Как совершенствуются уловки аферистов
Мошенники, похищающие средства со счетов граждан, начали тестировать новую, очень сложную и убедительную для жертв схему с использованием портала «Госуслуги» и приложения для электронной подписи «Госключ». Получив доступ к личному кабинету на «Госуслугах», злоумышленники загружают в специальный раздел якобы нотариально заверенную доверенность на распоряжение всеми счетами человека. Потенциальная жертва получает сообщение, что нужно ее подписать. А затем включается привычная обработка жертвы — вы подписали доверенность и вашим деньгам угрожает опасность, поэтому нужно срочно перевести на безопасный счет. Как защититься от очередного обмана, «Известиям» рассказали эксперты и сотрудники Минцифры.
Многоходовая комбинация
Мошенники начали использовать новую сложную схему с использованием портала «Госуслуги» и приложения для электронной подписи «Госключ». Как рассказала «Известиям» координатор платформы «Народного фронта» «Мошеловка» Евгения Лазарева, на сегодняшний день получено уже несколько обращений о применении легенды с поддельными доверенностями и уговорами мошенников подписать их «Госключом». В качестве жертв злоумышленники выбирают людей пенсионного и среднего возраста, полагаясь на их доверчивость и исполнительность, уточнила эксперт.
Схема многоступенчатая. Сначала аферисты получают доступ к личному кабинету жертвы на «Госуслугах».
Справка «Известий»
Как мошенники могут получить доступ к личному кабинету на «Госуслугах»
Как пояснили в компании F.A.C.C.T., теоретически логин и пароль от учетной записи мошенники могут получить самостоятельно с помощью перебора или при покупке на теневых маркетах данных, на которых можно также приобрести привязанный к учетной записи номер телефона.
А потом мошенники связываются с жертвой и под разными предлогами пытаются получить код, который пришел ему на телефон. На самом деле это код безопасности от личного кабинета в государственном сервисе, куда сейчас пытаются войти злоумышленники.
Затем аферисты загружают поддельную нотариальную доверенность на распоряжение всеми счетами человека в специальный раздел «Госуслуг» для подписания документов в «Госключе». Жертве приходит уведомление о том, что нужно подписать документ. Далее звонит якобы сотрудник органов, который убеждает, что все счета скомпрометированы, поэтому надо срочно подписать доверенность, чтобы он смог спасти деньги.
Если у человека не установлено приложение «Госключ», то ему присылают инструкцию по установке и дают подробную консультацию. Перепуганная жертва торопится сделать всё, что ему рекомендует «сотрудник органов».
Тем самым он запускает вторую часть схемы. Ему снова звонит сотрудник, но уже «настоящий», и сообщает, что человек стал жертвой мошенников. И они после подписания доверенности получили доступ ко всем счетам, поэтому средства с них нужно незамедлительно перевести на безопасный счет. Для того чтобы создать стрессовую ситуацию и не дать человеку опомниться, призывают сделать это как можно быстрее, чтобы опередить аферистов.
— Манипуляция тем, что доверенность подписана официальным электронным инструментом и теперь даст возможность ее обладателям жертву ограбить, звучит очень убедительно и устрашающе. К сожалению, граждане в массе плохо знакомы с правилами оформления доверенностей, и это повышает риск того, что мошенники добьются своей цели, — предупредила Евгения Лазарева.
По ее словам, пока полученные сигналы о новой схеме поступили от людей, которые смогли в какой-то момент сорваться с крючка злоумышленников. Так, в одном из случаев мужчина находился в зоне с нестабильной связью и общение с мошенниками прервалось. В этот момент до него дозвонилась дочь, которая убедила родителя, что он общается с аферистами.
— Однако скорость и интенсивность появления сообщений с этим сценарием позволяет сделать вывод, что злоумышленники активно взялись за его применение, прощупывают его эффективность, — отметила координатор «Мошеловки».
Поэтому, уверены эксперты, нужно предупредить людей, чтобы те не пострадали из-за новой схемы аферистов.
Две линии обороны
Прежде всего нужно внимательней относиться к сохранности своих сведений для доступа на «Госуслуги». В пресс-службе Минцифры «Известиям» объяснили, что портал надежно защищен и злоумышленник может получить доступ к аккаунту только в том случае, если пользователь сам передаст всю необходимую для входа информацию.
— Поэтому нужно бережно относиться к своим данным и никому никогда не сообщать свои логин, пароль и сведения о втором факторе защиты. Если вам звонят и просят назвать SMS-код, не сообщайте его — это мошенники. Даже если вам представились сотрудником «Госуслуг», не продолжайте разговор, кладите трубку. Сотрудники портала никогда не звонят, — порекомендовали в Минцифре.
В описанной схеме, уточнили в ведомстве, люди становятся жертвой социальной инженерии и сами сообщают мошенникам необходимые сведения для входа в личный кабинет на «Госуслугах». Это и дало возможность злоумышленникам воспользоваться сервисом, который позволяет отправить документ на подпись в «Госключ».
— Если бы пользователь подписал документ в приложении, он бы не имел юридической силы, так как нотариальную доверенность нельзя подписать «Госключом», — подчеркнули в пресс-службе ведомства.
Да и, собственно, нотариальную доверенность без личного участия человека оформить невозможно, прокомментировали в пресс-службе Федеральной нотариальной палаты (ФНП).
— Человек должен очно пообщаться с нотариусом. Ему нужно обратиться в нотариальную контору или пригласить нотариуса к себе, если он сам не может прийти, например, из-за физических ограничений. Сделать нотариальную доверенность удаленно — через «Госуслуги», личный кабинет на портале Федеральной нотариальной палаты или какой-либо еще онлайн-сервис — невозможно в принципе. Нужен личный визит к нотариусу, — подчеркнули в ФНП.
Там также рассказали, что нотариус может сделать доверенность сразу в электронном виде, но всё равно только после личного общения с человеком.
— В таком случае доверитель подписывает электронный документ на планшете нотариуса, после свою усиленную квалифицированную электронную подпись (УКЭП) на документе ставит сам нотариус. Подписать нотариальную доверенность «Госключом» нельзя, — отметили в ФНП.
Справка «Известий»
ФНП о том, что важно знать об оформлении доверенности
Перед тем как удостоверить доверенность, нотариус подтверждает личность человека, проверяет, понимает ли он, что делает, какие у этого могут быть последствия. На доверенности, помимо подписи и печати нотариуса, свою подпись ставит и доверитель.
Каждая удостоверенная нотариусом доверенность вносится в специальный электронный реестр единой информационной системы нотариата. На базе этого реестра функционирует общедоступный бесплатный онлайн-сервис проверки доверенностей. С его помощью по реквизитам документа можно за пару секунд узнать, существует ли указанная доверенность в природе и действительна ли она.
Подделка нотариальной доверенности сегодня вскрывается моментально — любой банк или ведомство может легко проверить документ и выявить фальшивку. При таких операциях, как снятие денег со счетов или тем более регистрация прав на недвижимость, доверенности обычно проверяются.
Кстати, любую нотариальную доверенность, если она все-таки выдавалась, всегда можно оперативно отменить, даже если вы забыли реквизиты. Но для этого тоже нужна личная встреча с нотариусом.
Если бы пользователь подписал документ в приложении, он бы не имел юридической силы, так как нотариальную доверенность нельзя подписать «Госключом», подтвердили в Минцифре.
Направление главного удара
Возможно ли, что мошенники, используя новую схему, пытаются не только похитить средства со счетов граждан, но и тестируют, можно ли получить доступ к использованию «Госключа»?
В теории злоумышленники могут попытаться это сделать для совершения незаконных действий, если получат доступ, предположил ведущий специалист отдела анализа и оценки цифровых угроз Infosecurity (ГК Softline) Максим Грязев. Однако, отметил он, для полноценного использования «Госключа» требуются дополнительные шаги для подтверждения личности и самого процесса подписания. Обычно системы и меры безопасности предотвращают несанкционированное использование, подчеркнул эксперт.
В Минцифре заявили, что подписать документ в «Госключе» может только владелец сертификата подписи и на одном устройстве. Если установить приложение на другое устройство, то нужно заново выпускать сертификат.
— Для создания квалифицированного сертификата электронной подписи используется многоуровневая защита: вход с учетной записью «Госуслуг», SMS-подтверждение и необходимость подтверждать личность по загранпаспорту, биометрии или очно. При каждом входе в приложение нужно ввести восьмизначный пароль, который знает только владелец сертификата подписи, — отметили в пресс-службе Минцифры.
Как полагает Евгения Лазарева, основная цель мошенников в этой схеме — именно добиться перевода средств на свой счет. По ее мнению, все манипуляции с «Госключом» — это способ усыпить бдительность жертвы, а позже запугивать.
Другие эксперты также соглашаются, что использование доверенности, «Госключа» — это элемент усложнения схем. Причина в том, что более простые и известные уже не работают, предположили в компании F.A.C.C.T.
— Мошенники усложняют схемы, потому что пользователи становятся более осведомленными о простых приемах, — согласился Максим Грязев.
Более сложные схемы помогают обойти базовые защитные меры и увеличивают шансы на успешное мошенничество, уверен эксперт.