Блог им. sng

Поставьте 2FA на Госуслугах - это архиважно

Ситуация произошла ещё в середине февраля. Сидел вечером за компьютером, и вдруг пришло письмо о том, что сформирована запрошенная справка о перечне бюро, в которых хранится моя кредитная история. Я удивился, т.к. никаких заявок не оставлял. Сразу же появились плохие предчувствия. Заглянул в одно бюро из тех, которые фигурировали в справке. Увидел там неутешительную информацию: кредитный рейтинг 712 (ранее был 800+) и странный показатель: «Наличие отказов: 58%».

Скачал отчёт по кредитной истории, и увидел там две попытки взять микрокредит на 10'000₽ в МФО в сентябре и в ноябре 2021 года с отказом в выдаче, а также запрос кредитной истории от МТС-Банка, с которым я никогда никаких дел не вёл. Стало очевидно, что меня взломали на Госуслугах.

Пошёл в Госуслуги, и на страничке Профиль -> Безопасность -> Действия в системе увидел, что у меня здесь проходной двор! Есть входы с IP из Кировской области, из Уфы, и откуда только нет. На вкладке «Моб. приложения» увидел, что я залогинен помимо своего устройства ещё и с некоего iPhone SE, и еще пары устройств. И всё берёт своё начало в сентябре 2021.

Окей, я нажал кнопку «Выйти» напротив всех устройств, сменил пароль, поставил двухфакторную аутентификацию, а также уведомление письмом на почту о каждом входе в систему. Не совсем понимаю, зачем мошенникам потребовалось запрашивать справку о перечне мест, где хранится моя кредитная история, и что они с этой кредитной историей хотели делать. Но на этом они спалились.

Начав искать истоки, как мой личный кабинет на Госуслугах мог быть взломан, я вспомнил один случай. Примерно в то же время Google Chrome сообщал мне, что мои пары логин-пароль на нескольких сайтах были скомпрометированы. Это были всякие магазины сантехники и какие-то непонятные техпорты. Я тогда не обратил на это никакого внимания, ведь мне не было особо важно, что там и как, а карту свою я нигде не привязываю, предпочитая вбивать данные при каждой покупке заново. И тут я всё понял: на некоторых сайтах пара логин-пароль была такая же, как на Госуслугах!

Да, я — тот самый идиот, который на Госуслуги поставил самый простой пароль, который применял ещё на десятке сайтов, и двухфакторную аутентификацию не настраивал.

Я думал, что до моих данных никому нет дела. В итоге чуть не оказался счастливым обладателем микрокредитов. Отделался лёгким испугом. Не будьте такими как я. Ставьте двухфакторку на ГУ. Периодически заглядывайте в кредитную историю, даже если не берёте кредитов. Бюро кредитных историй, как правило, позволяют дважды в год бесплатно сформировать отчет о кредитной истории — пользуйтесь этим.

-----
С уважением, Александр Елисеев aka Finindie
Блог в Телеграм: t.me/Finindie
Блог в YouTube: www.youtube.com/c/finindie

★38
46 комментариев
Изначально ставил двуфакторную идентификацию с информированием на почту.

Справку о бюро, где хранятся кредитные истории, я сам заказал… А вот свой рейтинг в бюро посмотреть не смог: в обоих бюро сказано, что он выдаётся только после идентификации у них при личной явке. И находятся они в не слишком удобных местах.
avatar
А. Г.
Проверенный аккаунт
+3
А. Г., в каком году это было? В большинстве современных БКИ при наличии подтвержденной записи в ГУ никуда ходить не нужно.
avatar
Валерий Крылов
Валерий Крылов, в 2020-м, у меня до января 2020-го и аккаунта на ГУ не было. А как завел, то сразу и верифицировался в ближайшем отделении Сбербанка.
avatar
А. Г.
Проверенный аккаунт
+4
А. Г., проверьте сейчас. Я запрашивал в 3-х конторах, везде никуда ездить не нужно было и бесплатно.
avatar
Валерий Крылов
А. Г., так это были вы?
avatar
Доктор
А. Г., примерно года 3 слежу за рейтингом у себя и у супруги просто в БКИ (в двух). Вроде как не требуют личного присутствия.
avatar
Андрей К
+1
Хорошо квартиру не продали)
avatar
UnembossedName
+2
не, я только уникальные пароли использую! пароль к квику один, у почты второй, к банк-онлайн третий, к госуслугам четвертый, если где-то взломают, то потери будут минимальными. 
а двухфакторную авторизацию на госуслугах ввёл ещё год назад, когда один человек здесь написал что с помощью госуслуг на него взяли кредит.
avatar
виталик

Сама идея использовать госуслуги крамольна. Вся инфа в одном месте. Зачем вам оно? Используйте сайты госструктур, с которыми имеете дело непосредственно.

Сейчас есть МФЦ, которые часто не плохо работают. Часть действий можно с помощью них сделать.

Вопрос другой, можно ли удалиться с госуслуг?

avatar
Andrey
+1
Andrey, я завел, чтобы загранпаспорт получить в 2020-м, чтобы не сидеть и не заполнять анкеты руками. А потом удобно стало: и брокерский договор удаленно заключил, и к медкарте полный доступ, любая запись к врачу удаленно, никуда звонить не надо, QR-код после прививки опять же скачал и все. Из пенсионного фонда справку легко получил. А вот именно с кредитными историями «облом» вышел, о чем написал выше.

А верифицировался в простом отделении Сбербанка по близости.

А до этого не пользовался, так как ЛК в налоговой хватало.
avatar
А. Г.
Проверенный аккаунт
А. Г., брокерский договор удаленно у кого?
avatar
виталик
+2
Андрей, про тех, кого знаю, что можно: Финам, ВТБ, Открытие и БКС.
avatar
А. Г.
Проверенный аккаунт
А. Г., то есть я могу ни разу не бывавши в ВТБ открыть там удаленно брокерский счёт?
avatar
виталик
+2
Андрей, если у Вас верифицированный аккаунт на Госуслугах, то да, можете. Только деньги и бумаги примут со счетов только на то имя, на которое заключён договор. Для того, чтобы принять их с третьего лица, придется лично посетить офис и объяснить почему так.

И вывести средства можно только на те счета, с которых они пришли. Для новых счетов опять же придется ехать в офис лично.
avatar
А. Г.
Проверенный аккаунт
спс за инфо👍
avatar
Тимофей Мартынов
Проверенный аккаунт
+2
Тимофей Мартынов, по 2 отчёта бесплатно полных и 2 простых 
то в общем проверять себя можно 16 раз в год 

вот 4 больших 
credistory.ru/
www.nbki.ru/
online.equifax.ru/
www.rs-cb.ru/


avatar
1234
по хорошему раз в месяц нужно менять пароли в важных для вас сайтах и приложениях 
avatar
Владимир Захаров
" тот самый идиот, который на Госуслуги поставил самый простой пароль, который применял ещё на десятке сайтов"
ну проблема то явно в этом, а не в отсутствии 2FA.  опять же — есть подтверждение в виде смс на вход. его более чем достаточно 
avatar
Petr S
+1
Petr S, смс для входа, это и есть 2FA
avatar
Andrey
Подскажите, пожалуйста, как и где можно посмотреть свою кредитную историю (бесплатно)?
avatar
Albert
Albert, на ГУ есть услуга Сведения о бюро кредитных историй. Результатом является перечень БКИ, в которых есть ваша КИ. Далее на Яндекс и их сайты.
avatar
Валерий Крылов
+1
Albert, вот 4 больших 
credistory.ru/
www.nbki.ru/
online.equifax.ru/
www.rs-cb.ru/
avatar
1234
+2
2fa и разные пароли- это важно. А запрашивать могут и без Вашего согласия. У Я смотрел запросы- видел от Открытия. Хотя там никогда счетов не имел. Там Кадровичка всех хотела перевести на ЗП карты (но директор сказал- добровольно). даже передали мои перс данные открывашки и они выпустили карту (я отказался получать). Но как факт что они без явного моего согласия и моей подписи  (бумажой или электронной) создать запрос
avatar
Gregori
Gregori, у меня открытие три раза в кредитной истории рылось, хотя я там никогда не был!
avatar
виталик
Rostislav Kudryashov, у вас уже включена она!
avatar
виталик
+1
Если что, из Уфы не я заходил.
А вообще спасиб. Поставил двухфауторку и сменил e-mail на российский.
Кстати запросы кредитных запросов можете глянуть тут nbki.ru Авторизация через Госуслуги
avatar
Hoorsh
Вообще не понимаю, как можно было додуматься госуслуги без 2FA держать??? Наблюдая, как эти люди воюют на Украине, и что Навальный телефончики своих отравителей из секретного отдела ФСБ (!!! секретного отдела ФСБ !!! @ля-я-я!!!) пробил — как можно доверять этим людям безопасность своих данных? Мне, наверное, в среднем раз в месяц приходит код подтверждения для входа (которого я не запрашивал) — т.е. кто-то регулярно пытается залезть на мой профиль на ГУ.
По этой же причине я из аккаунта на ГУ удалил все персональные данные, какие возможно, или заменил на фэйковые — иначе это считай равносильно просто слитию про себя в даркнет всех своих реквизитов, бери потом тепленького.
avatar
MadQuant
MadQuant, ничего Навальный не пробил — это была МИ-6. И наверняка новый скрипаль у них завелся. Только от всей этой спец. операции толку пшык.
avatar
DrManhattan
DrManhattan, не знаю Навальный там или ми-6, но факт в том, что пробивку с телефонов секретного подразделения ФСБ продали налево за 3 копейки (там кого-то же вроде задержали за это, видимо посадили).
avatar
MadQuant
MadQuant, ты сам то веришь в эту чушь. Какой идиот продаст секретные данные за 3 копейки? Тут домик на Майями-бич наклевывается и безбедная пенсия как у Скрипаля.  
avatar
DrManhattan
DrManhattan, какой домик, вы о чем? «Пробивка» номера (как выясняется, почти любого) через ментов стоит чуть дороже утреннего кофе, 5-15 тыр.
avatar
MadQuant
MadQuant, так ты и пробъешь на васю пупкина, которого в природе не существует. Или агенты ФСБ тупее тебя или ментов?
avatar
DrManhattan
DrManhattan, вы вообще не в теме, завязывайте спорить по теме в которой ни в зуб. Пробивают менты, они сами не знают кого пробивают.
avatar
MadQuant
MadQuant, еще один специалист по ОРМ. Кроме фсбешников, еще и менты тупее. Не знают кого пробивают, не знают кому сливают.
Полная несознанка, какая-то.

avatar
DrManhattan
+2
учитывая что кредитных бюро несколько и в каждой можно взять по 2 отчёта бесплатно полных и 2 простых 
то в общем проверять себя можно 16 раз в год 

вот 4 больших 
credistory.ru/
www.nbki.ru/
online.equifax.ru/
www.rs-cb.ru/

avatar
1234
+1
Пароль сложнее чем слово из словаря с разными регистрами и цифрами с вероятностью 99,(9) обезопасят от любых взломов. Двухфакторка, кстати, может использоваться как элемент атаки, если у злоумышленника окажется симка с номером телефона. В текущих реалиях это гораздо проще чем брутфорсить пароль на ресурсе.
avatar
Принцип Парето
+3
Столкнулся точно с такой же ситуацией.

Только у меня все хуже. Кредит на меня успели оформить.
Узнал уже об этом, когда пришло письмо в физический почтовый ящик от коллекторов. Мол, я взял кредит в МФО.

Тоже заходы с айфона SE в госуслугах. И в день взятия кредита заход на мои госуслуги с линукса. Включил тоже двухфакторку.

Написал заяву в полицию. Коллекторы звонили каждый день на протяжении недели. Уже сама МФО провела внутреннее расследование и подтвердила, что кредита никакого я не брал, но они продолжали звонить. Им нужна была копия бумаги, свидетельствующая о том, что возбуждено уголовное дело. Потом МФО направило мне официальное письмо с печатью, что никакого кредита нет. Я его отправил коллекторам. И вуаля, они перестали звонить и кредитная история была восстановлена (она упала на 500 пунктов до этого, типа из-за просрочки).
Если кто-то столкнется с подобной ситуацией, пишите, подробно распишу, что делал.
avatar
Владимир Трофименков
Пароли лучше использовать разные) Иначе жди беды
avatar
Максим Сергеев
да, я сам недавно установил серьезный пароль, а то предупреждали
avatar
Григорий
Smart-lab премиум
Еще напомню выходить из системы если не у себя дома. Был однажды в МФЦ, так там на компах были залогинены чужие Госуслуги.
avatar
deke
пароли должны быть со значками вида @#$%&
некогда объяснять: звонят из Службы Безопасности

через 5 минут: оказывается мой пароль был слабенький

и теперь система новые пароли пропускает только
если принципиально есть спец символы и заменил пароль
avatar
Логарифм Интегралыч
У тебя комп на Винде?   
avatar
martnk

полезные записи за 24 часа

★10 69 Зачем люди читают книги, а некоторые в большом количестве
★7 67 Ситуация на текущий момент
★6 4 Сколько процентов могут приносить дивиденды
★3 11 Точно в десятку: Ozon и Wildberries расталкивает мировые интернет-магазины
★3 10 Газпром: инвестиционный кейс становится похожим на ВТБ
★3 43 Рoccия нa пeрвых пoлocaх инocтрaнных СМИ
★3 102 Когда покупать акции перед тактическим ударом ЯО по Украине или после? Тактическое ЯО "расчехлили".
★3 5 ​​Сургутнефтегаз - в ожидании рекордных дивидендов
★3 51 Цены на жилье взлетели в ДВА раза за 4 года. Что дальше? Мой опыт покупки недвижки
★3 0 ММК (MAGN). Отчет за 1Q 2024г. Дивиденды. Перспективы.
+237 67 Ситуация на текущий момент
+180 69 Зачем люди читают книги, а некоторые в большом количестве
+142 115 Индекс МБ сегодня
+119 21 Азия. Понедельник.
+95 36 Вылетаем в Казань!
+85 152 "Цель она есть". Все узбагоились? ( BRENT)
+60 12 Баксопоклонство и здоровые методы
+59 2 Вводная к открытию недели
+57 102 Когда покупать акции перед тактическим ударом ЯО по Украине или после? Тактическое ЯО "расчехлили".
+54 12 Как получить дивиденды в ближайшее время

самые обсуждаемые сегодня

Рублeвый кoзeл пeрeпрыгнул 100 трлн

теги блога Finindie

....все тэги



UPDONW
Новый дизайн