На днях один мой знакомый получил звонок от работника ФНС с целью уточнить некоторые данные по декларации 3-НДФЛ на возврат бюджетных денег за лечение. Удивлению не было предела: мало того, что декларацию эту он не подавал (!) так и возврат уже был проверен и одобрен (!!), возврат средств предполагался на неведомый счёт в МТС-банке на его имя (!!!), нужно было лишь уточнить сущие пустяки. Небольшая, но поучительная история.
Важный дисклеймер
Статья сия не жалобы ради, а исключительно для предотвращения подобных ситуаций у кого-либо ещё. Лишним раз не будет проверить аккаунты ваших менее подготовленных родственников (да и свои тоже) на предмет защищённости.
Надо сказать, что тот самый знакомый не самый глупый человек на земле, весьма близок к IT, у него был довольно сложный и уникальный (по крайней мере так казалось) пароль от Госуслуг, регулярно проверялась почта и смс, на разводки мошенников из "банков" не поддавался, однако ввиду некоторых обстоятельств при поспешном переезде за границу РФ, двухфакторная аутентификация была отключена для удобства и потенциальной недоступности входящих смс. Итого имеем: злоумышленник знал верную комбинацию логина\пароля от Госуслуг (пока неясно откуда), на учетной записи была отключена двухфакторка. Да, вроде бы и сам короткую юбку надел, но ситуация не предполагала к действиям здравого рассудка.
История началась с того, что одной глубокой ночью злоумышленник входит в Госуслуги, снимает галочки об уведомлениях о входе и действиях в личном кабинете. Ну а далее уже начались множественные скитания по различным сервисам куда даёт доступ ЕСИА, попутно авторизуясь в десятках сервисов, получая огромный объём персональных данных, включая финансовые:
Авторизации на госуслугах
Тут интересны два пункта: вход в на сайт ФНС (nalog.ru) и авторизация в платёжном шлюзе МТС. Каким образом злоумышленник умудрился открыть целый счёт в МТС-банке пока непонятно. Подозреваю, что через оформление eSim (с помощью тех же Госуслуг) к которому автоматом открывается счёт в МТС-Деньги\Банке, но это ещё в процессе выяснения. Запросы к кредитным историям были явно получены с целью получения списка текущих активных счетов в банках, дабы передать информацию "коллегам" по цеху для последующих обзвонов.
Ну и далее по списку много дополнительных авторизаций, например, в контуре mos.ru:
Список действий в контуре mos.ru
Но это отдельная история. Вернёмся к нашим декларациям.
Собственно, авторизовавшись на сайте ФНС, злоумышленник подготовил декларацию с целью получения налогового вычета за лечение, якобы за операцию на колене в 2021 году. К декларации были приложены весьма убедительные, но фиктивные документы (договор лечения, смета, лицензия и пр.).
Документ раз
Документ два
Документ три
При беглом осмотре никаких вопросов документы не вызывают, все реквизиты бьются с реальными данными (вытащенными, очевидно, с тех же госуслуг), часть документов легко гуглится для образца или вообще публичные. Клиника реальна, цены актуальны, договор полностью идентичен натуральному. Есть пара мелких кривостей типа странного емейла организации, но на это среднестатистический сотрудник камеральной проверки вряд ли обратит внимание. Также в декларацию были внесены абсолютно реальные сведения о полученных доходах за 2021 год, в том числе уплаченному НДФЛ. Всё это, как водится, вытащили с тех же Госуслуг. То есть в целом все выглядело крайне правдоподобно и корректно с точки зрения законных оснований для вычета. Сумма возврата предполагалась в размере ~15 тыс. руб. Реквизиты для получения возврата были указаны в МТС-Банке на ФИО владельца аккаунта. И вроде бы всё хорошо, но в декларации была допущена небольшая формальная оплошность, что и сподвигло сотрудника ФНС позвонить для уточнения. Забавно, что на момент проведения "операции" человек находился в другом полушарии, остаётся только порадоваться, что к базе данных пограничного контроля злоумышленник доступа не имел.
Реквизиты "непонятного" счёта в МТС-Банке
Отдельно хочу заметить, что для отправки декларации нужна ЭП, которая генерируется и хранится (рекомендованный ими же способ) на серверах ФНС. Злоумышленник не знал пароль от ранее выпущенного сертификата, потому без особых угрызений совести предыдущий сертификат был отозван и был сгенерирован новый с новым паролем, прям в личном кабинете. И уже вновь выпущенным сертификатом была подписана фиктивная декларация. Всё это занимает минут 10-15. Никаких подтверждений и\или уведомлений с сайта nalog.ru об этом не поступало, как собственно и с других сервисов. Это, конечно, фиаско. Декларация была успешно подготовлена cфабриковна, подписана и отправлена.
Отзыв сертификата на сайте ФНС
В сухом остатке: произошла полная утечка персональных данных, на многих второстепенных сервисах злоумышленник наследил в промышленных масштабах, произошла почти успешная попытка финансового мошенничества. И это только на первый взгляд. Злополучную декларацию сотрудник ФНС направил в нужное русло для корректировки и возврата. Также посетовал, что это уже не первого десятка подобный случай за последние пару месяцев и жаловаться в спортлото полицию, можно, но на практике эти заявления никто всерьёз не рассматривает. Заявление, однако, было всё равно подано через электронную приёмную, в основном интереса ради. Надо сказать, что дело происходит в провинции. О масштабах злодеяний в крупных субъектах РФ остаётся только догадываться.
Здесь история подходит к концу. Все пароли были успешно обновлены, подтверждения входа и уведомлений подключены, следы мошеннической деятельности заметены. Пока ещё продолжаются попытки выяснить с МТС и его банком детали открытия счёта без ведома владельца паспорта этого счёта.
В настоящий момент полностью верифицированная учётка на Госуслугах это ключ который открывает очень много дверей, кажется, что даже слишком. Тот факт, что этот ключ можно получить и использовать просто зная комбинацию логина и пароля весьма удручает. На Госуслугах не является обязательной двухфакторная аутентификация/вход по ЭП, кодовое слово и можно отключить уведомления о входе. Госуслугам не показались подозрительными юзерагенты устройств/адресов с которых раньше в учётку никто не заходил (например iOS, браузер Safari или Windows 7). А если вход кажется подозрительным, то просят ввести номер паспорта или прочую легкодоступную (если искать в правильных местах) информацию. Я уж не говорю насколько легко и просто интегрированы сторонние сервисы которые доверяют входящим запросам на авторизацию с Госуслуг предоставляя почти полный доступ к юридически значимым действиям. Без какого-либо дополнительного подтверждения по смс или почте. Здесь явно что-то не так. В одном американском банке при попытке разблокировать карту после подозрительного платежа, нужно отвечать на такие глубокие и каверзные вопросы (доступно только по телефону), что отсеет 95% воришек-любителей. Госуслугам явно есть куда расти в плане безопасности.
Надеюсь, что кого-то эта история подтолкнёт лишний раз сменить свои пароли, включить двухфакторку и не забывать о правилах сетевой безопасности.
P.S. Буду благодарен за дополнительную информацию к каким ещё критичным сервисам могли получить доступ и, что точно следует перепроверить.