Большинство вчерашних школьников, впервые сталкиваются с «госуслугами» при оформлении «заявлений на поступление». Данная статья будет полезна тем, кому «детское абитуриентство» предстоит в следующем году.
В этом году мне посчастливилось быть родителем абитуриента. Глядя на всю суету и волнение, еще весной сказал: «Будь я мошенником — взялся бы за абитуриентов.»
Но, как говорится: «Не один ты такой умный. Поумнее тебя есть, а в колл‑центрах сидят.»
В итоге, у ребенка увели эти самые «госуслуги».
Предвижу первый гневный комментарий: «Он сам сказал код из СМС!!!»
А вот и нет.
Дисклеймер
Здесь описан конкретный случай, конкретного абитуриента, при поступлении в конкретный ВУЗ. Но схема развода может быть применена в любых других обстоятельствах (и не только для абитуриентов).
Немного общей информации
Абитуриент поступал в МГУ. Данный ВУЗ проводит Дополнительные Вступительные Испытания (ДВИ).
Так как в наличии имелось призерство в олимпиаде 1-го уровня (за 11-ый класс), то ДВИ засчитывался автоматом как 100 баллов.
Первый звонок
В разговорах будем отмечать: «М» — мошенник, «А» — абитуриент.
М: Здравствуйте, это приемная комиссия. Вы же завтра вы пишете ДВИ?
А: Здравствуйте. Мне не надо писать ДВИ, т.к. я призер олимпиады.
М: А, точно, извините.
(мошенник сам закончил разговор)
Этим разговором он зацепил условный «якорь». Ничего не спросил, ничего не требовал. Сделал вид, что где‑то «в программе», что‑то не отмечено.
Таким образом, при втором звонке, вы уже будете думать: «Опять они звонят! Да когда они у себя все починят?!» (гнев, эмоции, ослабление контроля).
Второй звонок
Примерно через неделю (за день до второго потока сдачи ДВИ).
М: Здравствуйте, это приемная комиссия. А вы чего ДВИ сдавать не будете?
А: Здравствуйте. Я же сказал, что у меня он идет автоматом!!! (те самые эмоции)
М: Ой, у нас тут в программе не отмечено, надо отметить. Иначе могут пропустить этот момент и не засчитать олимпиаду.
А: Как это сделать?
М: Зайдите на сайт "Министерства образования". Вот прям в поисковике вбивайте "Министерство образования" (абитуриент открывает настоящий сайт минобра)... Теперь жмите сюда, потом сюда...
А: Нет тут такого пункта!
М: Вы куда-то не туда жмёте. Не можете найти? Давайте я вам сейчас перезвоню по WhatsApp, вы покажете экран, я подскажу...
Абитуриент включает демонстрацию экрана и тут всплывает СМС от "госуслуг".
Что мы сделали
Тут ребенок все быстро понял и позвонил мне. В госуслуги, с домашнего компьютера, я уже зайти не смог.
Хорошо, что был дома, а ребенок недалеко. Схватили паспорт и прибежали в МФЦ. Там сразу заблокировали аккаунт и вышли из него на всех устройствах. После чего, дали бумагу с кодом для разблокировки.
Как рожденный в «Стране Советов», дам несколько (на базе печального опыта).
Совет 1. В МФЦ есть компьютеры для посетителей, зайдите по этому коду прям там. Код одноразовый. Если придете домой и ошибетесь, при вводе кода, то потом уныло пойдете в МФЦ еще раз.
Не забудьте, когда придете домой (или сразу в приложении на телефоне), поменять пароль после того как разблокировали аккаунт на компьютере в МФЦ. А то знаем мы эти ваши общественные компьютеры.
Совет 2. При регистрации абитуриента на госуслугах укажите контрольный вопрос. Тогда злоумышленник не сможет поменять пароль и будет вынужден действовать быстро, пока живет сессия по украденной СМС. Они (злоумышленники), сразу же устанавливают свой контрольный вопрос, после кражи. Чтобы вы не смогли быстро сменить пароль.
Совет 3. Включите уведомления о входе в госуслуги.
Совет 4. Договоритесь с ребенком о контрольном вопросе. Даже если «вы» ему звоните со своего номера, своим голосом и спрашиваете любой код — он должен спросить: «А что мы делали прошлым летом?!».
Совет 5. После регистрации — отключите всплывающие сообщения для СМС с госуслуг. Это делается в настройках контакта (для Андроид).
Что делали злоумышленники с краденым
Пока мы бежали в МФЦ, мошенники начали действовать.
В черновиках было заявление о «контракте на воинскую службу». Но тут злодеи промахнулись, т.к. «контрактнику» еще не стукнуло 18 лет.
За то время, что добирались до специальной тёти из МФЦ — они звонили еще несколько раз. Мы трубку не брали, потом просто их заблокировали. Наверное, хотели выяснить, почему нет номера военного билета.
Подозреваю, что следом начался бы шантаж на тему:
«А вот сейчас по контракту поедешь <...>. Если не хочешь, то <...>.» (подставить нужное).
Через пару дней был еще унылый звонок «из военкомата» (просто «на авось»):
«Это Дима из военкомата!» (дословная цитата).
Дима, я тебе подскажу еще несколько вариантов: «Вася из мэрии», «Петя из министерства» и «Славик из администрации президента».
Еще немного полезной информации для абитуриентов и их родителей
Данные абитуриента украдут сразу.
Даже не сомневайтесь. Номер телефона, ФИО, куда поступаете.
Информация о призерах и победителях олимпиад — в открытом доступе.
Порядок, условия, даты вступительных испытаний и прочее — публикуются на сайтах ВУЗов.
Если вам кажется, что звонящий знает какую‑то уникальную информацию о вашем поступлении — это не так. Он знает все из открытых источников и краденных данных.
Вам могут позвонить из настоящей приемной комиссии
В одном ВУЗе, не могли прочитать скан в pdf (эээ...ну бывает...). Попросили написать на email и приложить скан в jpg.
В другом — не подтянулся аттестат с госуслуг. Попросили в личном кабинете на сайте ВУЗа приложить скан.
Потом звонили из двух ВУЗов и предлагали (как призеру олимпиады) поступить «Без Вступительных Испытаний (БВИ)». Для этого надо было подать согласие на зачисление, в данный университет, до 1 августа.
ВУЗы не звонят по мессенджерам! Забейте ребенку (и себе) телефоны приемных комиссий в контакты. Телефоны и email приемной комиссии есть на сайте. При отправке писем в ВУЗ — сверяйте адрес с тем, что указан на сайте.
Реальные звонки происходят сильно раньше, чем заканчивается дата подачи документов (при условии, что вы не подали документы в последних числах июля). т. е. звонят в середине июля: «Вам надо до 1 августа...»
Никаких «срочно, сейчас, я вам помогу, только скажите код из СМС или покажите экран! Иначе не поступите!»
Хороший вариант действий — выслушать, а потом положить трубку и позвонить в приемную комиссию. Где спросить «Это вы мне сейчас звонили?». Мой абитуриент так и делал, но уже после полученного опыта...
Удачи всем поступающим в следующем году!
Абитуриент! Не теряй бдительности!
P. S.
Если тут водятся айтишники из МГУ. Ребята и девчата, пожалуйста, при составлении списка абитуриентов сдающих ДВИ, рядом с фамилиями тех кому ДВИ сдавать не надо — ставьте какую‑нибудь пометку.
Например, надпись «100 баллов автоматом», да хоть «иконку Дробышевского». Что‑нибудь! Абитуриенту надо понимать, что ДВИ ему зачтут автоматом.
Сейчас призер «Ломоносовки» открывает список сдающих ДВИ и в ужасе видит там себя: «Как?! Я же не должен сдавать!!!».
А его одноклассника (тоже призера) — в списке нет (он будет, но в другом потоке). Начинаются звонки, нервы. Работникам приемной комиссии приходится по 100 раз объяснять, что хоть вы там есть, но сдавать не надо... Им упорно не верят. Думают, что где‑то не подтянулся диплом или не поставили галочку. Все нервничают.
Такие недоработки и открывают окно возможностей всяким проходимцам.
P.P.S
Все еще нет канала в телеграмме. Не подписывайтесь.
Комментарии (55)
zurabob
18.08.2025 06:02При регистрации акка на госуслугах надо сразу ставить восстановление пароля с контрольным вопросом, тогда войти в госуслуги можно либо через пароль+смс, либо через контрольный вопрос+смс, но в любом случае надо вбивать самому или называть явно и никакой доступ к смс не поможет мошенникам. Ну и конечно никогда не расшаривать экран, не называть смс, не называть любые персданные, при любых сомнениях звонить родителям. А родителям включать мозг и разруливать.
sergeyns
18.08.2025 06:02Сделали бы самозапрет на смену пароля в госуслугах по смс! Если и сделают, то подозреваю лет через 10... Чтобы сделать самозапрет на кредиты и удаленное оформление недвижки, как раз примерно столько потребовалось... Причем этот самозапрет еще надо самому установить! (а по хорошему такое надо включать по умолчанию всем, а уж те кто понимает что это, пускай включает)
axion-1
18.08.2025 06:02Схватили паспорт и прибежали в МФЦ.
По моему опыту, сбросить пароль можно прямо из дома, даже если мошенники уже поставили ОТР. Возможно, быстрее было бы заблокировать акк по телефону тех. поддержки, если только до МФЦ не 3 минуты ходу.
fedy-79 Автор
18.08.2025 06:02Да. Можно звонком в службу поддержки.
Но там блокируют на 2 суток, кажется. Т.к. шел активный этап работы с заявлениями в ВУЗы - решили, что лучше сбегать до МФЦ.
Можно записать как ещё один совет, что если до МФЦ далеко - блокируете по телефону.
Спасибо.
axion-1
18.08.2025 06:02Можно даже без звонка в техподдержку, просто поменять пароль перед тем как бежать в МФЦ. Через ту же самую процедуру с СМС кодом, которой воспользовались мошенники.
zurabob
18.08.2025 06:02Если они не дураки (а скорее всего они не дураки, за ними государство стоит), то сразу поставят контрольный вопрос на восстановление и просто по смс уже не восстановить.
axion-1
18.08.2025 06:02Они не дураки, но пароль по коду из СМС сбросить можно - из собственного опыта. Скорее всего так намеренно сделано на Госуслугах.
zurabob
18.08.2025 06:02Если бы это было так, у меня мошенники не спрашивали бы контрольный вопрос после паузы, вместо привычного смс кода. Значит не был подключен контрольный вопрос.
axion-1
18.08.2025 06:02Интересно. В моём случае (у мамы взломали акк), контрольного вопроса не было и пароль получилось сразу сбросить. Хотя ОТР на своё устройство они не поленились поставить. Буду знать про такую опцию. В любом случае нужна 2fa через приложение.
DvoiNic
18.08.2025 06:02Оффтоп. Может, кто подскажет, на что меня пытались развести?
(Стандартно, звонок "Это курьерская доставка Озон, бла-бла-бла, скажите номер заказа из СМС". Были посланы вдаль, естественно. Но вопрос - "куда хотели зайти" - остался. Вроде не госуслуги, там 6 цифр)
Вот, собственно, сама СМС
Maxor1k
18.08.2025 06:02На заднем плане они должны были громко радоваться, что зашли к вам на госуслуги или что-то такое, вы бы начали нервничать, вам бы позвонил "банк" (из соседней камеры) и предупредил, что на вас оформляют кредит. Примерно такой план, с двойным дном
dr_brain
18.08.2025 06:02Это только первый шаг, дальше было бы что то подобное
вы говорите им этот код, на том конце слышите фразу "Ваня работаем, я взломал этого лоха"
вы в панике начинаете бегать в банки, мфц, и т.д. и все блокировать, перевыпускать
через некоторое время вам вам звонит 'товарищЪ майор', и строгим голосом говорит "вас уважаемый взломали, некоторе время назад, ведется расследование, процессуальные действия, назовите код что бы мы наказали мошенников"
DvoiNic
18.08.2025 06:02Понятно, спасибо. Эх, не довел я до конца... Еще была мысль назвать рандомные 5 цифр... Поприкалывался бы...
VADemon
18.08.2025 06:02Работникам приемной комиссии приходится по 100 раз объяснять
Если они сами не могут похлопотать, то организация дисфункциональна и пускай дальше страдают.
urvanov
Я бы ещё посоветовал двухфакторную аутентификацию сделать через одноразовые ключи, которые в Яндекс.Ключ или Google Authenticator даются, там есть такая возможность. Хотя бы для госуслуг, а то на них очень много функционала понавешано.
mm3
Что совершенно не помешает восстанавливать доступ по привязанному к аккаунту номеру телефона. А номер телефона отвязать нельзя, только сменить на другой.
Хоть как то должен спасать контрольный вопрос, который стоит считать паролем для восстановления и генерировать из случайных букв и цифр.
Roland21
Всмысле? Если указан вход по ключу, можно все равно войти по смс? 0-0
zurabob
Мошенники делают восстановление пароля, чем тут поможет вход по ключу?
urvanov
А там при восстановлении пароля OTP не задействуется? Только номер телефона? Вот это номер, если честно
Roland21
это не просто дыра в безопасности...
select26
Только дыра и в безопасности
axion-1
Пароль сбросить смогут, но это им не поможет, т.к. ОТР останется.
Sazonov
Если не ошибаюсь, то в том же Гугле, Эппл и Протоне можно указать номер телефона для восстановления доступа. И для такого восстановления не нужна 2fa.
inkelyad
У гугла - нужно. Когда включаешь 2fa оно требует сделать три артефакта доступа. (обычно включая телефон, но можно сделать и по другому).
Если утерял один (пароль или OTP генератор) -- оно спрашивает какой-то другой. Как раз для того, чтобы при восстановлении - оно не вырождалось в один фактор.
В общем - что для входа, что для восстановления будет нужен "два из трех" (или больше) факторов.
Госуслугам и прочим хорошо бы так же поступать.
axion-1
Проблема в том, что при получении доступа к аккаунту Госуслуг, мошенники сразу ставят ОТР на своё устройство, и отключают аутентификацию по СМС. Если для сброса пароля требовать код ОТР, хозяин сам не сможет оперативно поменять пароль в случае потери доступа.
inkelyad
Для изменения(да и для входа, собственно) пароля при включенной 2fa нужен и код OTP и еще что-нибудь. Как мошенник доступ-то получил по одному коду?
Но, вообще, это тоже решаемо - но уже весьма неудобно.
Решение - для входа нужно 2 артефакта доступа. А вот для смены/замены этих утерянного - уже 3.
Но тогда нужно иметь 4 артефакта доступа (чтобы при утере одного еще три оставалось) - но где их взять столько?
Roland21
Для первичной установке все норм, а для замены способа визит с паспортом в МФЦ как 4 вариант, не?
inkelyad
Часть народа очень плохо реагирует на предложения визита и хочет удаленный способ восстановления.
По хорошему, государству уже давно пора чипованные карточки (не полноценный ID, а просто карточки) с ключами выпускать и в каждом супермаркете продавать. Чтобы зарегистрировал такую в учетку, в сейф/тумбочку положил - и можешь использовать ее в качестве способа входа. Ни или даже не чипованные а просто скретч-карты.
(это отличается от резервной фразы и кодов тем, что содержимое чипа нельзя продиктовать по телефону, т.е. мошеннику значительно труднее этот способ из человека вытащить - надо физически его как-то вытаскивать)
Roland21
аппаратный ключ - это без сомнения лучший вариант
Roland21
аппаратный ключ - это без сомнения лучший вариант
urvanov
Государство когда-то пыталось сделать карту УЭК, в который был ключ для аутентификации на госуслугах. И эта штука потом должна была стать электронным паспортом и заменить бумажный. Но там что-то не получилось.
inkelyad
Не получился полноценный ID/электронный паспорт. Да еще за скинув всю недешевую бюрократию и процедуры, с этим связанные, на банки.
Я же описываю просто карточку с ключем. Анонимную. Даже изначально зашитым, без возможности генерации (криптографы-параноики сейчас поморщатся) и потому дешевую. А привязывается к учетке и человеку она уже самим человеком.
DvoiNic
Поясните, плз, механизм действия...
inkelyad
Выпускаются чипы (приблизительно такие же, как SIM и банковские). В них прямо на заводе вшиваются ключи доступа. Упаковывается, отсылается в магазины. Они будут дешевые именно потом что механизма генерации ключа в них нет (я подозреваю, что 'настоящие' аппаратные ключи именно из за него такие дорогие).
Форм фактор - 'банковская карта' с дополнительным плоским USB контактом на краю или 'флешка'.
Потом:
Человек идет в магазин, покупает такой. Логинится в учетку сайта (госуслуг или другого). Предъявляет (через NFC или контактный USB) карту "я будут этим пользоваться в качестве фактора входа".
Сайт публичный ключик этого чипа запоминает ну и так далее.
В общем, как обычный аппаратный ключ, только, собственно, ключевая пара сразу на заводе сгенерирована, чтобы все это удешевить.
ko55ur
Главное чтобы потом так не было))
https://habr.com/ru/companies/bastion/articles/772222/
inkelyad
Банковские карты и SIM-ки, вроде бы, в массовом порядке не ломают.
VADemon
Если регистрировать спецкарту опционально, то точно так же мошенники будут это делать после первого своего входа.
inkelyad
Так надо настоятельно рекомендовать это делать. Вот как номер телефона добавить 'рекомендуют'.
Yuriy_krd
Напомнило - раньше такое было у банка Unicredit. Карточка с закрытым слоем на 40 одноразовых кодов. Применялась как для входа, так и для проведения банковских операций. Активировалась в личном кабинете или приложении по номеру этой карточки. Надо какой-то код (а они требовались рандомно) - стер монеткой и ввел. Банк выдавал до 3-х таких скретч-карт за раз..
inkelyad
Это - главный недостаток. Этот код можно продиктовать. Сильно лучше с точки зрения звонков мошенников, когда аутентификатор работает только локально - когда ты его в руках держишь.
axion-1
На Госуслугах не так. Если включён ОТР, поменять пароль всё равно можно по коду из СМС. Но войти по этому паролю не получится без ОТР. Выше написал для чего так сделано.
inkelyad
Т.е. пароль - не важен. На самом деле для входа нужны доступ к SMS-кам на телефон и генератор. И смысла тогда его вообще делать?
ioannes
Я проверял, пароль можно сбросить, но войти по нему без OTP нельзя. А если ты не вошёл, нельзя выключить OTP.
У меня не получилось "взломать" свой акк на Госуслугах.
inkelyad
Тут возможен такой сценарий: меняем пароль по коду из SMS и используем его (вместе с генератором) для входа в учетку.
Но получается что пароль вроде бы - лишний. Можно было бы сразу по коду из SMS и OTP коду пускать.
Отличие от сценария "нужно два фактора из трех" в том, что в нем можно пароль (длинный и сложный) записать, положить в тумбочку и использовать его только для смены либо телефона либо OTP, если потеряешь. А входить - именно по SMS и по коду из генератора (одновременно).
hw_store
Что такое ОТР?? Гугл говорит, что "организационно-технологические решения"
Wesha
Алфавит попутали: One Time Password.
В каком‑то роде «организационно‑технологическое решение», да...
axion-1
При включенной OTP двухфакторке, мошенники могут сбросить пароль если узнают код из СМС, но войти без ключа всё равно не смогут.
ioannes
Да, только что проверил. Запросил сброс пароля, пришла четырёхзначная (!) SMS, после ввода сайт предложил ввести новый пароль. Новый пароль подошел, но потребовался ввод OTP, который не сбросился.
Вывод: OTP даёт пополнительный слой защиты и не сбрасывается при успешном сбросе пароля.
axion-1
Причём при успешном взломе, мошенники сами включают ОТР, чтобы затруднить восстановление доступа.