Ловля на жильца: как за год выросло количество фишинговых сайтов с «госуслугами»

Масштабы возросли

В 2024 году было зарегистрировано 269 фишинговых порталов «Госуслуг» в доменной зоне «.ru», поделился с Forbes своими оценками сооснователь проекта StopPhish Юрий Другач, добавив, что это на 11,2% больше, чем в 2023-м. За все время существования «Госуслуг» во всех доменных зонах было зарегистрировано 742 фишинговых сайта, говорит Другач.

Согласно оценкам эксперта системного интегратора и вендора в области обеспечения информбезопасности «Газинформсервис» Марины Пробетс, количество фишинговых ресурсов «Госуслуг» за 2024 год выросло примерно на 30–40%. В Angara SOC подсчитали, что число ресурсов с использованием слова «gosuslugi» выросло в 2024 году в семь раз по сравнению с 2023 годом. При этом пик регистраций пришелся на октябрь 2024-го. Всего за 2024 год и первые полтора месяца 2025-го зарегистрировано более 300 доменов с использованием слова gosuslugi, добавили в компании.

В 2023 году фишинговые атаки уже были заметной угрозой, однако в 2024-м их масштабы существенно возросли — скорее всего, это связано с активным внедрением новых цифровых сервисов и повышением популярности онлайн-услуг среди населения, считает Пробетс. «Злоумышленники используют социальную инженерию, создавая поддельные страницы, которые внешне практически неотличимы от официальных. Это позволяет им получать доступ к персональным данным пользователей, включая паспортные данные, номера телефонов и банковские реквизиты», — указывает она.

Кража аккаунтов на «Госуслугах» — это цель номер один для мошенников. Фишинговые сайты, мимикрирующие под «Госуслуги», стабильно держатся в топе фейковых доменов, рассуждает технический руководитель центра мониторинга и реагирования на кибератаки RED Security SOC компании RED Security Ильназ Гатауллин. «Доступ к личному кабинету на портале дает им много прямых возможностей: войти в банковский личный кабинет жертвы, используя авторизацию через «Госуслуги», взять кредит или оформить сим-карту на чужое имя и использовать ее для противоправных действий. Кроме того, после взлома мошенники часто начинают дополнительно шантажировать жертву возможными последствиями взлома, вынуждая человека совершать преступления или передавать им те или иные материальные ценности», — говорит он.

В декабре 2024 года порталу государственных и муниципальных услуг исполнилось 15 лет. По данным Минцифры, за это время количество пользователей портала, предлагающего 1600 услуг, достигло 112 млн пользователей, которые каждый день подают 2 млн заявлений.

Почти такие же возможности

В Минцифры не стали подтверждать, но и не опровергли то, что случаев мошенничества на портале «Госуслуги» стало больше. Там лишь отметили, что злоумышленники используют методы социальной инженерии, чтобы пользователи сами сообщили им данные для входа в личный кабинет. В МВД не ответили на запрос Forbes.

В 2024 году на «Госуслугах» появились полезные для пользователей услуги — управление биометрическими данными и получение утерянных документов, замечает начальник отдела защиты бренда Angara Security Виктория Варламова. Также доступны такие функции, как получение налогового вычета, предоставление данных банкам для получения кредита, добавила она. «Эти возможности интересны и злоумышленникам для получения финансовой выгоды или сбора данных. Мошенники могут звонить и представляться сотрудниками ведомственных организаций, но, помимо звонков, и регистрировать фишинговые ресурсы», — заключает Варламова.

Фишинговые сайты, имитирующие «Госуслуги», чаще всего создают организованные группы, чтобы массово рассылать поддельные ссылки через смс-сообщения, почту или мессенджеры, размышляет директор департамента расследований T.Hunter Игорь Бедеров. Их цель — сбор данных, по его словам, для последующей продажи на черном рынке или использования их в крупных аферах — например, чтобы брать кредиты на подставных лиц.

«Доступ к аккаунту дает преступнику почти те же возможности, что и его реальному владельцу. Полученные персональные данные (паспортные данные, СНИЛС, ИНН, медицинские сведения) можно продать или использовать для подделки документов, в том числе для оформления микрозаймов, кредитов через интегрированные банковские сервисы. Взломанные «Госуслуги» также могут использоваться для шантажа и вымогательства», — обращает внимание Бедеров.

Получив доступ к учетной записи, злоумышленники в первую очередь пытаются оформить кредиты на жертву, отмечает руководитель отдела анализа и оценки цифровых угроз Infosecurity (ГК Softline) Константин Мельников. Хотя уже введена функция самозапрета на кредитование, она пока только внедряется, и вопрос, смогут ли мошенники обойти эти ограничения, остается открытым. «Другой распространенный сценарий — перевыпуск сим-карт, включая eSIM, что позволяет преступникам получить контроль над номером телефона и, соответственно, доступ ко всем привязанным сервисам, таким как мессенджеры и соцсети», — рассказал эксперт. Также мошенники, по словам Мельникова, могут использовать аккаунты для манипуляций с недвижимостью и транспортными средствами, например, прописывать посторонних людей в квартирах или снимать автомобили с учета в ГИБДД без ведома владельцев.

Доказательства взлома

На поддельных сайтах также могут под видом легитимных приложений предлагать скачать вредоносные программы, например SpyNote, NGate или софт для удаленного управления устройством, указывают специалисты по кибербезопасности. По словам главного эксперта «Лаборатории Касперского» Сергея Голованова, фишинговые ресурсы могут имитировать как непосредственно страницу для входа, так и вымышленные связанные сервисы, например форму для заявления о мошенничестве. «Злоумышленники могут заказать какую-либо справку и использовать эту операцию для доказательства взлома аккаунта в продолжение своей схемы, — рассуждает он. — Обычно они пугают жертву информацией о взятом кредите и просят оказать содействие в расследовании. Цель злоумышленников — убедить жертву перевести средства, снять и передать их или привязать аккаунт к чужому устройству».

В случае взлома стоит как можно быстрее уведомить сервисы, к аккаунтам которых получили доступ злоумышленники, и заблокировать их, рекомендует Голованов. Также необходимо уточнить в МФЦ, какие именно действия смогли совершить злоумышленники, и в зависимости от этого принять необходимые меры, добавил он.

Игорь Бедеров советует использовать только оригинальный сайт «Госуслуг» — gosuslugi.ru, подчеркивая, что «все остальные домены — подделки». По словам эксперта, не стоит переходить по ссылкам из смс-сообщений, писем или соцсетей, даже если они выглядят как уведомление от «Госуслуг», причем, чтобы зайти на сайт «Госуслуг», надо вручную вводить адрес в браузере. Кроме того, Игорь Бедеров рекомендует привязать аккаунт к номеру телефона и приложению «Госуслуги», чтобы получать коды подтверждения для входа. Для пароля использовать комбинации из цифр, букв, спецзнаков и менять его каждые три-шесть месяцев.