — были так что угрозу можно считать 100% реальной.
Так это не кража приватного ключика при генерации его в УЦ. И генерирование ключа самостоятельно вроде как от такого не защищает.
vikarti
13.07.2023 08:49Это скорее довод в пользу того, чтобы в некоторых случаях сотрудники УЦ это угроза. Реальная. И нафиг давать еще больше возможностей.
inkelyad
13.07.2023 08:49+1УКЭП выдается по факту наличия аккаунта на Госуслугах И биометрического загранпаспорта с его чипом (и смартфона который может его прочитать). Пролюбить загран сложнее чем токен + два загранпаспорта одновременно — иметь можно
(Задумался о схеме "Угоняем учетку Госуслуг, получаем через них загранпаспорт, получаем УКЭП)... ну и так далее.
Интересно, хоть кто-нибудь за всем этим "что можно получить/восстановить имею на руках что" следит? А то, поди, снова все так или иначе возвращается к какому-то легко добываемому секрету.
Eljah Автор
13.07.2023 08:49А в чем особенность именно паспорта нового образца? Тем, что в него встроен чип, которому "мощности" хватает и токеном побыть? )) *шютка, хотя чем не идея
inkelyad
13.07.2023 08:49+1Тем, что в него встроен чип, которому "мощности" хватает и токеном побыть?
Токеном оно вряд ли может быть. Или я чего-то не знаю - неужели чип там такой мощный?
Но если учесть, что еще один вариант получения УКЭП - это по запомненной в Госуслугах биометрии (отсюда или из этого видео) -- то видимо именно биометрию оттуда и выдирают.
Госуслуги это это умеют (отсюда или из видео).
Из этого, кстати, возможно, следует, что загранпаспорт с биометрией лучше не терять - с минимальными усилиями (грим) воспользуются и УКЭП получат.
vesper-bot
13.07.2023 08:49Так, если по биометрии генерируют УКЭП, то что мешает, добыв биометрию цели из какого-нибудь FacePay, сделать то же самое, либо добыть приватный ключ готовой УКЭП, которую цель сама сделала из своего заграна? Может, проще биометрию не сдавать?
inkelyad
13.07.2023 08:49Похоже, не генерирует, а позволяет где-то обработать и присвоить статус 'квалифицированная'.
Как работает - а кто его знает. У меня есть некие нехорошие подозрения, что вытащенная из загранпаспорта фотография (из паспорта - чтобы было заверено, чья именно фотография) сравнивается с той фотографией, что делаешь в госключе в этой ветке регистрации.
Это считается достаточным фактом, что вот именно тот человек(чей загранпаспорт) смарфон в руках держит и поэтому можно происходящему доверять.
На хабре была статья, ссылается на технологию IDPoint. Как оно работает - мне найти не получилось.
По поводу кражи приватного ключа (цитата из комментария к той статье):
Ключ ЭП хранится на устройстве пользователя в зашифрованном контейнере, ключ от которого хранится на HSM "в облаке".
По "IDPoint" гуглится пара pdf-ок из которых я несколько не понимаю, где что в каком виде доступно, где что возможно перехватить и где и как злодей может перехваченным воспользоваться.
Vilgelm
13.07.2023 08:49с минимальными усилиями (грим) воспользуются и УКЭП получат
Госключ не требует селфи делать, так что и без грима можно.
vikarti
13.07.2023 08:49Как я понимаю — тем, что что это нормально (а не через распознование текста) машинночитаемый документ с реквизитами пользователя который можно сверить с теми же госуслугами, аккаунт госуслуг можно слить, паспорт — ну обычно человек в курсе что его пролюбил и хоть какие то меры предпримет.
Вот правда есть интересный вопрос — ICAO проводило исследование и выяснилось что в этой системе с биометрическими документами осталось еще одно интересное место — списки отзывов сертификатов, у кучи стран (вроде как и России) их вообще — нет. Насколько это реальная угроза в случае Госключа — вопрос отдельный.
vikarti
13.07.2023 08:49Получение загранпаспорта нового — два визита в МФЦ.
В моем случае еще и в дополнение к заявлением через госуслуги — заполнение от руки бумажки.
Vilgelm
13.07.2023 08:49Вообще за усиленной можно и не топать, а просто отсканировать биометрический загранпаспорт. И это довольно удобный подход, главное загранпаспорт не терять.
Leetc0deMonkey
13.07.2023 08:49+1Как с юриками.
На заре онлайн-банков и брокеров было и у физиков. И всё по-феншую, с генерацией приватного ключа у клиента. Потом упразднили и заменили карточками с кодами, токенами, и, наконец, смс. Уже тогда стало понятно что не туда эта "информатизация" поехала.
Dolios
13.07.2023 08:49+8Гражданин, вы расписались на заявлении в с. Янгельское. Езжайте туда и там предъявляйте свои претензии, чего вы от нас хотите?
aMster1
13.07.2023 08:49+14На самом деле глупый совет. Туда должен ехать следователь, и выяснять каким образом появилась подпись (ну или каким образом нажалась кнопочка) . А после того как выяснилось, поспособствовшего человека надо посадить. Лет на несколько. За дискредитацию системы, которая должна защищать человека. И об этом необходимо сообщать по ТВ, и всех кто работает в этой системе ознакамливать под роспись. Чтобы человек, решивший "подтвердить" аккаунт знал - что очень скоро он окажется в тюрьме. За нажатую кнопочку. Это называется "неотвратимость наказания".
nikolz
13.07.2023 08:49+4Не совсем глупый. Согласно закону: Во-первых, должно быть подано заявление от пострадавшего. И это заявление должно быть подано по месту совершения преступления т е в с. Янгельское. Далее следователь в с. Янгельское вызовет на опрос пострадавшего. Ну а потом дело закроют, так как пострадавшего опросить не удалось.
Xokare228
13.07.2023 08:49А зачем? Заявление подаётся в твой отдел, возбуждается УД опрашивается пострадавший. Затем оно направляется в Янгельское по месту окончания преступления. Или не направляется, знаю случай когда сотрудники из Томска летали винтить жулика в Санкт-Петербург, и ничего, не обломились. Хотя имели полное право отправить туда дело или дать поручение
Apxuej
13.07.2023 08:49На должность с такой ответственностью будет тяжеловато искать людей, даже если сделать достойную ЗП. Представьте: в удостоверяющий центр пришёл какой-то левый хрен с качественным поддельным паспортом (допустим с незначительно изменённой фоткой). Вы - оператор центра - проверили всё и обслужили человека. И вжух - на Вас уже висит уголовное дело, если хлопчика с левым паспортом не удалось выловить.
vikarti
13.07.2023 08:49Видеозапись помещения с нескольких камер + аудиовидеорегистратор на шею оператору.
Записи хранить лет 10 минимум.
Если подозрение на сговор — проверяем камеры.
Ну в теории да. На практике проще стрелочников искать.
K0styan
13.07.2023 08:49+1Проблема в том, что этот шланг надо закрывать с другой стороны. Ну то есть вы можете прекратить пользоваться Госуслугами, но это не помешает негодяю воспользоваться ими за вас.
Есть отдельные сервисы, где можно заблокировать электронное оказание услуг, но - сильно не все.
csharpreader
13.07.2023 08:49+2Лет 10 назад это было вау-вау. И как порядочный гик, был early adopter'ом всего этого, включая Госуслуги
Кхм... Лет 10 назад любой порядочный гик обходил госуслуги за два километра.
Leetc0deMonkey
13.07.2023 08:49+1Да, помню. Я приехал получать заграник. Просто приехал и без очереди получил его. А в очереди на оформление бумажек сидели "порядочные гики" и от скуки тыкали в свои смартфоны.
Wesha
13.07.2023 08:49Зато порядочные гики получили свои заграники и поехали по заграницам — а Вы ВНЕЗАПНО узнали, что набрали кучу кредитов. Ну или пока ещё не узнали...
mixsture
13.07.2023 08:49+36Вдумайтесь: у нас в системе есть удостоверяющие центры, за деятельность которых мы не отвечаем, в которых происходят уголовные преступления по серии статей в массовом порядке.
Норм идея, да чего мелочиться — можно такие центры сразу в местах заключения открывать, поближе к коллцентрам "службы безопасности" — так сказать, сделать мошенникам обслуживание в едином окне, чтобы далеко не ходить. /sarcasm
singerfox
13.07.2023 08:49+1Ну почему же, просто надо органы привлекать. Думаю у оператора просто нет доступа к нужным данным.
А вообще все изменения выполняемые оператором в ЦО, подписываются УКЭП этого самого оператора.
izh-vii
13.07.2023 08:49У всех есть. Ударившиеся во все тяжкие нотариусы, клепающие доверенности например. Абсолютно надежных систем нет.
Dimsml
13.07.2023 08:49+11Не вижу ничего о заявлении в МВД о том, что у вас взломали Госуслуги и что на вас взяли кредит, а также не написана досудебная претензия в МФО о признании догвора займа не заключённым. Ещё можно ради веселья написать в ЦБ РФ после претензии в МФО и попросить их проверить, чем они там занимаются.
Didimus
13.07.2023 08:49+1Писал в ЦБ о нарушении, которое они обязаны контролировать. В ответ, ожидаемо, бурная тишина
freeExec
13.07.2023 08:49+2Предоставить информацию о более раннем состоянии УЗ не представляется возможным, поскольку УЗ была удалена.
Тут какая лажа, либо я так же могу придти к провайдеру и заявить удаляй мой трафик и логи как мои ПД, а закон яровой меня не колышит нечего их хранить без мое разрешения.
Lobey
13.07.2023 08:49+1Всё так, но портал госуслуг - это не провайдер, удалённая учётка - это не сохранённый трафик, а закон Яровой обязывает хранить не ПД.
Сову, наверное, раскорёжило на глобусе от таких ассоциаций.
Popadanec
13.07.2023 08:49+1С первого октября двухфакторка всё равно станет обязательной, но на всякий случай её включил, как и вход по ЭП(аппаратный токен).
А то после таких историй стало как то неспокойно.Ghool
13.07.2023 08:49главное - обеспечить бэкап вашего ТОТР
а то потеряете телефон - и доступ к госуслугам вместе с нимMartyBug
13.07.2023 08:49В Google Authenticator есть бэкап в гугл аккаунт. Но только как зайти в гугл аккаунт на новом устройстве, если в него тоже вход по TOTP?
DaemonGloom
13.07.2023 08:49Зайти в него заранее. На старом телефоне/планшете, например. И временами включать и проверять, что он ещё жив и коды синхронизирует из гугла.
unwrecker
13.07.2023 08:49+1Google Authenticator — очень большая бяка, так как некоторое время назад они изменили формат базы, зашифровав её. И все бэкапы превратились в тыкву... Рекомендую Aegis.
Wesha
13.07.2023 08:49+1В Google Authenticator есть бэкап в гугл аккаунт
...который в любой момент может превратиться в тыкву милостью закукливателей рунета.
Leetc0deMonkey
13.07.2023 08:49+1По ту сторону океяна сами очень даже бодренько соучаствуют в этом. Т.е. этот самый GA превратится в тыкву с подачи самого G.
Wesha
13.07.2023 08:49+1Вообще это достаточно глупо со стороны всяких гуглей — перекрывать самим себе такой ценный канал сбора явок-адресов-паролей. Раньше всё было сложно — чтобы стащить у противника секретные документы, нужно было шпыёнов с микрофотокамерами засылать — а теперь он их сам на почтовики заливает, добровольно и с песней.
Leetc0deMonkey
13.07.2023 08:49-1Так же глупо было отключать СВИФТы и кошмарить платежи в долларах. У американских властей была прекрасная финансовая аналитика кто, кому и за что. А теперь все кто представлял интерес благополучно спрятались под китайским зонтиком и платежах в юанях.
Popadanec
13.07.2023 08:49Да и не только аналитика, но и заметная прибыль в районе 1-1,5% с каждой операции.
Хотя возможно потому и отключили: "Не надо нам вашихгрязныхденег".Ghool
13.07.2023 08:49Логика отключения свифта была Не «не надо нам ваших денег» а «не надо ВАМ наших денег»
LeetcodeMonkey
13.07.2023 08:49Но нефть и газ при этом продолжаем жрать в три горла, пусть и окольными путями. И как оплатить и поставить немецкую оптику для танковых прицелов тоже пути найдём. А вот Васе фрилансеру его копеечек не дадим, «не надо ВАМ наших денег». А Вася, тем временем, от безысходности, вынужден пойти на военный завод писать алгоритмы управления ракетами. С такими "врагами" Путину никакие союзники не нужны.
SvyatoslavMC
13.07.2023 08:49+13Могу рассказать об аунтификации в российской глубинке. Уверен, до сих пор примерно так и работает.
При обращении в разные гос. учреждения менеджер (или оператор, как их там) просто просит у обратившегося логин и пароль от госуслуг, заходит с рабочего ПК и делает им то, что попросил обратившийся.
Ещё для обмена паролями и сканами паспорта могут попросить скинуть всё в WhatsApp.
Когда всё только настроил маме и она пошла в какую-то бюджетрную контору, всё это мне выложила сначала она, потом дала трубку оператору и он всё тоже рассказал, что так и работают.
Neuromantix
13.07.2023 08:49+6Более того, несколько лет назад оформлял выплату по уходу за инвалидом, так в ПФ сказали: "У инвалида есть госуслуги? нет? Ну мы сейчас зарегистрируем, скажите только чей-нибудь телефонный номер, чтоб смску-подверждение могли вам сообщить, а то у наших сотрудников уже свободные номера закончились"
wildfish
13.07.2023 08:49+4Такое ощущение, что это скрипт какой-то обходит госуслуги, он потом и берёт микрокредит.
Обратите внимание на сумму ущерба - именно 5тыщ руб. Уголовка по 158 статье за кражу начинается только с ущерба свыше 5 тыщ. руб. Мошенник себя максимально обезопасил.shasoftX
13.07.2023 08:49+2Мне тут на днях звонили из "Мои документы" и спрашивали могу ли я получить письмо, которое они мне отправили через почту. Я сказал что могу. Тогда оператор сказал что сейчас он у себя зарегистрирует это письмо и мне придёт СМС с номером регистрации которое я должен ему сообщить. И тут приходит сообщение СМС с кодом для входа на banki.ru Когда я сообщил оператору, код почему то не подошёл. Пришлось оператору ещё два раза регистрировать это письмо.
Я это к тому что в 99% обход происходит потому что смогли обманом выцыганить такой вот код ,а не потому что "скрипт обходит блокировки".Lobey
13.07.2023 08:49А зачем мошенникам логиниться на banki.ru с чужого номера?
shasoftX
13.07.2023 08:49Не знаю. Я туда 100 лет не логинился, поэтому их нравов не знаю. Пришла СМС, "оператор" усиленно пытался узнать код из СМС.
Wesha
13.07.2023 08:49"оператор" усиленно пытался узнать код из СМС.
Надо было давать какой-нибудь левый код и божиться что "да вот же он, пришёл!"
shasoftX
13.07.2023 08:49+3Так я именно так и делал
Когда я сообщил оператору, код почему то не подошёл. Пришлось оператору ещё два раза регистрировать это письмо.
Чем больше я задержу мошенников на себе, тем меньше времени у него останется на тех, кто может ему поверить
Wesha
13.07.2023 08:49+4Люблю рвать шаблоны. Один мошенник позвонил (со зверским ындийским акцентом), пытался развести по старой схеме "с вашей карточки оплатили компьютер в магазине XXX на 100500 денюх" и изрядно завис, когда я "да, да, это я купил!". Минуты через две отвис и попросил назвать модель компьютера и номер заказа. Когда ему была названа придуманная модель и придуманный номер, он стал меня убеждать, что нет такой модели и нет такого номера, но переубедить меня — "да вот же, у меня в инвойсе напечатано!!!" не смог, бросил трубку :)
shasoftX
13.07.2023 08:49Вам какой-то упертый попался. Обычно они сразу нахер посылают и трубку бросают.
Popadanec
13.07.2023 08:49Может это и не совсем мошенники были, а желание слить рейтинг кому нибудь там.
bubn0ff
13.07.2023 08:49+5Трешовая история, конечно. Сочувствую автору.
То, что нам создают - новый "дивный" цифровой мир - до добра точно не доведёт, поскольку у руля не созидатели, а надсмотрщики.
CoolCmd
13.07.2023 08:49Берем фамилию классика татарской литературы, переводим имя на латинский алфавит, конвертим не-ASCII буквы в сочетания, добавляем год смерти.
(настороженно) а почему именно смерти? это вы их всех убили, даааа?
у меня для хранения паролей самопальная прога есть. заодно случайные пароли генерирует и в проги вставляет.
Wesha
13.07.2023 08:49+1Некоторые классики родились ещё тогда, когда рождение документально не регистрировали — поэтому никто точно не знает, когда они родились, даже с точностью до года.
ErshoffPeter
13.07.2023 08:49Двухфакторная авторизация тоже нн всегда спасает - у отца (мальчику 85 лет) тут перехватили Госуслуги, поменяв пароль при включённой двухфакторке - он просто кому-то по доброте душевной сказал цифирки.
Один раз я его поймал на таком, но тогда это был SMS-код от личного кабинета МТС: рядом сидел и слышал как позвонили и рассказали байку о некой компенсации которая ему причитается - пришлось выхватить телефон из рук и высказать всё что думаю.
Moskus
13.07.2023 08:49Тот случай, когда нужно отбросить предрассудки и начать определять дееспособность в конкретных областях по реальности, а не руководствоваться идеей "это же родители, о них нельзя плохо думать". Лучше думать "плохо" чем потом разбираться с последствиями.
ErshoffPeter
13.07.2023 08:49+2Это да...
...взросление - это когда к родителям начинаешь (приходится) относится как к детям...
balamutang
13.07.2023 08:49Да уж, недавно тоже мама пожаловалась что "голова кружится и ходить тяжело, но к врачам не пойду. Буду помирать - деньги там-то". Пришлось самому ее записать на приемы к врачам и возить. И то после каждого врача (терапевт, кардиолог, невролог) норовила сбежать. В итоге сказал ей что мне приходится взрослого человека за руку водить так как я своего малого вожу по поликлиникам - тогда только успокоилась. И ничего - пропила курс лекарств, капельницу отходила (сама уже) и пришла в норму.
SOUNDMAN1
13.07.2023 08:49-17Зачем вообще регится на гос? В тени всё делается! Я даже ООО, когда открывал, то только на левого человека и уставной фонд. Правят миром те люди, кто не оставляет даже цифрового следа! Можно на бомжа открыть и не париться! Можно даже 1нкомнатную бомжу купить… А вообще есть стрпнные люди, которые могут работать за $3000 в день. Я так не поднимаюсь с кровати, если мне за 4 часа не заплатят $10000
NyanaSm
13.07.2023 08:49На прошлой неделе поняла что не стоит двухфакторная аутентификация, быстренько сделала её. И вот, с 12 числа, кто-то настойчиво пытается зайти на мой аккаунт. Очень вовремя...наверное.
После прочтения статьи решила проверить всё и у себя. На госуслугах не нашла ничего подозрительного, а вот в отчете кредитной истории нашла аж 3 запроса кредитной истории 3х разных микрокредитных компаний, но они были сделаны еще в апреле-мае
Eljah Автор
13.07.2023 08:49Меня тоже смутил запрос кредитной истории годичной давности, сделанный аккаунтом НБКИ, в котором, видимо, никогда не было моего емейла, тк свой с мошеннического я сменить не смог )
dnm2008
13.07.2023 08:49так то жесть, так сам же отдал логин пароль чему удивляться то? а смена номера телефона разве происходит не через смс и\или ввода снилс\паспорта ?!
shadowphoenix
13.07.2023 08:49Теперь для генерации хорошего пароля надо татарином стать? Хотелось бы попроще что-то. Хотя ваши пароли даже по-английски не особо читаются.
У меня похожий скрипт. Есть любимое слово (одно для работы, одно не для), любимое число. В английской раскладке по-русски слово, название сайта по-русски, цифра. Если надо-первая буква большая, последний разряд числа с шифтом (знак). То есть набираю или без шифта, или два раза шифт. Для каждого сайта получается 2,максимум 4 варианта пароля. Можно цифру после первого слова или как разделитель между словами.
Eljah Автор
13.07.2023 08:49В том-то и прикол, чтобы они не читались кем-то, кто вне вашей группы, что уже часть спасения. Для других белиберда, для вас - осмысленное и с логикой.
K0styan
13.07.2023 08:49+3Теперь для генерации хорошего пароля надо татарином стать?
Ответ, не претендующий на серьёзность
Moskus
13.07.2023 08:49+1если сайт знает ваш телефон и емейл, не значит, что в случае "странной" авторизации он уведомит вас сам
Обратное допущение - вообще какая-то фантазия. Это вовсе не универсальная практика и считать ее таковой нет никаких оснований.
orekh
13.07.2023 08:49+5То что в госуслуги угоняли создавая свои ЦО, а далее создание ЭЦП, навешивание кредитов, продажа квартир - это я и раньше знал.
А вот то, что телефонная поддержка госуслуг «угнала» аккаунт уже в вашу пользу спросив лишь ваш номер СНИЛС - это ещё больший уровень треша.
alberton
13.07.2023 08:49+1В начале мая точно так же увели учетку на Госуслугах, заметил через 2 дня, восстановил сразу как увидел, через приложение Сбера. Злодеи пытались зайти на манимэн (онлайн МФО).
В истории на госуслугах были все IP-адреса с которых злодеи регались, сразу через веб-форму накатал заяву на сайте МВД с указанием подробностей; накатал заяву в техподдержку манимэна - с их слов ничего не было выдано)
Через месяц проверял кредитную историю - все ок
oracle_schwerpunkte
13.07.2023 08:49Для тех, кто удалил аккаунт с госуслуг: что может случится, если мошенники зарегистрируют новый аккаунт с украденными паспортными данными /СНИЛС?
ildarz
13.07.2023 08:49+1То же самое, что могло бы случиться, если бы у вас угнали неудаленный аккаунт, только вы об этом никак не узнаете, пока не наступят реальные последствия.
aik
Ещё надо помнить, что через госуслуги можно входить на кучу других сайтов. И начудить там.