Я был достаточно неосмотрителен, чтобы эта история произошла со мной, но, возможно, достаточно технически грамотен, чтобы рассказать ее детали, сдерживая эмоции и понимая, что происходит, в отличии от большинства людей, оказавшихся в этой ситуации еще и с ощущением полного непонимания происходящего.

Когда появились госуслуги, на них не было автоматического информирования о входах в аккаунт с непривычного IP, не предлагалась двухфакторная аутентификация. Я создал пароль достаточно надежный - не использованный нигде ранее, и считал,что все отлично, не меняя его 5 лет. На портал заходил я редко, но авторизовывал через ЕСИА государственные сервисы. Госуслуги присылали рассылки на почту, а я был уверен, что при аутентификации с подозрительного IP или попытки брутфорса меня уведомят, а аккаунт заблокируют, ведь телефонный номер Госуслуги и так знают.

По-видимому, пароль от Госуслуг мне пришел в голову еще раз в качестве пароля от какого-то сайта, где я зарегистрировался с той же почтой, и с тех пор пара "почта-пароль" слилась в базы злоумышленников. Это все, что вам нужно знать о причинах произошедшего. Теперь о последствиях.

Утром 11 июля мне потребовалось авторизоваться на сайте Госуслуг, но "пользователь с таким email не зарегистрирован". Я набрал службу поддержки, назвал свой номер СНИЛС, а мне (не спрашивая всяких контрольных вопросов, что в моем случае было как раз хорошо) техподдержка заявила, что с этим номером СНИЛС аккаунт заведен 5 июля, почта и телефон там другие, а тот, в котором была ваша почта и телефон, удалены того же числа.

Была заведена заявка на техподдержку (удивительный ответ пришел позже и прочитать его вы сможете в конце статьи). Цель заявки - просто описать мне произошедшее, и по возможности выяснить, какие именно действия были предприняты еще в старом аккаунте (меня интересовало, авторизовались ли они через ЕСИА где-то еще, пытались ли создавать электронные подписи, брать кредиты именно под старым аккаунтом, так как в любом случае сам бы я увидел только историю нового аккаунта). Более того, оператор сказал, что в системе они не видят истории событий удаленных аккаунтов, а так бы с радостью рассказал бы, но, похоже, на том уровне, что есть у них доступ, такую историю им не видать.

Кроме того, оператором в аккаунте был перебит телефон и емейл на мои, мне пришла СМС подтверждения, и я смог зайти внутрь, полюбоваться на художества злоумышленников, прямо с телефона. Кроме того, я тут же подтвердил аккаунт через приложение Сбербанка. Расследование началось!

Первым делом обратил на себя внимание адрес регистрации, он был явно невозможный с точки зрения классификаторов адресов КЛАДР, даже удивительно, как удалось такой внести:

195009, г Санкт-Петербург, пл Ленина, д. 89, кв. 37. Поиски 89 дома на Площади Ленина в Петербурге у меня успехом не увенчались.

Затем я стал смотреть, что в моем аккаунте вообще осталось "моего", а что пропало навсегда. Первый беглый взгляда показал: исчезли внесенные в базу дети, но остались автомобили, остались выпущенные еще под тем моим аккаунтом электронные подписи, но исчезли обращения в госорганы вместе с их ответами (включая обращение в ГИМС, электронный отказ которого прямо сейчас у нас обжалуется в суде, к счастью, все документы и электронные подписи были выкачаны заранее). В общем, возникло ощущение, что то, что как-то внутри Госуслуг имело связь с емейлом или телефоном, оно здесь, а что было привязано к какому-то другому идентификатору, то пропало.

Поначалу мне даже показалось из-за этого неполного исчезновения, что все это последствие сбоя, невнимательной работы с БД на продакшене, а техподдержка в сговоре и пытается замести следы - я расчитывал, что пропадет уж все. Более того, я авторизовывался новым аккаунтам в ЕСИА в старые сайты, где уже были мои аккаунты ранее, тоже с авторизацией через ЕСИА, и там везде я попадал в свои же старые собственные аккаунты. То есть тоже, емейл был основным идентификатором? Короче, это оказалось довольно удобно.

Захожу в историю событий:

Удивление вызывает процесс перевода учетной записи до Подтвержденной. Что мешало оперировать с подтвержденной, но моей, где вбиты те же СНИЛС и Паспорт? Скорость добавления подсказывает, что орудует скрипт.
Удивление вызывает процесс перевода учетной записи до Подтвержденной. Что мешало оперировать с подтвержденной, но моей, где вбиты те же СНИЛС и Паспорт? Скорость добавления подсказывает, что орудует скрипт.

А вот история авторизаций:

11.07.2023

09:15:46

Самостоятельное восстановление пароля

176.59.114.231 Android, Chrome
05.07.2023

23:54:08

Вход в систему Профиль пользователя ЕСИА

Авторизация по номеру телефона. Личный кабинет физического лица

95.70.103.36 Windows, Edge
05.07.2023

23:54:03

Вход в систему Портал государственных услуг Российской Федерации

Авторизация по номеру телефона. Личный кабинет физического лица

95.70.103.36 Windows, Edge
05.07.2023

17:48:48

Выход из системы Портал государственных услуг Российской Федерации

95.70.103.36 –
05.07.2023

17:47:28

Изменение адреса электронной почты

95.70.103.36 Windows, Edge
05.07.2023

17:47:21

Вход в систему Профиль пользователя ЕСИА

95.70.103.36 –
05.07.2023

17:47:19

Вход в систему Портал государственных услуг Российской Федерации

95.70.103.36 –
05.07.2023

17:47:17

Из нее пока ничего такого интересного не следует. Принимаюсь читать о возможных последствиях угона УЗ Госуслуг, понимая, конечно, что основные интересности могли произойти со старой УЗ, к которой нет доступа. Новых электронных подписей нет, объекты недвижимости вроде пока все те же самые в списках имущества в приложении налоговой. Возникает идея проверить кредитную историю - в ней могут отражаться и взятые кредиты (как раз прошло 5 дней и все кредитные организации, включая микрокредитные, должны донести свою информацию о них), и запросы к кредитной истории от таких организаций.

Перехожу на сайт https://person.nbki.ru/ и нахожу там...

Во-первых, нахожу, что сам еще в 2022 году формировал отчет по своей кредитной истории, хотя напрочь не помню для чего и зачем это делал. Далее, в 5 июня был запрос рейтинга ПКИ теми самыми злоумышленниками.

Интересно, что время запроса - еще при "жизни" старого аккаунта, в 16:46. Как уж авторизация ЕСИА пропускала его и со старой УЗ, и с новой УЗ, я так и не понял.
Интересно, что время запроса - еще при "жизни" старого аккаунта, в 16:46. Как уж авторизация ЕСИА пропускала его и со старой УЗ, и с новой УЗ, я так и не понял.

Очевидно, это значение сподвигло их как-то попытаться проделать с аккаунтом то, что они проделали.

Формируем новый отчет кредитных историй и смотрим на предмет подозрительного.. А там:

Запрос к кредитной истории от некого ООО МКК "Триумвират"
Запрос к кредитной истории от некого ООО МКК "Триумвират"

Гуглим этот "Триумвират"... А там все отзывы примерно про мою ситуацию: https://banktop.ru/mfo/privetsosed/

Регина (Казань) | 12 июля 2023

Недостатки: Мошенники

Комментарий: Взламывают госуслуги, оформляют онлайн кредит, когда звонишь им то говорят что кредитов на твое имя у них нет. А в итоге висит просроченный долг. Удоды редкостные. Портят кредитную историю и ещё и должен остаёшься. Если кто‑то решил с ними вопрос положительно с свою сторону расскажите.

Михаил (Москва) | 02 июля 2023

Достоинства: Ничего

Недостатки: Мошенники

Комментарий: Украли данные паспорта после взлома гос услуг и взяли микрозайм. буду обращаться в суд.

Анонимно (самара) | 30 июня 2023

Достоинства: ничего

Недостатки: Твари ох....

Комментарий: В мае взломали госуслуги и, как оказалось, оформили микрозайм на сумму в 5000 рублей!! Я узнала об этом чисто случайно, из приложения сбера, когда увидела что у меня какой то левый кредит, который я не брала даже! Позвонила им, сообщила об этом, они суазали оформлять заявление в мвд, а потом направлять им на почту талон и само заявление. Будьте аккуратны и бдительны. Обязательно проверяйте кредитную историю раз в год.

Анонимно (Орел) | 28 июня 2023

Недостатки: Твари, мошенники! Крадут данные, оформляют кредиты на людей без их ведома.

Комментарий: Крадут данные, взламывают госуслуги, затем полностью удаляют кабинет госуслуг. Нет никаких данных, оформляют на людей кредиты без из ведома. Портят кредитную историю людям.

Анонимно (Санкт‑Петербург ) | 20 июня 2023

Достоинства: Ничего

Недостатки: Взломали через госууслуги, оформили мошейнеческий кредит, и это при условии что я был в командировки без какой либо связи

Ну пока подождем так кидаться с огульными обвинениями на организацию.

Становится понятно, что "работает мошеннический скрипт", который скорее всего использует Госуслуги для копирования данных, достаточных для заполнения формы заявки на микрокредит в сервисе микрокредитов "Привет, сосед" (это и есть ООО МКК Триумвират).

И вот именно тут-то мне и стало страшно. Оказывается, достаточно паспортных данных и правдоподобно заполненной формы, чтобы уже сделать первый шаг к получению микрокредита. Никакого очного предъявления личины к документам уже не нужно! Данные могут быть и не украдены с УЗ Госуслуг, а например, скопированы у кадровика в крупном предприятии. И вообще, мы привыкли думать, что собственно паспортные данные не шибко защищены, но что вообще можно такого сделать с ними, а оказывается можно. Получается, что для защиты от такого, особенно теперь, когда они точно у мошенников есть (хотя были и раньше, ведь звонили же с ними по телефону), паспорт надо менять также, как пароль, как истекший авторизационный токен. Но паспорт это не короткоживущий токен! У меня сейчас в работе несколько "оффлайн-транзакций", в ходе которых я не должен менять паспорт! Короче, ситуация ужасная, но выход из нее был только в том, чтобы подключить за 750 рублей отслеживание взятых кредитов в бюро кредитных историй, без понимания, что же все-таки правильно делать, если такое уведомление таки придет.

Но чтобы сделать это, пришлось еще через техподдержку удалить аккаунт НБКИ, потому что в нем были забиты данные мошенников (емейл) и сбросить их было нельзя. Вот кстати, их емейл. Остался там забит, можете написать пару ласковых... opodg@mailto.plus

Далее, понимая, что паспортные данные все равно скомпрометированы, завожу аккаунт с ними на "мой сосед" и пытаюсь взять тот же займ. С облегчением получаю отказ. Несмотря на рекламные "вероятность одобрения 90%" на этапе предзаполнения:

Далее, без особого доверия, конечно, к полученной информации, звонок в их техподдержку. Сообщаю без доказательств, что я это я, по их запросу, серию и последние три цифры паспорта, и устный ответ, что на ваш документ открытых кредитов нет, а в истории попыток - есть. Принимают заявление на письменный ответ на емейл в течение 12 дней.

Возможно, какой-то антифрод и срабатывает у "моего соседа", мол, зачем нужен микрокредит человеку с рейтингом ПКИ в районе 860, если он прямо сейчас платит "совсем не микро" кредит, и платит в срок и с досрочным гашением.

Наконец, точку с запятой в этой истории поставил ответ от Госуслуг с описанием их внутреннего расследования ситуации:

Уважаемый... җаным!

По обращению, зарегистрированному под номером INC000017615532, был проведен анализ, в ходе которого установлено, что 05.07.2023 года на ваше имя была зарегистрирована в Единой системе идентификации и аутентификации (далее - ЕСИА) учетная запись (далее - УЗ) и подтверждена в Центре обслуживания (далее – ЦО) – Янгильский сельсовет муниципального района Абзелиловский район Республики Башкортостан, адрес: Республика Башкортостан, Абзелиловский р-н, с. Янгельское, ул. Титова, 1

В настоящее время ЦО был заблокирован за недобросовестную работу.

Обращаем внимание, что Служба поддержки Портала не несет ответственности за деятельность ЦО.

Для получения дополнительных разъяснений вы можете обратиться в данный ЦО лично.

Предоставить информацию о более раннем состоянии УЗ не представляется возможным, поскольку УЗ была удалена.

В соответствии с 152 Федеральным законом от 27.07.2006 года "О персональных данных" из Единой системы идентификации и аутентификации удаляются все данные, прямо или косвенно относящиеся к пользователю, поэтому идентифицировать такую УЗ и предоставить по ней какую-либо информацию не представляется возможным.

УЗ могла быть удалена злоумышленниками после получения к ней доступа.

Также вы можете обратиться в отделение Министерства внутренних дел России (далее - МВД) со скриншотами событий в ЛК, для составления заявления.

Предоставление официального заключения, использующего в уголовном деле, происходит по запросу МВД или следствия.

Во избежание несанкционированных действий в УЗ со стороны третьих лиц, рекомендуем включить усиленную аутентификацию, а также задать контрольный вопрос.

Для включения усиленной аутентификации необходимо выполнить следующие действия:

  1. Войдите в личный кабинет и нажмите на ваши ФИО в правом верхнем углу экрана.

  2. В меню выберите пункт "Профиль", далее "Безопасность".

  3. На открывшейся вкладке в разделе "Вход с подтверждением по SMS" нажмите на кнопку "Настроить".

  4. Введите пароль и нажмите на кнопку "Включить".

При включенной усиленной аутентификации при каждом входе в систему по паролю вам будет отправляться sms-сообщение с кодом подтверждения, который необходимо вводить в специальное поле.

Обращаем внимание: при смене номера мобильного телефона происходит отправка кода подтверждения по старому номеру до тех пор, пока новый номер не будет подтвержден.

Задать контрольный вопрос вы можете в разделе "Профиль" в блоке "Безопасность", выбрав "Контрольный вопрос".
Придумайте контрольный вопрос, ответ на него, подтвердите действие паролем от личного кабинета и нажмите кнопку "Включить".

Дополнительно сообщаем: что все события сохраняются в разделе "Действия в системе" вашего личного кабинета. Перейдите по ссылке https://lk.gosuslugi.ru/settings/safety/events, на вкладке отобразятся все выполненные авторизации под вашей учётной записью.

Если вами замечена авторизация на сторонний сайт без вашего ведома, рекомендуем обратиться в службу поддержки этого сайта для уточнения совершенных на сайте действий.

Для сохранения истории взаимодействия при последующей переписке по данному запросу обязательно сохраняйте тему письма.

Бла��одарим за обращение на Портал госуслуг.
Анализ поступающих вопросов и предложений помогает нам улучшать работу Портала.

С уважением,
Служба поддержки Портала госуслуг
8(800)100-70-10
www.gosuslugi.ru (http://www.gosuslugi.ru/)

Особенно мне понравилась идея поехать лично разбираться с ЦО в Абзелиловский район и объяснение, почему нельзя иметь аудит данных и предоставить их мне же, хозяину удаленного аккаунта, ФЗ о защите персданных.

Я, разумеется, включил двухфакторку через СМС, добавил контрольный вопрос, удалил действующую электронную подпись, пережившую переход в другой аккаунт, так и не разобравшись, можно ли что-то с ней сделать, включил уведомления о входах на емейл.

Разработал свою систему удобозапоминаемых неподбираемых паролей, но она подходит только для татар. Берем фамилию классика татарской литературы, переводим имя на латинский алфавит, конвертим не-ASCII буквы в сочетания, добавляем год смерти. Получаем ghabdullatuqay1913, maecitghafuri1934, fatixaemirxan1926.

Сделал оргвыводы: если сайт знает ваш телефон и емейл, не значит, что в случае "странной" авторизации он уведомит вас сам. Следите за включенностью двухфакторной аутентификации и уведомлений.

Впечатление об организации Госуслуг: единая точка, куда сведено много всего, что делает удобным манипуляцию мошенника, но размазанная отвественность, что делает неудобным противодействие им.

Точка в истории еще не поставлена, и возможно не поставится даже после смены паспорта.

P.S. Если вам статья показалась полезной, и вы хотите отблагодарить автора, пропустите пожалуйста из песочницы эту статью: https://habr.com/ru/sandbox/85473/ Она моя же, но инвайт мне дали не за неё, так и осталась в песочнице, хотя вроде и полезна :)