Finindie
Finindie личный блог
17 апреля 2022, 11:35

Поставьте 2FA на Госуслугах - это архиважно

Ситуация произошла ещё в середине февраля. Сидел вечером за компьютером, и вдруг пришло письмо о том, что сформирована запрошенная справка о перечне бюро, в которых хранится моя кредитная история. Я удивился, т.к. никаких заявок не оставлял. Сразу же появились плохие предчувствия. Заглянул в одно бюро из тех, которые фигурировали в справке. Увидел там неутешительную информацию: кредитный рейтинг 712 (ранее был 800+) и странный показатель: «Наличие отказов: 58%».

Скачал отчёт по кредитной истории, и увидел там две попытки взять микрокредит на 10'000₽ в МФО в сентябре и в ноябре 2021 года с отказом в выдаче, а также запрос кредитной истории от МТС-Банка, с которым я никогда никаких дел не вёл. Стало очевидно, что меня взломали на Госуслугах.

Пошёл в Госуслуги, и на страничке Профиль -> Безопасность -> Действия в системе увидел, что у меня здесь проходной двор! Есть входы с IP из Кировской области, из Уфы, и откуда только нет. На вкладке «Моб. приложения» увидел, что я залогинен помимо своего устройства ещё и с некоего iPhone SE, и еще пары устройств. И всё берёт своё начало в сентябре 2021.

Окей, я нажал кнопку «Выйти» напротив всех устройств, сменил пароль, поставил двухфакторную аутентификацию, а также уведомление письмом на почту о каждом входе в систему. Не совсем понимаю, зачем мошенникам потребовалось запрашивать справку о перечне мест, где хранится моя кредитная история, и что они с этой кредитной историей хотели делать. Но на этом они спалились.

Начав искать истоки, как мой личный кабинет на Госуслугах мог быть взломан, я вспомнил один случай. Примерно в то же время Google Chrome сообщал мне, что мои пары логин-пароль на нескольких сайтах были скомпрометированы. Это были всякие магазины сантехники и какие-то непонятные техпорты. Я тогда не обратил на это никакого внимания, ведь мне не было особо важно, что там и как, а карту свою я нигде не привязываю, предпочитая вбивать данные при каждой покупке заново. И тут я всё понял: на некоторых сайтах пара логин-пароль была такая же, как на Госуслугах!

Да, я — тот самый идиот, который на Госуслуги поставил самый простой пароль, который применял ещё на десятке сайтов, и двухфакторную аутентификацию не настраивал.

Я думал, что до моих данных никому нет дела. В итоге чуть не оказался счастливым обладателем микрокредитов. Отделался лёгким испугом. Не будьте такими как я. Ставьте двухфакторку на ГУ. Периодически заглядывайте в кредитную историю, даже если не берёте кредитов. Бюро кредитных историй, как правило, позволяют дважды в год бесплатно сформировать отчет о кредитной истории — пользуйтесь этим.

-----
С уважением, Александр Елисеев aka Finindie
Блог в Телеграм: t.me/Finindie
Блог в YouTube: www.youtube.com/c/finindie

46 Комментариев
  • А. Г.
    17 апреля 2022, 11:53
    Изначально ставил двуфакторную идентификацию с информированием на почту.

    Справку о бюро, где хранятся кредитные истории, я сам заказал… А вот свой рейтинг в бюро посмотреть не смог: в обоих бюро сказано, что он выдаётся только после идентификации у них при личной явке. И находятся они в не слишком удобных местах.
    • Валерий Крылов
      17 апреля 2022, 12:46
      А. Г., в каком году это было? В большинстве современных БКИ при наличии подтвержденной записи в ГУ никуда ходить не нужно.
      • А. Г.
        17 апреля 2022, 13:26
        Валерий Крылов, в 2020-м, у меня до января 2020-го и аккаунта на ГУ не было. А как завел, то сразу и верифицировался в ближайшем отделении Сбербанка.
        • Валерий Крылов
          17 апреля 2022, 13:27
          А. Г., проверьте сейчас. Я запрашивал в 3-х конторах, везде никуда ездить не нужно было и бесплатно.
    • Доктор
      17 апреля 2022, 13:31
      А. Г., так это были вы?
    • Андрей К
      17 апреля 2022, 17:19
      А. Г., примерно года 3 слежу за рейтингом у себя и у супруги просто в БКИ (в двух). Вроде как не требуют личного присутствия.
  • UnembossedName
    17 апреля 2022, 11:54
    Хорошо квартиру не продали)
  • виталик
    17 апреля 2022, 12:07
    не, я только уникальные пароли использую! пароль к квику один, у почты второй, к банк-онлайн третий, к госуслугам четвертый, если где-то взломают, то потери будут минимальными. 
    а двухфакторную авторизацию на госуслугах ввёл ещё год назад, когда один человек здесь написал что с помощью госуслуг на него взяли кредит.
  • Andrey
    17 апреля 2022, 12:25

    Сама идея использовать госуслуги крамольна. Вся инфа в одном месте. Зачем вам оно? Используйте сайты госструктур, с которыми имеете дело непосредственно.

    Сейчас есть МФЦ, которые часто не плохо работают. Часть действий можно с помощью них сделать.

    Вопрос другой, можно ли удалиться с госуслуг?

    • А. Г.
      17 апреля 2022, 12:35
      Andrey, я завел, чтобы загранпаспорт получить в 2020-м, чтобы не сидеть и не заполнять анкеты руками. А потом удобно стало: и брокерский договор удаленно заключил, и к медкарте полный доступ, любая запись к врачу удаленно, никуда звонить не надо, QR-код после прививки опять же скачал и все. Из пенсионного фонда справку легко получил. А вот именно с кредитными историями «облом» вышел, о чем написал выше.

      А верифицировался в простом отделении Сбербанка по близости.

      А до этого не пользовался, так как ЛК в налоговой хватало.
      • виталик
        17 апреля 2022, 12:37
        А. Г., брокерский договор удаленно у кого?
        • А. Г.
          17 апреля 2022, 12:44
          Андрей, про тех, кого знаю, что можно: Финам, ВТБ, Открытие и БКС.
          • виталик
            17 апреля 2022, 12:49
            А. Г., то есть я могу ни разу не бывавши в ВТБ открыть там удаленно брокерский счёт?
            • А. Г.
              17 апреля 2022, 13:22
              Андрей, если у Вас верифицированный аккаунт на Госуслугах, то да, можете. Только деньги и бумаги примут со счетов только на то имя, на которое заключён договор. Для того, чтобы принять их с третьего лица, придется лично посетить офис и объяснить почему так.

              И вывести средства можно только на те счета, с которых они пришли. Для новых счетов опять же придется ехать в офис лично.
  • Тимофей Мартынов
    17 апреля 2022, 12:33
    спс за инфо👍
  • ..
    17 апреля 2022, 12:51
    по хорошему раз в месяц нужно менять пароли в важных для вас сайтах и приложениях 
  • Petr S
    17 апреля 2022, 12:52
    " тот самый идиот, который на Госуслуги поставил самый простой пароль, который применял ещё на десятке сайтов"
    ну проблема то явно в этом, а не в отсутствии 2FA.  опять же — есть подтверждение в виде смс на вход. его более чем достаточно 
  • Albert
    17 апреля 2022, 13:01
    Подскажите, пожалуйста, как и где можно посмотреть свою кредитную историю (бесплатно)?
  • Gregori
    17 апреля 2022, 13:19
    2fa и разные пароли- это важно. А запрашивать могут и без Вашего согласия. У Я смотрел запросы- видел от Открытия. Хотя там никогда счетов не имел. Там Кадровичка всех хотела перевести на ЗП карты (но директор сказал- добровольно). даже передали мои перс данные открывашки и они выпустили карту (я отказался получать). Но как факт что они без явного моего согласия и моей подписи  (бумажой или электронной) создать запрос
    • виталик
      17 апреля 2022, 13:33
      Gregori, у меня открытие три раза в кредитной истории рылось, хотя я там никогда не был!
  • Hoorsh
    17 апреля 2022, 14:25
    Если что, из Уфы не я заходил.
    А вообще спасиб. Поставил двухфауторку и сменил e-mail на российский.
    Кстати запросы кредитных запросов можете глянуть тут nbki.ru Авторизация через Госуслуги
  • MadQuant
    17 апреля 2022, 16:33
    Вообще не понимаю, как можно было додуматься госуслуги без 2FA держать??? Наблюдая, как эти люди воюют на Украине, и что Навальный телефончики своих отравителей из секретного отдела ФСБ (!!! секретного отдела ФСБ !!! @ля-я-я!!!) пробил — как можно доверять этим людям безопасность своих данных? Мне, наверное, в среднем раз в месяц приходит код подтверждения для входа (которого я не запрашивал) — т.е. кто-то регулярно пытается залезть на мой профиль на ГУ.
    По этой же причине я из аккаунта на ГУ удалил все персональные данные, какие возможно, или заменил на фэйковые — иначе это считай равносильно просто слитию про себя в даркнет всех своих реквизитов, бери потом тепленького.
    • DrManhattan
      18 апреля 2022, 09:39
      MadQuant, ничего Навальный не пробил — это была МИ-6. И наверняка новый скрипаль у них завелся. Только от всей этой спец. операции толку пшык.
      • MadQuant
        18 апреля 2022, 09:42
        DrManhattan, не знаю Навальный там или ми-6, но факт в том, что пробивку с телефонов секретного подразделения ФСБ продали налево за 3 копейки (там кого-то же вроде задержали за это, видимо посадили).
        • DrManhattan
          18 апреля 2022, 10:07
          MadQuant, ты сам то веришь в эту чушь. Какой идиот продаст секретные данные за 3 копейки? Тут домик на Майями-бич наклевывается и безбедная пенсия как у Скрипаля.  
          • MadQuant
            18 апреля 2022, 10:51
            DrManhattan, какой домик, вы о чем? «Пробивка» номера (как выясняется, почти любого) через ментов стоит чуть дороже утреннего кофе, 5-15 тыр.
            • DrManhattan
              18 апреля 2022, 10:56
              MadQuant, так ты и пробъешь на васю пупкина, которого в природе не существует. Или агенты ФСБ тупее тебя или ментов?
              • MadQuant
                18 апреля 2022, 11:05
                DrManhattan, вы вообще не в теме, завязывайте спорить по теме в которой ни в зуб. Пробивают менты, они сами не знают кого пробивают.
                • DrManhattan
                  18 апреля 2022, 11:16
                  MadQuant, еще один специалист по ОРМ. Кроме фсбешников, еще и менты тупее. Не знают кого пробивают, не знают кому сливают.
                  Полная несознанка, какая-то.

  • 1234
    17 апреля 2022, 16:44
    учитывая что кредитных бюро несколько и в каждой можно взять по 2 отчёта бесплатно полных и 2 простых 
    то в общем проверять себя можно 16 раз в год 

    вот 4 больших 
    credistory.ru/
    www.nbki.ru/
    online.equifax.ru/
    www.rs-cb.ru/

  • Принцип Парето
    17 апреля 2022, 18:39
    Пароль сложнее чем слово из словаря с разными регистрами и цифрами с вероятностью 99,(9) обезопасят от любых взломов. Двухфакторка, кстати, может использоваться как элемент атаки, если у злоумышленника окажется симка с номером телефона. В текущих реалиях это гораздо проще чем брутфорсить пароль на ресурсе.
  • Владимир Трофименков
    17 апреля 2022, 19:05
    Столкнулся точно с такой же ситуацией.

    Только у меня все хуже. Кредит на меня успели оформить.
    Узнал уже об этом, когда пришло письмо в физический почтовый ящик от коллекторов. Мол, я взял кредит в МФО.

    Тоже заходы с айфона SE в госуслугах. И в день взятия кредита заход на мои госуслуги с линукса. Включил тоже двухфакторку.

    Написал заяву в полицию. Коллекторы звонили каждый день на протяжении недели. Уже сама МФО провела внутреннее расследование и подтвердила, что кредита никакого я не брал, но они продолжали звонить. Им нужна была копия бумаги, свидетельствующая о том, что возбуждено уголовное дело. Потом МФО направило мне официальное письмо с печатью, что никакого кредита нет. Я его отправил коллекторам. И вуаля, они перестали звонить и кредитная история была восстановлена (она упала на 500 пунктов до этого, типа из-за просрочки).
    Если кто-то столкнется с подобной ситуацией, пишите, подробно распишу, что делал.
  • Максим Сергеев
    17 апреля 2022, 20:45
    Пароли лучше использовать разные) Иначе жди беды
  • Григорий
    17 апреля 2022, 21:00
    да, я сам недавно установил серьезный пароль, а то предупреждали
  • deke
    17 апреля 2022, 21:34
    Еще напомню выходить из системы если не у себя дома. Был однажды в МФЦ, так там на компах были залогинены чужие Госуслуги.
  • Логарифм Интегралыч
    18 апреля 2022, 00:44
    пароли должны быть со значками вида @#$%&
    некогда объяснять: звонят из Службы Безопасности

    через 5 минут: оказывается мой пароль был слабенький

    и теперь система новые пароли пропускает только
    если принципиально есть спец символы и заменил пароль
  • martnk
    18 апреля 2022, 10:29
    У тебя комп на Винде?   

Активные форумы
Что сейчас обсуждают

Старый дизайн
Старый
дизайн