Comments | dmitrmax: Кража личности и денег

dmitrmax

Кража личности и денег

Jul 19, 2021 15:30

Интересный материал появился на Фонтанке о том, как потерять телефон, учетку от ГосУслуг и попасть на кучу денег.

Хотя в статье не описаны досконально действия мошенников, я предполагаю, что получение доступа к ГосУслугам позволило мошенникам выпустить новый паспорт, а далее вместе с ним и доступ к выпуску электронной подписи, по которой уже можно ( Read more... )

госуслуги, события, телефоны, бюрократия, во дела!, lifehack, ЭДО

Leave a comment

Back to all threads

myx_ostankin July 19 2021, 16:20:46 UTC

По-моему, отсутствие пин-кода на симке тут никакой роли не играет. Смартфону для работы не нужна симка, Госуслуги к ней тоже напрямую не привязаны. Таким образом, получается главная уязвимость - это некий ключ шифрования или токен доступа к Госуслугам, который шифруется пин-кодом. Если устройство не зашифровано или плохо заблокировано, то теоретически этот пин-код был вскрыт перебором. Либо у приложения Госуслуг нет защиты от перебора, либо перебирали через прямой доступ к памяти устройства.

В итоге получаем следующие средства защиты (в порядке убывания эффективности):
1. Не ставить Госуслуги на телефон, а если ставить - то всегда полностью вылогиниваться.
2. Шифровать устройство и ставить надёжный код. Оговорюсь, что, насколько я знаю, телефоны защищены от перебора пин-кодов примерно так же, как и симки или чипы банковских карт, но я не уверен до конца. Если это не так - то это не более эффективно, входить в Госуслуги по "быстрому" пин-коду.
3. Ставить 2FA на вход в Госуслуги. Но это только в том случае, если даже доступ по "быстрому" пин-коду время от времени требует 2FA (так называемый, adaptive MFA).

Ну и защита SIM-карты в данном случае имеет смысл только при включённом 2FA. И то, как ты сам отметил, это лишь ненадолго задержит взломщика, поскольку увести SMS в целом несложно и даже не очень дорого, для этого даже не нужен физический доступ к симке: https://www.vice.com/en/article/y3g8wb/hacker-got-my-texts-16-dollars-sakari-netnumber

dmitrmax July 19 2021, 17:07:32 UTC

Защита SIM-карты поможет от сценария, когда злоумышленник пытается сбросить пароль от ГосУслуг по номеру телефона. Да, там кроме этого обычно спрашивается какая-то контрольная инфа, но будем считать, что она у злоумышленника есть (например, какие-то цифры паспорта).

myx_ostankin July 19 2021, 18:30:23 UTC

Прикольно. Ну да, получается, что достаточно иметь доступ к телефону ИЛИ к почте, чтобы иметь возможность сбросить пароль к госуслугам и получить полный доступ к ним. Мда... по-моему, даже PayPal лучше защищён :)

dmitrmax July 19 2021, 18:55:32 UTC

Надо ещё исследовать вопрос, что будет, если купил симку, а к этому номеру были привязаны госуслуги.

Для справки : сейчас нельзя удалить номер из госуслуг) какой-то номер должен быть

Back to all threads