(no subject)

[dzz]

Интересный новый развод.

Звонит якобы представитель госуслуг со словами о том, что им вернулся высланный по почте пакет документов и вопросом что с ним сделать: оставить в МФЦ или снова переслать почтой. И в завершении просит сообщить код из SMS для закрытия тикета.

А в SMS - опаньки - код восстановления доступа к учётке на госуслугах.

В общем, читайте внимательно сообщения, не ведитесь на провокации (сотрудники таких служб не звонят никогда) и включайте двухфакторную авторизацию.

Comments

RE: Хммм...

[dzz.livejournal.com]

Ну, конкретно в этом случае двухфактор работает, так как мошенник не знает, потребуется ли код для входа, а не только для смены пароля. Знал бы — действительно не звонил бы. У большинства второй фактор не стоит для логина, только для смены пароля (и именно эта комбинация предоставляет мошенникам дыру для социальной инженерии).

Идея сбора номеров телефонов мне тоже не нравится, но для многих услуг уже нет альтернативы (ты либо вводишь номер, либо просто не получаешь услугу). Проще завести отдельную симку для общения с сервисами, но тут уже вступает в действие фактор лени.

З.Ы. На госуслугах можно сделать двухфактор не только через SMS, но и через ЭЦП либо биометрию. Идея отдавать свои биометрические данные нравится мне на порядок меньше, чем история с номером телефона.

P.P.S. Помнится, Кевин Митник отлично раскручивал народ на пароли по телефону ещё до всех этих многофакторных подтверждений. Так что отсутствие второго фактора — ни разу не панацея.

-

[de_nada]

>Ну, конкретно в этом случае двухфактор работает, так как мошенник не знает, потребуется ли код для входа, а не только для смены пароля. Знал бы — действительно не звонил бы. У большинства второй фактор не стоит.

Стоп-стоп!
Как раз сейчас — и уже некоторое время как — ГУ форсят второй фактор, причём именно его телефонную версию.
И у мошенника есть основания надеяться, что его жертва, тсзть, "уже".

Ну а потом этот Ваш тезис не противоречит моему комментарию.
Сами посудите — ну вот позвонить он мне (я ещё тел не заносил), мол, то да сё, пакет, чего-куда, закрыть кейс, скажите код из SMS.
А я (допустим, поверил, не почуял подвоха) — так нет никакой SMS, не получал (ну или вообще разоткровенничаюсь, дескать, откуда SMS, я ж не подключал телефон в акк).
Ну и аферюга такой — "изините, видимо, какой-то сбой, будем выяснять, хорошего дня!" — и пошёл дальше искать других лохов.

А вот коли у жертвы есть "телефонный фактор", то тут уже появляются шанся её "хакнуть в моск".

А дальше — когда зафорсят почти всем применения SMS при логине — список потенциальных "мишеней" и жуликов вырастает даже не в разы, а на порядки.

Про "мусорную симку" согласен.

Про биометрию вторым фактором согласен ещё более — идиотская тема (для того, кто на это поведётся).

И у этой хрени есть ещё одна побочка неприятная — тех, кто сейчас из-за рубежа (ПМЖ, командировки, личные поездки, в общем, любое длительное пребывание) могут пользоваться ЛК ГУ (налоги, бумаги, вот это всё), принудиловка со входом по SMS может жестоко обломать, бо даже при исправном роуминге (не)получение SMS это лотерея в чистом виде, так что можно обломаться не по-детски.

Конечно, "этим" насрать не только на тамошних, но и на тутошних, но всё же как-то по-хамски вышло.

С уважением.

[dzz.livejournal.com]

> ГУ форсят второй фактор, причём именно его телефонную версию.И у мошенника есть основания надеяться, что его жертва, тсзть, "уже".

Вангую, у большинства пользователей ГУ телефон уже внесён, он требуется для регистрации без поездки в МФЦ. Я регался в давние времна, когда без конверта от Ростелекома это не работало.

Тут, как раз, основную опасность создаёт частичный второй фактор, если ещё и не включены уведомления о входе, легальный пользователь даже не узнает, что кто-то авторизовался за него. Основная ставка мошенников — фактор времени, ибо взлом будет замечен не сразу.

Трансграничные SMS — реальная и совсем не новая проблема. Мне когда-то от Apple они стойко не приходили в Москву, без всякого роуминга. На ГУ есть возможность получать push-уведомления через их приложение, это, по идее, должно снимать все вопросы, если бы не блокировка обращений с иностранных IP, появившаяся после прошлогодних DDоS-атак.

Хм-м-ммм...

[de_nada]

Не уверен, что понимаю второй абзац — что за "частичный второй фактор" и "кто на ком стоял"? :))

Можете развернуть пошагово сценарий, "на пальцах", как для тупого? :))

С интересом.

[dzz.livejournal.com]

Легко. Я имею в виду применение второго фактора не для авторизации входа в систему, а только для авторизации выполнения определённых операций (например, смены пароля).

Т.е. для входа достаточно логина-пароля, а для восстановления забытого пароля нужен код из СМС. Это именно та ситуация, на которую расчитывал сегодняшний мошенник.

[rblaze.livejournal.com]

И кстати, госуслуги работают с иностранных IP. Какое-то время не работали, но последние полгода всё норм.

[dzz.livejournal.com]

Я давно не проверял, какое-то время назад с моих впн-ок не работали ни основные госуслуги, ни московские.

[rblaze.livejournal.com]

mos.ru и сейчас не работает. А госуслуги — да.

Re: -

[a-konst.livejournal.com]

Вроде бы (как я где-то читал) там можно вторым фактором настроить пуш в приложение на смартфоне.
Это надежнее чем SMS, правда есть и свои минусы (приходится на смарт ставить приложение левое).

[jno2004.livejournal.com]

Да хрен там, надёжнее...
Через единственный сервис гугля-то, ога.

RE: Хммм...

[rblaze.livejournal.com]

На госуслугах есть нормальный второй фактор через TOTP. Для полной нормальности не хватает только аппаратного ключа с FIDO2.