Как защититься от взятия кредита на ваше имя через Госуслуги?!
Судя по новостям, число историй, когда мошенники берут кредиты на людей через Госуслуги, растет и тому есть объяснение. В прошлом году, в рамках борьбы с COVID-19 Центробанк и Минцифры запустили эксперимент по возможности получать финансовые услуги не после личного присутствия в офисе банка, микрофинансовой организации или страховой компании, а удаленно. Подтвердить личность клиента в этом случае можно будет через Госуслуги, что и отккрывает широкие возможности для мошенников, которым теперь надо ломать не банковские системы, защищенные достаточно неплохо, а портал Госуслуг. Хотя и взломом-то это тоже назвать нельзя, так как мошенники крадут, подбирают или перехватывают пароли пользователей, под именем которых затем и заходят на портал Госуслуг, на котором изменяют контактную информацию и впоследствие получают все уведомления и запросы на подтверждение финансовых операций на свои собственные телефоны и e-mail, а не на принадлежащие жертве. В итоге человек узнает о том, что на его имя взят кредит, только после того, как к нему приходят коллекторы или судебные приставы.
Причина этого заключается в том, что пользователи Госуслуг не включают подтверждение входа в свою учетную запись по СМС, а используют только один пароль, который легко украсть, подобрать или перехватить. Для того, чтобы защититься от описанного мощенничества, достаточно выполнить всего один шаг - включить подтверждение входа на Госуслуги по СМС, что делается в профиле учетной записи. Достаточно просто кликнуть на ФИО в правом верхнем углу страницы Госуслуг (при доступе через браузер) и выбрать меню "Настройки и безопасность". После этого, чтобы войти в Госуслуги надо будет вводить не только пароль, но и код из присланной СМСки. Это сильно усложнит жизнь злоумышленникам.
Еще одной "проблемой с Госуслугами" являются истории про "участие" граждан в праймериз одной непопулярной политической партии. Согласно описанным в Интернет историям пользователи сталкивабтся с тем, что кто-то менял их регистрационную информацию и от их имени участвовал в региональных праймериз. Для защиты от этого вида мошенничества необходимо не только включить подтверждение входа по СМС, но и регулярно отслеживать выданные разрешения на доступ к вашей учетной записи в Госуслугах. Это делается также через меню "Настройки и безопасность".
Дополнительно можно включить уведомление о входе в учетную запись Госуслуг по e-mail, что позволит вам узнавать о попытках входа от вашего имени на портал госуслуг. Но для этого вам предварительно надо включить подтверждение входа в учетную запись по СМС (иначе мошенники смогут изменить контактный e-mail и вы не узнаете о попытках входа).
Чуть больше деталей о том, как происходит с мошенничеством через Госуслуг вы можете прочитать на www.sravni.ru. От себя хочу добавить, что ввиду роста роли портала Госуслуг в цифровой жизни гражданина, нужно чуть более внимательно относиться к своей кибербезопасности. Тем более что предлагаемые выше рекомендации очень просты в реализации и занимают всего несколько минут.
_______
#хроникицифровизации
Источник | #alukatsky
Судя по новостям, число историй, когда мошенники берут кредиты на людей через Госуслуги, растет и тому есть объяснение. В прошлом году, в рамках борьбы с COVID-19 Центробанк и Минцифры запустили эксперимент по возможности получать финансовые услуги не после личного присутствия в офисе банка, микрофинансовой организации или страховой компании, а удаленно. Подтвердить личность клиента в этом случае можно будет через Госуслуги, что и отккрывает широкие возможности для мошенников, которым теперь надо ломать не банковские системы, защищенные достаточно неплохо, а портал Госуслуг. Хотя и взломом-то это тоже назвать нельзя, так как мошенники крадут, подбирают или перехватывают пароли пользователей, под именем которых затем и заходят на портал Госуслуг, на котором изменяют контактную информацию и впоследствие получают все уведомления и запросы на подтверждение финансовых операций на свои собственные телефоны и e-mail, а не на принадлежащие жертве. В итоге человек узнает о том, что на его имя взят кредит, только после того, как к нему приходят коллекторы или судебные приставы.
Причина этого заключается в том, что пользователи Госуслуг не включают подтверждение входа в свою учетную запись по СМС, а используют только один пароль, который легко украсть, подобрать или перехватить. Для того, чтобы защититься от описанного мощенничества, достаточно выполнить всего один шаг - включить подтверждение входа на Госуслуги по СМС, что делается в профиле учетной записи. Достаточно просто кликнуть на ФИО в правом верхнем углу страницы Госуслуг (при доступе через браузер) и выбрать меню "Настройки и безопасность". После этого, чтобы войти в Госуслуги надо будет вводить не только пароль, но и код из присланной СМСки. Это сильно усложнит жизнь злоумышленникам.
Еще одной "проблемой с Госуслугами" являются истории про "участие" граждан в праймериз одной непопулярной политической партии. Согласно описанным в Интернет историям пользователи сталкивабтся с тем, что кто-то менял их регистрационную информацию и от их имени участвовал в региональных праймериз. Для защиты от этого вида мошенничества необходимо не только включить подтверждение входа по СМС, но и регулярно отслеживать выданные разрешения на доступ к вашей учетной записи в Госуслугах. Это делается также через меню "Настройки и безопасность".
Дополнительно можно включить уведомление о входе в учетную запись Госуслуг по e-mail, что позволит вам узнавать о попытках входа от вашего имени на портал госуслуг. Но для этого вам предварительно надо включить подтверждение входа в учетную запись по СМС (иначе мошенники смогут изменить контактный e-mail и вы не узнаете о попытках входа).
Чуть больше деталей о том, как происходит с мошенничеством через Госуслуг вы можете прочитать на www.sravni.ru. От себя хочу добавить, что ввиду роста роли портала Госуслуг в цифровой жизни гражданина, нужно чуть более внимательно относиться к своей кибербезопасности. Тем более что предлагаемые выше рекомендации очень просты в реализации и занимают всего несколько минут.
_______
#хроникицифровизации
Источник | #alukatsky
Сегодня многие обсуждают тему NSO Group и ее шпионского ПО Pegasus. Я бы хотел напомнить, что это далеко не единственный пример с "государственным" шпионским ПО. Мы помним историю с безвременно почившей Hacking Team, мы помним историю с ФБРовским Magic Lantern, мы помним про немецкий Staatstrojaner (он же R2-D2), мы помним АНБшные FOXACID и DROPOUTJEEP, мы помним про немецкие MiniPanzer и MegaPanzer. Причем по своему функционалу и способу заражения устройств жертв они ничем не отличаются от обычного хакерского инструментария - просто они действуют в интересах государств или государевых спецслужб, то есть во благо государства (ну или как государство понимает это благо). Так что ничто не ново под луной... Просто с Pegasus история более нашумевшая...
_______
Источник | #alukatsky
_______
Источник | #alukatsky
Telegram
Пост Лукацкого
Сегодня многие обсуждают тему NSO Group и ее шпионского ПО Pegasus. Я бы хотел напомнить, что это далеко не единственный пример с "государственным" шпионским ПО. Мы помним историю с безвременно почившей Hacking Team, мы помним историю с ФБРовским Magic Lantern…
А вот в этих планах меня смущает не столько полный игнор пожилых людей. Ну откуда молодым замминистра знать и понимать нужды своих пожилых родителей, многие из которых не имеют не только учетки на Госуслугах, но и даже электронной почты и до сих пор пользуются кнопочными телефонами, а не смартфонами. Оставим это в стороне. Вопрос в другом.
Все уведомления начнут приходить в электронной форме на e-mail граждан, что поставит перед всеми (но непонятно, кто это будет все делать - ФСТЭК и ФСБ или недавно созданный департамент кибербезопасности в Минцифре) два вопроса - защита e-mail от компрометации (без многофакторной аутентификации тут не обойтись и кто-то должен начать активную кампанию по продвижению MFA в массы) и защита от фишинга, так как мошенники сразу же усилят свою активность по этому каналу коммуникаций государства с гражданами и мы получим не только фишинг про выплаты через Госуслуги после заявлений Президента, но и фишинг про штрафы ГИБДД, материалы судебных приставов, возбуждения дел в судах и т.д.
_______
Источник | #alukatsky
Все уведомления начнут приходить в электронной форме на e-mail граждан, что поставит перед всеми (но непонятно, кто это будет все делать - ФСТЭК и ФСБ или недавно созданный департамент кибербезопасности в Минцифре) два вопроса - защита e-mail от компрометации (без многофакторной аутентификации тут не обойтись и кто-то должен начать активную кампанию по продвижению MFA в массы) и защита от фишинга, так как мошенники сразу же усилят свою активность по этому каналу коммуникаций государства с гражданами и мы получим не только фишинг про выплаты через Госуслуги после заявлений Президента, но и фишинг про штрафы ГИБДД, материалы судебных приставов, возбуждения дел в судах и т.д.
_______
Источник | #alukatsky
Задал я тут Минцифре официальный вопрос о том, надо ли аккредитовываться компаниям, которые:
- используют СКУДы с идентификацией и аутентификацией по лицу
- используют пропуска с фотографией сотрудников и посетителей, которые затем проверяются на входе
- используют отпечатки пальцев для аутентификации в ноутбуках.
Запросов было отправлено три, ответ получен всего один; размытый донельзя. Видно, что Минцифры очень не хочет давать четкий и однозначный ответ на простые вопросы, так как этот ответ повлечет за собой очень много разных и серьезных последствий, которые просто никто, как обычно, не оценивал при принятии поправок в ФЗ-149. Не хочется так думать, но судя по всему, для всех трех описанных выше ситуаций нужна аккредитация в Минцифре для обработки биометрических персональных данных.
Как интегрировать проверку отпечатков пальцев в ноутбуке с ЕБС я даже и не знаю 😞
_______
Источник | #alukatsky
- используют СКУДы с идентификацией и аутентификацией по лицу
- используют пропуска с фотографией сотрудников и посетителей, которые затем проверяются на входе
- используют отпечатки пальцев для аутентификации в ноутбуках.
Запросов было отправлено три, ответ получен всего один; размытый донельзя. Видно, что Минцифры очень не хочет давать четкий и однозначный ответ на простые вопросы, так как этот ответ повлечет за собой очень много разных и серьезных последствий, которые просто никто, как обычно, не оценивал при принятии поправок в ФЗ-149. Не хочется так думать, но судя по всему, для всех трех описанных выше ситуаций нужна аккредитация в Минцифре для обработки биометрических персональных данных.
Как интегрировать проверку отпечатков пальцев в ноутбуке с ЕБС я даже и не знаю 😞
_______
Источник | #alukatsky
Дарья Верестникова подкинула идею своим постом в VK и я решил проверить, так ли оно? И да, если отбросить кучу замечаний по работоспособности "Госключа", то есть и немалое количество жалоб на то, что мошенники регистрируют SIM-карты через "Госключ" без ведома владельцев учетных записей (идет привязка к учеткам на Госуслугах). Судя по всему проблема та же, что я описывал около года или даже двух назад, - отсутствие многофакторной аутентификации у пользователей на Госуслугах. И если раньше, это было некритично (Госуслуги не использовались для совершения каких-либо юридически значимых действий), то с начала пандемии коронавируса ситуация поменялась и через Госуслуги можно было оформлять кредиты, микрозаймы, виртуальные кошельки, голосовать на выборах и т.п. Соответственно, все пользователи с доступом только по логину/паролю находились под угрозой. Теперь число сервисов, которые можно получить через Госуслуги/Госключ возрастает; как и риски.
_______
Источник | #alukatsky
_______
Источник | #alukatsky
Если вспомнить определение средства защиты из терминологического ГОСТ Р 50922, то это "Техническое, программное, программно-техническое средство, вещество и (или) материал, предназначенные или используемые для защиты информации".
Иными словами, шторка на веб-камеру, которая борется с видовыми утечками, - это тоже средство защиты информации. И она должна быть с 1-го января 2025 года только отечественной! Теперь при встрече надо спросить у коллег из НКЦКИ - у них веб-шторки отечественные или произведенные в Китае? А то она меня защищала от врагов, но я не могу идти против Указа Президента.
ЗЫ. Хорошо, что у нас вещества для защиты информации не используются.
ЗЗЫ. А шторка классная - напоминает погоны старших офицеров, но почему-то не ФСБ (у них просветы васильковые), а полиции (или СК, ФСИН, Росгвардии, МЧС)
_______
Источник | #alukatsky
Иными словами, шторка на веб-камеру, которая борется с видовыми утечками, - это тоже средство защиты информации. И она должна быть с 1-го января 2025 года только отечественной! Теперь при встрече надо спросить у коллег из НКЦКИ - у них веб-шторки отечественные или произведенные в Китае? А то она меня защищала от врагов, но я не могу идти против Указа Президента.
ЗЫ. Хорошо, что у нас вещества для защиты информации не используются.
ЗЗЫ. А шторка классная - напоминает погоны старших офицеров, но почему-то не ФСБ (у них просветы васильковые), а полиции (или СК, ФСИН, Росгвардии, МЧС)
_______
Источник | #alukatsky
Сценарный анализ происходящего в мире. Собственно, откуда пошло про 3 месяца ожидания, когда иностранные компании решат - уходить или оставаться
_______
Источник | #alukatsky
_______
Источник | #alukatsky
С днем шифровальщика! Именно в этот день в 1921 году согласно Постановлению Совета народных комиссаров РСФСР была создана советская криптографическая служба
_______
Источник | #alukatsky
_______
Источник | #alukatsky
Если вдруг 🙅♂️ вам захочется послушать все, что говорилось на сочинском Инфофоруме ☝️, то на Youtube выложено несколько часов трансляции.
Самое занятное, конечно, это то, что трансляция Инфофорума велась на Youtube 😂, спикерский ПК был на Винде 😂, а все презентации показывались в MS Office или Acrobat Reader 😂. При этом весь форум, все спикеры как один, говорили об импортозамещении, как важной составляющей цифрового суверенитета страны 🙆
Ну что тут можно сказать? Показательно 🤪
_______
Источник | #alukatsky
Самое занятное, конечно, это то, что трансляция Инфофорума велась на Youtube 😂, спикерский ПК был на Винде 😂, а все презентации показывались в MS Office или Acrobat Reader 😂. При этом весь форум, все спикеры как один, говорили об импортозамещении, как важной составляющей цифрового суверенитета страны 🙆
Ну что тут можно сказать? Показательно 🤪
_______
Источник | #alukatsky
Последние нашумевшие взломы (Uber, Okta, Microsoft, LastPass, Cisco и т.п.) объединяет одно - обход многофакторной аутентификации. Не пора ли выбросить ее на свалку или все-таки у этой защитной меры есть шанс на достойное существование и надо просто правильно ее использовать?
_______
Источник | #alukatsky
_______
Источник | #alukatsky
Бизнес без опасности - Блог, выступления, статьи, лекции, книги и немного юмора про кибербезопасность от Алексея Лукацкого
Взлом Uber, Cisco и Okta или не пора ли выкинуть MFA на помойку? - Бизнес без опасности
Думаю, что вы слышали о взломе Uber, Cisco, LastPass, Okta, Microsoft, Twitter, Cloudflare, Twilio? Если нет, то позволю себе напомнить. Взлом LastPass В инциденте с LastPass злоумышленник получил доступ в сегмент разработки через скомпрометированный компьютер…
РКН доработал проект методики по оценке вреда субъектам ПДн в случае нарушения закона о персональных данных. Я, конечно, надеялся что в РКН хоть как-то напрягут извилины или пригласят экспертов по оценке ущерба или хотя бы скопипастят у иностранцев (ну а почему нет), но нет 😭 Получили банальщину - три степени ущерба (классический светофор), где за каждой просто скрывается набор статей ФЗ и ПП в области ПДн, нарушение которых и считается вредом субъектам, 99% которых про закон о защите их ПДн слыхом не слыхивали 🤮
_______
Источник | #alukatsky
_______
Источник | #alukatsky
В истории взлома ГРЧЦ есть три занятные линии. Во-первых, организация заявляет, что взлом был контролируемый и специалисты организации специально дали хакерам Союзного государства возможность делать свое черное дело, чтобы изучить их техники и тактики. Прям не ГРЧЦ, а honepot масштаба организации какой-то. Это прям новация в ответах для СМИ.
Во-вторых, в утекших данных имеются персональные данные, которые неправомерно были переданы за пределы оператора ПДн, а следовательно ГРЧЦ должен был в течение суток уведомить РКН об инциденте, а в течение 3-х - прислать результаты внутреннего расследования. Интересно, они это сделали? Как писал РКН в отношении произошедшей на днях утечке из Whoosh, "Согласно изменениям в законодательстве о защите персональных данных с 1 сентября 2022 года оператор, допустивший утечку, в течение суток обязан уведомить об этом Роскомнадзор. По состоянию на 18:00 14 ноября 2022 года от владельца сервиса Whoosh такое уведомление в Роскомнадзор не поступило. Указанное обстоятельство будет учтено при проведении проверки". Интересно, как отреагирует РКН на этот раз?
Ну а в третьих, ГРЧЦ заявляет, что доступа к закрытой информации хакеры не получили. А ПДн своих работников они к какой информации относят? К общедоступной? А информация о средствах защиты, установленных для сотрудников паролях и т.п. не относится к информации указанной в упомянутом вчера приказе ФСБ №547?
_______
Источник | #alukatsky
Во-вторых, в утекших данных имеются персональные данные, которые неправомерно были переданы за пределы оператора ПДн, а следовательно ГРЧЦ должен был в течение суток уведомить РКН об инциденте, а в течение 3-х - прислать результаты внутреннего расследования. Интересно, они это сделали? Как писал РКН в отношении произошедшей на днях утечке из Whoosh, "Согласно изменениям в законодательстве о защите персональных данных с 1 сентября 2022 года оператор, допустивший утечку, в течение суток обязан уведомить об этом Роскомнадзор. По состоянию на 18:00 14 ноября 2022 года от владельца сервиса Whoosh такое уведомление в Роскомнадзор не поступило. Указанное обстоятельство будет учтено при проведении проверки". Интересно, как отреагирует РКН на этот раз?
Ну а в третьих, ГРЧЦ заявляет, что доступа к закрытой информации хакеры не получили. А ПДн своих работников они к какой информации относят? К общедоступной? А информация о средствах защиты, установленных для сотрудников паролях и т.п. не относится к информации указанной в упомянутом вчера приказе ФСБ №547?
_______
Источник | #alukatsky
Коммерсантъ
Хакеры подписались на частоты
Структуру Роскомнадзора атаковали злоумышленники