Блог им. sng

Поставьте 2FA на Госуслугах - это архиважно

Ситуация произошла ещё в середине февраля. Сидел вечером за компьютером, и вдруг пришло письмо о том, что сформирована запрошенная справка о перечне бюро, в которых хранится моя кредитная история. Я удивился, т.к. никаких заявок не оставлял. Сразу же появились плохие предчувствия. Заглянул в одно бюро из тех, которые фигурировали в справке. Увидел там неутешительную информацию: кредитный рейтинг 712 (ранее был 800+) и странный показатель: «Наличие отказов: 58%».

Скачал отчёт по кредитной истории, и увидел там две попытки взять микрокредит на 10'000₽ в МФО в сентябре и в ноябре 2021 года с отказом в выдаче, а также запрос кредитной истории от МТС-Банка, с которым я никогда никаких дел не вёл. Стало очевидно, что меня взломали на Госуслугах.

Пошёл в Госуслуги, и на страничке Профиль -> Безопасность -> Действия в системе увидел, что у меня здесь проходной двор! Есть входы с IP из Кировской области, из Уфы, и откуда только нет. На вкладке «Моб. приложения» увидел, что я залогинен помимо своего устройства ещё и с некоего iPhone SE, и еще пары устройств. И всё берёт своё начало в сентябре 2021.

Окей, я нажал кнопку «Выйти» напротив всех устройств, сменил пароль, поставил двухфакторную аутентификацию, а также уведомление письмом на почту о каждом входе в систему. Не совсем понимаю, зачем мошенникам потребовалось запрашивать справку о перечне мест, где хранится моя кредитная история, и что они с этой кредитной историей хотели делать. Но на этом они спалились.

Начав искать истоки, как мой личный кабинет на Госуслугах мог быть взломан, я вспомнил один случай. Примерно в то же время Google Chrome сообщал мне, что мои пары логин-пароль на нескольких сайтах были скомпрометированы. Это были всякие магазины сантехники и какие-то непонятные техпорты. Я тогда не обратил на это никакого внимания, ведь мне не было особо важно, что там и как, а карту свою я нигде не привязываю, предпочитая вбивать данные при каждой покупке заново. И тут я всё понял: на некоторых сайтах пара логин-пароль была такая же, как на Госуслугах!

Да, я — тот самый идиот, который на Госуслуги поставил самый простой пароль, который применял ещё на десятке сайтов, и двухфакторную аутентификацию не настраивал.

Я думал, что до моих данных никому нет дела. В итоге чуть не оказался счастливым обладателем микрокредитов. Отделался лёгким испугом. Не будьте такими как я. Ставьте двухфакторку на ГУ. Периодически заглядывайте в кредитную историю, даже если не берёте кредитов. Бюро кредитных историй, как правило, позволяют дважды в год бесплатно сформировать отчет о кредитной истории — пользуйтесь этим.

-----
С уважением, Александр Елисеев aka Finindie
Блог в Телеграм: t.me/Finindie
Блог в YouTube: www.youtube.com/c/finindie

★38
46 комментариев
Изначально ставил двуфакторную идентификацию с информированием на почту.

Справку о бюро, где хранятся кредитные истории, я сам заказал… А вот свой рейтинг в бюро посмотреть не смог: в обоих бюро сказано, что он выдаётся только после идентификации у них при личной явке. И находятся они в не слишком удобных местах.
avatar
А. Г., в каком году это было? В большинстве современных БКИ при наличии подтвержденной записи в ГУ никуда ходить не нужно.
Валерий Крылов, в 2020-м, у меня до января 2020-го и аккаунта на ГУ не было. А как завел, то сразу и верифицировался в ближайшем отделении Сбербанка.
avatar
А. Г., проверьте сейчас. Я запрашивал в 3-х конторах, везде никуда ездить не нужно было и бесплатно.
А. Г., так это были вы?
avatar
А. Г., примерно года 3 слежу за рейтингом у себя и у супруги просто в БКИ (в двух). Вроде как не требуют личного присутствия.
avatar
Хорошо квартиру не продали)
avatar
не, я только уникальные пароли использую! пароль к квику один, у почты второй, к банк-онлайн третий, к госуслугам четвертый, если где-то взломают, то потери будут минимальными. 
а двухфакторную авторизацию на госуслугах ввёл ещё год назад, когда один человек здесь написал что с помощью госуслуг на него взяли кредит.
avatar

Сама идея использовать госуслуги крамольна. Вся инфа в одном месте. Зачем вам оно? Используйте сайты госструктур, с которыми имеете дело непосредственно.

Сейчас есть МФЦ, которые часто не плохо работают. Часть действий можно с помощью них сделать.

Вопрос другой, можно ли удалиться с госуслуг?

avatar
Andrey, я завел, чтобы загранпаспорт получить в 2020-м, чтобы не сидеть и не заполнять анкеты руками. А потом удобно стало: и брокерский договор удаленно заключил, и к медкарте полный доступ, любая запись к врачу удаленно, никуда звонить не надо, QR-код после прививки опять же скачал и все. Из пенсионного фонда справку легко получил. А вот именно с кредитными историями «облом» вышел, о чем написал выше.

А верифицировался в простом отделении Сбербанка по близости.

А до этого не пользовался, так как ЛК в налоговой хватало.
avatar
А. Г., брокерский договор удаленно у кого?
avatar
Андрей, про тех, кого знаю, что можно: Финам, ВТБ, Открытие и БКС.
avatar
А. Г., то есть я могу ни разу не бывавши в ВТБ открыть там удаленно брокерский счёт?
avatar
Андрей, если у Вас верифицированный аккаунт на Госуслугах, то да, можете. Только деньги и бумаги примут со счетов только на то имя, на которое заключён договор. Для того, чтобы принять их с третьего лица, придется лично посетить офис и объяснить почему так.

И вывести средства можно только на те счета, с которых они пришли. Для новых счетов опять же придется ехать в офис лично.
avatar
спс за инфо👍
Тимофей Мартынов, по 2 отчёта бесплатно полных и 2 простых 
то в общем проверять себя можно 16 раз в год 

вот 4 больших 
credistory.ru/
www.nbki.ru/
online.equifax.ru/
www.rs-cb.ru/


avatar
по хорошему раз в месяц нужно менять пароли в важных для вас сайтах и приложениях 
avatar
" тот самый идиот, который на Госуслуги поставил самый простой пароль, который применял ещё на десятке сайтов"
ну проблема то явно в этом, а не в отсутствии 2FA.  опять же — есть подтверждение в виде смс на вход. его более чем достаточно 
avatar
Petr S, смс для входа, это и есть 2FA
Подскажите, пожалуйста, как и где можно посмотреть свою кредитную историю (бесплатно)?
avatar
Albert, на ГУ есть услуга Сведения о бюро кредитных историй. Результатом является перечень БКИ, в которых есть ваша КИ. Далее на Яндекс и их сайты.
Albert, вот 4 больших 
credistory.ru/
www.nbki.ru/
online.equifax.ru/
www.rs-cb.ru/
avatar
2fa и разные пароли- это важно. А запрашивать могут и без Вашего согласия. У Я смотрел запросы- видел от Открытия. Хотя там никогда счетов не имел. Там Кадровичка всех хотела перевести на ЗП карты (но директор сказал- добровольно). даже передали мои перс данные открывашки и они выпустили карту (я отказался получать). Но как факт что они без явного моего согласия и моей подписи  (бумажой или электронной) создать запрос
avatar
Gregori, у меня открытие три раза в кредитной истории рылось, хотя я там никогда не был!
avatar
Rostislav Kudryashov, у вас уже включена она!
avatar
Если что, из Уфы не я заходил.
А вообще спасиб. Поставил двухфауторку и сменил e-mail на российский.
Кстати запросы кредитных запросов можете глянуть тут nbki.ru Авторизация через Госуслуги
avatar
Вообще не понимаю, как можно было додуматься госуслуги без 2FA держать??? Наблюдая, как эти люди воюют на Украине, и что Навальный телефончики своих отравителей из секретного отдела ФСБ (!!! секретного отдела ФСБ !!! @ля-я-я!!!) пробил — как можно доверять этим людям безопасность своих данных? Мне, наверное, в среднем раз в месяц приходит код подтверждения для входа (которого я не запрашивал) — т.е. кто-то регулярно пытается залезть на мой профиль на ГУ.
По этой же причине я из аккаунта на ГУ удалил все персональные данные, какие возможно, или заменил на фэйковые — иначе это считай равносильно просто слитию про себя в даркнет всех своих реквизитов, бери потом тепленького.
avatar
MadQuant, ничего Навальный не пробил — это была МИ-6. И наверняка новый скрипаль у них завелся. Только от всей этой спец. операции толку пшык.
avatar
DrManhattan, не знаю Навальный там или ми-6, но факт в том, что пробивку с телефонов секретного подразделения ФСБ продали налево за 3 копейки (там кого-то же вроде задержали за это, видимо посадили).
avatar
MadQuant, ты сам то веришь в эту чушь. Какой идиот продаст секретные данные за 3 копейки? Тут домик на Майями-бич наклевывается и безбедная пенсия как у Скрипаля.  
avatar
DrManhattan, какой домик, вы о чем? «Пробивка» номера (как выясняется, почти любого) через ментов стоит чуть дороже утреннего кофе, 5-15 тыр.
avatar
MadQuant, так ты и пробъешь на васю пупкина, которого в природе не существует. Или агенты ФСБ тупее тебя или ментов?
avatar
DrManhattan, вы вообще не в теме, завязывайте спорить по теме в которой ни в зуб. Пробивают менты, они сами не знают кого пробивают.
avatar
MadQuant, еще один специалист по ОРМ. Кроме фсбешников, еще и менты тупее. Не знают кого пробивают, не знают кому сливают.
Полная несознанка, какая-то.

avatar
учитывая что кредитных бюро несколько и в каждой можно взять по 2 отчёта бесплатно полных и 2 простых 
то в общем проверять себя можно 16 раз в год 

вот 4 больших 
credistory.ru/
www.nbki.ru/
online.equifax.ru/
www.rs-cb.ru/

avatar
Пароль сложнее чем слово из словаря с разными регистрами и цифрами с вероятностью 99,(9) обезопасят от любых взломов. Двухфакторка, кстати, может использоваться как элемент атаки, если у злоумышленника окажется симка с номером телефона. В текущих реалиях это гораздо проще чем брутфорсить пароль на ресурсе.
Столкнулся точно с такой же ситуацией.

Только у меня все хуже. Кредит на меня успели оформить.
Узнал уже об этом, когда пришло письмо в физический почтовый ящик от коллекторов. Мол, я взял кредит в МФО.

Тоже заходы с айфона SE в госуслугах. И в день взятия кредита заход на мои госуслуги с линукса. Включил тоже двухфакторку.

Написал заяву в полицию. Коллекторы звонили каждый день на протяжении недели. Уже сама МФО провела внутреннее расследование и подтвердила, что кредита никакого я не брал, но они продолжали звонить. Им нужна была копия бумаги, свидетельствующая о том, что возбуждено уголовное дело. Потом МФО направило мне официальное письмо с печатью, что никакого кредита нет. Я его отправил коллекторам. И вуаля, они перестали звонить и кредитная история была восстановлена (она упала на 500 пунктов до этого, типа из-за просрочки).
Если кто-то столкнется с подобной ситуацией, пишите, подробно распишу, что делал.
Пароли лучше использовать разные) Иначе жди беды
да, я сам недавно установил серьезный пароль, а то предупреждали
avatar
Еще напомню выходить из системы если не у себя дома. Был однажды в МФЦ, так там на компах были залогинены чужие Госуслуги.
avatar
пароли должны быть со значками вида @#$%&
некогда объяснять: звонят из Службы Безопасности

через 5 минут: оказывается мой пароль был слабенький

и теперь система новые пароли пропускает только
если принципиально есть спец символы и заменил пароль
У тебя комп на Винде?   
avatar

теги блога Finindie

....все тэги



UPDONW
Новый дизайн