На "Госуслугах" ввели обязательную двухфакторную аутентификацию на фоне роста угона аккаунтов.
По данным МВД РФ, за первое полугодие 2023 года в Петербурге от действий хакеров, которые взламывали аккаунты на портале Госуслуг, пострадали более 130 человек. Взлом происходил с помощью фишинговых сайтов, которые копировали официальные страницы государственных учреждений. Полученные данные злоумышленники использовали для заявок на займы в микрокредитных организациях.
Лакомый кусочек для хакера
Подобные случаи стали довольно частым явлением, говорит Сергей Беспалов, руководитель департамента информационной безопасности ИМБА ИТ: "Чаще всего это стандартные методы фишинга. Люди представляются менеджерами “Госуслуг”, предлагают перейти по вредоносным ссылкам, чтобы взломать аккаунт и получить неправомерный доступ к информации из личного кабинета".
Генеральный директор Itglobal.com Security Александр Зубриков замечает, что взлом аккаунта на "Госуслугах" также даёт доступ и к Единой системе идентификации и аутентификации (ЕСИА). "Это лакомый кусочек для многих злоумышленников, ведь через ЕСИА можно оформить заём на жертву, вывести деньги из букмекерских контор ну и, конечно же, получить доступ к конфиденциальным данным", — говорит он.
Двухфакторная аутентификация, иначе называемая 2FA, на "Госуслугах" вводится с 28 октября. Пользователи могут выбрать один из трёх вариантов: одноразовый код из СМС, биометрию или специальное приложение (ТОТР) для работы с одноразовыми кодами.
В Минцифры РФ "ДП" рассказали, что двухфакторная аутентификация была доступна и ранее. 42,5 млн подтверждённых пользователей "Госуслуг" самостоятельно подключили эту функцию. "Чтобы дополнительная защита аккаунта была у всех, правительство приняло постановление о введении обязательного дополнительного подтверждения входа в аккаунт", — добавили в министерстве.
Опрошенные "ДП" эксперты говорят, что иногда даже 2FA не способна защитить аккаунт "от угона". "Но с ней это уже гораздо сложнее. В этом случае речь, скорее всего, идёт о единичных случаях, когда хакеры хотят получить доступ к данным строго определённого человека, она будет стоить им дополнительных усилий и средств. Гарантировать 100%–ную защиту не может никто, но 2FA снижает вероятность взлома", — говорит Денис Кувшинов, руководитель отдела исследования угроз ИБ экспертного центра безопасности Positive Technologies.
Александр Зубриков замечает, что самым простым способом обхода 2FA является человеческий фактор. Злоумышленнику достаточно будет убедить жертву ввести или сказать PIN–код из СМС или приложения.
Самый понятный метод
С технической точки зрения наименее защищённым методом является аутентификация через PIN–код из СМС. Известны многие способы перехвата GSM–сигнала, что позволяет получить доступ к сообщению. "На втором месте стоит биометрия, являющаяся более удобной с точки зрения пользователей, ведь эти данные всегда с ними и их тяжело подделать. Однако тут появляются новые векторы атаки, основанные на взломе самих сервисов по хранению и обработке биометрии, например ЕБС", — объясняет Зубриков.
Никита Евгенов, директор по развитию бизнеса IT–компании RooX, говорит, что авторизация через СМС является при этом самым популярным способом среди пользователей. "Метод прост в использовании, СМС доступно на любом телефоне и понятно абсолютно всем пользователям", — отмечает он.
Чуть сложнее
Все опрошенные эксперты говорят, что надёжнее всего использование специального приложения.
"TOTP широко используется для аутентификации в популярные онлайн–платформы, например VK, однако для обычного пользователя TOTP сложнее в использовании", — говорит Евгенов.
Нужно скачать специальное мобильное приложение для генерации кодов и пройти первоначальную аутентификацию на цифровой платформе через логин и пароль. Далее приложение на смартфоне пользователя отобразит одноразовый код, который нужно ввести в специальное поле на компьютере. Если коды совпадут, то пользователь сможет зайти в нужный сервис. Ключевое отличие от СМС в том, что для работы TOTP не нужен интернет или сотовая связь, что полезно в роуминге или в зоне плохого покрытия.
"Этот метод эффективен, так как пароли действительны только в течение короткого времени и не могут быть повторно использованы", — добавляет к этому Беспалов.
В Минцифры "ДП" уточнили, что при биометрической аутентификации будут использовать данные из Единой биометрической системы (ЕБС), если пользователь их туда сдавал.
Никита Евгенов объясняет, что биометрическая аутентификация существует и в мобильных приложениях, если в телефоне есть функция скана лица или отпечатка пальца, но здесь есть отличие от ЕБС. "Для конечного пользователя выгоды использования ЕБС не до конца очевидны. Основное различие между двумя способами входа — это методы обработки информации. В первом случае хранением и проверкой данных занимается устройство пользователя, во втором — сервера ЕБС", —добавляет он.
