Мошенники-«кадровики» выманивают коды от «Госуслуг» через чаты в Telegram

Учетная запись «Госуслуг» — лакомый кусочек для мошенников. Угнав ваш аккаунт, злоумышленники не только получают доступ к вашим персональным данным – адресу, СНИЛС, данным паспорта и других документов, номерам счетов — но могут также брать кредиты или микрозаймы, входить в ваши онлайн-банки, оформлять на ваше имя электронные сим-карты, авторизовываться от вашего имени в других сервисах и совершать еще много неприятных действий. Эксперты «Лаборатории Касперского» обнаружили новую мошенническую схему по угону аккаунтов в «Госуслугах». Рассказываем о том, как она работает и как защититься от злоумышленников.

«Коллеги, пришел приказ…»

Атака нацелена на сотрудников разнообразных российских компаний. Потенциальную жертву «представитель отдела кадров» добавляет в группу Telegram с убедительным названием, соответствующим имени компании, где якобы присутствуют и другие сотрудники компании. В чате сразу появляется убедительная легенда: компания «переносит данные актуальных кадров на электронные носители» и «удаляет из архива тех, кто не работает, чтобы они больше не числились».

Для пущей правдоподобности злоумышленники имитируют активные обсуждения в чате. Часть «участников» упоминает, что раньше уже слышала о подобной процедуре, и активно подтверждает свои ФИО и дату рождения. Другие не понимают, зачем все это нужно, и задают вопросы, на которые любезно отвечает «кадровик» — мол, это нужно для того, чтобы в архиве не было «мертвых душ», а работающим сотрудникам правильно начислялся стаж и не урезали пенсию. Конечно, Telegram-профили всех этих участников — фальшивые и нужны злоумышленникам лишь для того, чтобы убедить жертву в правдоподобности происходящего. На самом деле за такими «сотрудниками» стоят даже не люди, а боты, которых обучили вести убедительные беседы.

В какой-то момент «кадровик» обращается напрямую к жертве, говоря, что ждет только ее, — и та, убедившись, что ее «коллеги» активно делятся своими данными, отправляет в чат свои ФИО и дату рождения. После этого ее перенаправляют в «бот оцифровки данных», имитирующий сервис «Госуслуг» (спойлер: подобного сервиса в Telegram не существует). Бот просит поделиться номером телефона и отправляет в ответ шестизначный код-«ключ», который нужно передать «отделу кадров». На самом деле присланные ботом цифры не играют никакой роли — они нужны только для того, чтобы создать впечатление подлинной процедуры и запутать жертву.

После того как жертва поделилась с ботом мошенников еще и номером телефона, мошенники вводят его на подлинном сайте «Госуслуг», и на телефон жертвы приходит настоящее SMS от «Госуслуг» с кодом для подтверждения входа. Мошенники рассчитывают, что жертва, получив фальшивый код от бота и настоящий, от «Госуслуг», в SMS, не увидит разницы или решит, что это очередной этап подтверждения «оцифровки архивов». В итоге жертва либо машинально отправляет в чат оба кода подряд, либо «отдел кадров» объясняет ей, что нужно переслать еще и код из SMS, так как первый код, например, просрочился или не подошел.

К слову, ссылка на бот — реферальная: из нее мошенники могут понять, через какой именно канал человек попался на удочку. Так злоумышленники отслеживают как эффективность различных сценариев атак, так и «работу» конкретных исполнителей.

Что делать, если ваш аккаунт на «Госуслугах» взломали

• Изучите, как восстановить доступ к «Госуслугам», на официальном сайте и установите по-настоящему надежный пароль.
• После того как вы войдете в свою учетную запись, зайдите в раздел Профиль → Безопасность → Действия в системе и выйдите из системы на всех устройствах, кроме текущего, а также изучите историю сеансов.
• Затем перейдите в раздел Профиль → Безопасность → Приложения и изучите список устройств и приложений, в которых вы были авторизованы.
• Перейдите в Профиль → Уведомления. Там можно просмотреть действия и запросы, которые выполняли от имени вашей учетной записи. Если вы видите, что мошенники авторизовались через «Госуслуги» на другом сервисе, поменяйте пароли и там.
• Также изучите разделы Профиль → Согласия, Профиль → Разрешения и доверенности, Профиль → Сим-карты — нет ли там чего-то нового и неожиданного?
• Помните: SMS — не самый надежный способ двухфакторный аутентификации. Мы рекомендуем пользоваться одноразовыми кодами из приложения-аутентификатора, а не из SMS. О том, как настроить «Госуслуги» для этого, читайте в нашем посте Аутентификация на «Госуслугах» без SMS.

Как защититься от мошенников

• Используйте только проверенные каналы связи. Если в мессенджере вам приходит сообщение, например, от «отдела кадров» или других «коллег» с просьбой предоставить личные данные или «пройти проверку», свяжитесь со своим руководителем или проверьте информацию по другому каналу связи. Особенно стоит насторожиться, если ваша компания не использует чаты в Telegram и общается внутри корпоративного мессенджера.
• Не спешите выполнять просьбы, озвученные в чатах, особенно если вас только что добавили в новый чат, с участниками которого вы не знакомы лично.
• Пользуйтесь только официальными сайтами государственных сервисов. Не забывайте: государственные ведомства не присылают коды или уведомления в мессенджерах.
• Не переходите по незнакомым ссылкам и никому передавайте коды верификации из SMS или push-уведомлений. Мошенники не смогут взломать ваш аккаунт на «Госуслугах», если вы сами не отдадите им код-«ключ» от него.
• Не делитесь своим номером телефона с сомнительными ботами.
• Защитите важные сервисы двухфакторной аутентификацией. О том, что такое 2FA и как ей пользоваться, мы писали неоднократно.
• Пройдите наш бесплатный онлайн-курс кибергигиены, чтобы лучше разбираться в уловках мошенников и знать, как себя защитить от киберугроз.

Другие статьи про популярные мошеннические схемы в мессенджерах:

• Десять уроков, которые я вынесла после того, как меня (почти) развели мошенники
• Босс или мошенник? Обман под видом поручений начальства
• Мошенничество с ботом «Почты России» в Telegram
• Не вводите свой пароль где попало
• Вам (не) положена компенсация: все о ложном возврате НДС