Мошенническая схема с мессенджером Max и кража аккаунтов на Госуслугах

В СМИ появились сообщения о новой схеме мошенничества, в которой злоумышленники используют российский мессенджер Max для получения доступа к аккаунтам пользователей портала «Госуслуги». Мошенники звонят жертве, представляются сотрудниками Max и под предлогом «дополнительной защиты» просят продиктовать СМС-код, якобы для активации аккаунта. На самом деле это код подтверждения входа на Госуслуги. Получив его, злоумышленники получают доступ к учётной записи и могут похищать персональные данные или оформлять кредиты на имя пользователя.
Как это работает:
• Звонок с неизвестного номера с предложением зарегистрироваться в «национальном мессенджере» Max.
• Убеждение пройти «активацию аккаунта безопасности» для защиты личных данных.
• Запрос СМС-кода, якобы присланного Max, который на самом деле приходит от Госуслуг.
Пострадавшим внушают, что код из СМС связан с регистрацией в Max, хотя на самом деле это одноразовый код от Госуслуг. Несмотря на заявления об интеграции сервисов, официально она пока не реализована.
Социальная инженерия и фишинг в схеме
Мошенники применяют методы вишинга (voice-phishing) и социальной инженерии, опираясь на:
• Имитацию государственной принадлежности. Преступники подчеркивают, что Max – это национальный «государственный» мессенджер, якобы тесно интегрированный с другими госуслугами, включая портал «Госуслуги». Это используется для повышения доверия жертвы и снятия подозрений: «раз мессенджер государственный, значит всё официально».
• Создание ощущения срочности. Пользователя убеждают, что нужно срочно защитить аккаунт.
• Притворство службой поддержки. Звонящий представляется сотрудником Max или Госуслуг.
• Использование техноязыка. Жертве говорят о «проверке безопасности» или «двойной защите».
Сценарий построен на реальных новостях и предполагаемой связи Max с госструктурами, что делает обман особенно правдоподобным для неподготовленных пользователей.
Технические уязвимости и слабые места
Атака не использует технических уязвимостей портала Госуслуг. Основная слабость — человеческий фактор и доверие к SMS-верификации:
• SMS-коды как уязвимый механизм подтверждения. Именно их мошенники и выманивают.
• Спуфинг номеров и отсутствие проверки вызывающего. Жертва не может убедиться в подлинности звонка.
• Низкая цифровая грамотность. Многие не знают, что сотрудники Max не звонят и не просят коды.
• Дезинформация о связке сервисов. На текущий момент интеграции Max и Госуслуг официально не существует.
Рекомендации по защите аккаунта на Госуслугах
Чтобы не стать жертвой подобной схемы, пользователям следует соблюдать простые правила безопасности:
• Никогда не сообщайте СМС-коды и пароли третьим лицам. Единственная служба, которая законно может прислать вам код – это «Госуслуги», и этот код нужно использовать самому, а не диктовать его посторонним. Как отмечают эксперты, «рекомендуют никогда не называть одноразовые СМС-коды посторонним».
• Не доверяйте звонкам от «службы поддержки». Официальные операторы «Госуслуг» или Max не обзванивают пользователей и не просят коды по телефону. Если вам звонят с неизвестного номера и просят код, сбрасывайте звонок и перезванивайте на официальный номер поддержки Госуслуг (см. контактные данные на сайте).
• Используйте антиспам-фильтры на телефоне. Чтобы отсеять подозрительные звонки, подключите услуги антиспама у мобильного оператора или установите приложения-блокировщики. Это избавит от попадания на мошеннические номера.
• Повышайте защиту аккаунта. В личном кабинете Госуслуг включите все доступные опции безопасности: двухфакторную аутентификацию, надёжный пароль, контрольный вопрос и т.д. Не устанавливайте на телефон сомнительные приложения и не переходите по ссылкам из неизвестных сообщений.
• При любых сомнениях – обращайтесь в официальную поддержку. Если возникают вопросы по безопасности аккаунта, звонку или СМС, лучше всего связаться напрямую с техподдержкой Госуслуг или Max (через их официальные сайты или приложения) и уточнить информацию. «При возникновении сомнений – обращаться в официальные службы поддержки», – именно такую рекомендацию дают эксперты.
Следование этим простым правилам позволит значительно снизить риск кражи учётной записи. Кроме того, Минцифры планирует ввести новые механизмы защиты – например, «доверенное лицо» и отказ от SMS при восстановлении пароля. Даже без них практикуйте осторожность: помните, что никто не позвонит вам из Max или Госуслуг, чтобы запросить код.