Мошенники начали звонить пользователям от имени «Госуслуг»

[stalinets]

Я так понимаю, подмены номера, перехват sms и прочие штучки возможны лишь потому, что в древние года стек протоколов ОКС№7 не был рассчитан с точки зрения безопасности. Почему бы как в старые времена не собраться AT&T, IBM и прочим крупным телекоммуникационным, IT компаниям и корпорациям и не разработать новые протоколы, сразу в цифре, со скозным шифрованием, модным блокчейном с рейтингами узлов и т.д. и т.п. И потихоньку переводить телекоммуникации на них, где эти хацкерские штучки и мошенничество станут невозможными.

[Mitch]

Так тут же просто социальная инженерия а не технический хак

[tmin10]

Ещё имеет место быть уязвимость процедуры восстановления доступа к учётной записи, когда такой важный аккаунт (а там и получение кредитов и голосование, и прочее) завязан на знании кода из смс и серии и номере паспорта (сколько их уже утекало везде). Возможно имело бы смысл добавить дополнительные процедуры защиты (возможно опциональные, вроде резервных кодов).

[Popadanec]

Так вроде уже подумали и Гугл решил. И даже уже начал внедрять RCS.

[iridiumhawk]

Вчера звонили мне как бы с Госуслуг, знают мои ФИО (связанные с телефонным номером), утверждали, что кто-то перепривязал другой номер телефона в личном кабинете и хотели узнать смс код чтобы "исправить на старый номер". Когда СМСка пришла, там было написано "код восстановления к учетной записи ХХХХ". Когда я сам попробовал с сайта Госуслуг восстановить доступ, у меня спрашивали дополнительные данные (номер паспорта, ИНН, СНИЛС). И тут два варианта - либо у мошенников уже есть мои данные (и тогда зачем им в Госуслуги заходить?), либо они пользуются какой-то уязвимостью, которая позволяет запрашивать код восстановления не вводя дополнительные данные.

[derwin]

узнать фио по телефону не проблема. Открываешь сбербанк онлайн, делаешь перевод 1р на номер телефона. Тебе высвечивается ИО и первая буква фамилии. Можно не подтверждать. Обычно специалисты службы безопасности банка не обращаются по фамилии, они обращаются по ИО. Это 100% социальная инженерия.

Я звонил в сбер, чтобы скрыть эту инфу обо мне, мне отказали.

[balamutang]

Все идет к тому что для банка и прочих госуслуг надо иметь отдельную симку на старой нокии, номер которой нигде не засвечен

[DrySpy]

с этого все всегда начиналось в финансовой безопасности, но лучше поздно, чем никогда дойти до элементарных вещей…

[grizzly_8]

То есть добрых людей из "службы безопасности банка" можно троллить предлагая назвать вашу фамилию?

[Dolios]

и тогда зачем им в Госуслуги заходить?

Наверняка в каких-нибудь говнобыстроденьгах можно кредит взять, авторизовавшись через госуслуги.

[salnicoff]

Можно, таких контор уже три или четыре. Собственно, поэтому мошинники и занялись получением доступа к Госуслугам. Кстати, бяка в том, что оспаривать взятие такого кредита ну очень сложно.

[Popadanec]

Уже готовится к рассмотрению закон о запрете оформления кредитов при написании соответствующего заявления от гражданина. Т.к. люди обычно знают заранее о необходимости взять кредит, то большую часть времени они могут запрет не отзывать, снимая его только на время оформления нужного им кредита(но снятие запрета будет происходить в течении 10 дней, чтобы уменьшить вероятности ошибок/мошенничества).
Как это сделали с запретом по умолчанию для продажи имущества через интернет.

[Dolios]

Вместо этого цирка по кредитам и кредитным картам нужно ввести законодательно zero liability и пускай банки, у которых есть на это ресурсы, занимаются нормальным контролем при выдаче и разбирательствами с мошенниками. Моментально все сошло бы на нет и остались бы только отдельные редкие эпизоды мошенничества.

[salnicoff]

Ага, а потом в Госуслугах появится функция — моментальное снятие запрета без похода в МФЦ и бумажного заявления. Проблему надо решать флэшкой-ключом, которую для мошенничества нужно физически красть у хозяина, а не придумыванием очередных заявлений. Понятно, что баттхерд при внедрении таких ключей будет знатный, но зато деньги целее будут. Кстати, интернет-банкинг в свое время с таких ключей и начинался, потом только на «подпись через SMS» перешли.

[Popadanec]

Это неудобно(и ещё больше усложнит доказывание факта мошенничества). А нужно соблюсти баланс между удобством и безопасностью.
И власти невыгодно чтобы деньги уходили налево это к тому же подрывает к ней и так невеликое доверие.
По мне это оптимальный выход. Особенно для пожилых/неграмотных(в этом плане) людей.

[Lsh]

Эксперт подчеркнул, что всем пользователям «Госуслуг» следует подключить двухфакторную авторизацию

Т.е. аутентификацию. Кстати, можно для этого использовать, например, Google аутентификатор или другой подобный инструмент? Чтобы не через смс это было.

[tmin10]

Там вроде выбора-то нет.

UPD: хотя есть пункт входа с помощью ЭП.