Сенатор рассказал, как защитить соцсети и «Госуслуги»

Получив доступ к учетной записи человека на портале госуслуг, злоумышленники завладеют огромным массивом чувствительной информации, которую смогут перепродать, оформить на потерпевшего кредит или от его имени обманывать других людей. Снизить риск поможет двухфакторная аутентификация, при которой владелец аккаунта использует два различных ключа для входа на сайт. Но и этот способ защиты мошенники научились обходить, предупредили эксперты. Основываясь на рекомендациях специалистов в сфере информационной безопасности, зампред Совета по развитию цифровой экономики при Совете Федерации, сенатор Артем Шейкин рассказал «Парламентской газете» об эффективных способах защиты личных данных.

Сенатор рассказал, как защитить соцсети и «Госуслуги»
© Парламентская газета

Два ключа лучше, чем один

Двухфакторная аутентификация — один из самых распространенных способов дополнительной защиты учетных записей пользователей. Входя в учетную запись на сайте или в приложении, человек сначала вводит первый ключ — как правило, логин и пароль. Затем второй — чаще всего цифровой код, который приходит по SMS или в push-уведомлении. В качестве второго ключа можно использовать данные биометрии или специальные программные токены, генерирующие одноразовые пароли.

На портале госуслуг, где о каждом зарегистрированном россиянине хранится много весьма чувствительной личной информации, двухфакторная аутентификация является обязательной с 1 октября 2023 года. Для дополнительной защиты пользователи могут использовать код из SMS, одноразовый код из специального приложения или вход по биометрии. В разделе «Безопасность» в личном кабинете можно установить второй фактор защиты, выбрав пункт «Вход с подтверждением».

Если «Госуслуги» взломают, мошенники получат доступ ко всем хранящимся данным, которые смогут перепродать другим злоумышленникам, оформить на пользователя кредит в любом банке либо использовать его данные для обмана людей. Вскрытие аккаунта в соцсети, возможно, менее опасно, но не менее приятно, ведь пользователи там обмениваются личной информацией. К тому же в этом случае мошенники получат доступ ко всем контактам, которым смогут писать от вашего имени.

Где таится опасность?

В последнее время наблюдается рост случаев взлома учетных записей, использующих двухфакторную аутентификацию, указал Артем Шейкин в письме на имя гендиректора «Лаборатории Касперского» Евгения Касперского. Он попросил специалистов перечислить самые распространенные угрозы и способы им противостоять, на что получил развернутые ответ. Копия обоих документов есть в распоряжении «Парламентской газеты».

На основе полученных сведений сенатор Шейкин сообщил об опасностях. В их числе:

Фишинговые атаки. Злоумышленники создают фальшивые сайты, которые выглядят как страницы входа в настоящий сервис, чтобы выманить у пользователей коды двухфакторной аутентификации. Эти схемы могут быть как массовыми, так и таргетированными — когда мошенники специально нацеливаются на конкретных людей или организации, отправляя персонализированные сообщения.

Подключение к небезопасным Wi-Fi сетям. Вредоносные сети, контролируемые злоумышленниками, могут заставить пользователя ввести свои учетные данные, включая коды.

Звонки от мошенников и фальшивые сообщения в мессенджерах. Они могут использовать поддельные аккаунты, запрашивая коды под предлогом дополнительной проверки или активации услуги.

Массированный запрос кодов. Мошенники могут инициировать массовые запросы на получение кодов через SMS или почту, чтобы заставить пользователя отключить двухфакторную аутентификацию.

Использование слабых вопросов безопасности. Простейшие или общие вопросы для восстановления доступа, которые можно легко угадать или найти в интернете, позволяют обойти защиту.

Метод получения кода через синхронизацию одноразовых паролей. Использование таких методов может быть уязвимо к атакам.

Что делать?

Для защиты учетных записей от этих угроз Артем Шейкин рекомендовал установить программы для автоматической проверки утечек данных аккаунтов, связанных с вашим электронным адресом или номером телефона.

Кроме того, необходимо создавать уникальные и сложные пароли для всех сервисов, используя менеджеры паролей. «Даже если мошенники получат доступ к коду авторизации, они не смогут войти в ваш аккаунт, если не знают пароля», — объяснил сенатор.

Нужно всегда проверять правильность URL-адреса, который приходит через сообщения, перед вводом любых персональных данных или одноразовых кодов. А также не разглашать коды третьим лицам и не вводить их на клавиатуре телефона во время звонка.

«Применение этих мер значительно повысит уровень безопасности ваших учетных записей и защитит от взломов, связанных с обходом двухфакторной аутентификации, — заключил Артем Шейкин. — Тема безопасности цифровых данных остается актуальной, и соблюдение рекомендаций поможет избежать серьезных последствий».

Если все же

Если учетную запись взломали, на «Госуслугах» написано, как восстановить доступ. Это можно сделать на самом портале, получив новый пароль, либо в приложении банка, а также лично придя в центр обслуживания — МФЦ или банк.

Затем нужно защитить учетную запись, подключив контрольный вопрос и другие возможности.

Вернув доступ, следует выйти из учетной записи со всех устройств, кроме текущего. В личном кабинете можно посмотреть, где использовалась учетная запись. Увидев в списке банк или микрофинансовую организацию, нужно связаться с ней и сообщить, что никаких запросов вы не совершали. Стоит также проверить заявления и уведомления на портале.

Что касается взлома соцсети или мессенджера, порядок действий при таких инцидентах расписан на сайтах этих сервисов. А также везде есть информация о способах защиты.

Наука и техника
Артем Шейкин
Евгений Касперский
Лаборатория Касперского
Совет Федерации
Кредиты
Соцсети
Госуслуги