Мошенники используют мессенджер Max для кражи аккаунтов на Госуслугах: как работает схема и как защититься

2025-07-21 20370 комментарии
Злоумышленники представляются сотрудниками мессенджера Max и под видом «активации защиты» выманивают у жертв коды от Госуслуг. В статье — разбор схемы, методы социальной инженерии, слабые места SMS-аутентификации и советы по защите аккаунта

Мошенническая схема с мессенджером Max и кража аккаунтов на Госуслугах

В СМИ появились сообщения о новой схеме мошенничества, в которой злоумышленники используют российский мессенджер Max (рассматриваемый в этом году как национальный мессенджер) для получения доступа к аккаунтам пользователей портала «Госуслуги». Мошенники звонят жертве, представляются сотрудниками Max и под предлогом «дополнительной защиты» просят продиктовать СМС-код, якобы для активации аккаунта. На самом деле это код подтверждения входа на Госуслуги. Получив его, злоумышленники получают доступ к учётной записи и могут похищать персональные данные или оформлять кредиты на имя пользователя.

Как это работает:

  • Звонок с неизвестного номера с предложением зарегистрироваться в «национальном мессенджере» Max.
  • Убеждение пройти «активацию аккаунта безопасности» для защиты личных данных.
  • Запрос СМС-кода, якобы присланного Max, который на самом деле приходит от Госуслуг.

Пример схемы описан на портале «Код Дурова» и подтверждён другими источниками. Пострадавшим внушают, что код из СМС связан с регистрацией в Max, хотя на самом деле это одноразовый код от Госуслуг. Несмотря на заявления об интеграции сервисов, официально она пока не реализована.

Социальная инженерия и фишинг в схеме

Мошенники применяют методы вишинга (voice-phishing) и социальной инженерии, опираясь на:

  • Имитацию государственной принадлежности. Преступники подчеркивают, что Max – это национальный «государственный» мессенджер, якобы тесно интегрированный с другими госуслугами, включая портал «Госуслуги». Это используется для повышения доверия жертвы и снятия подозрений: «раз мессенджер государственный, значит всё официально».
  • Создание ощущения срочности. Пользователя убеждают, что нужно срочно защитить аккаунт.
  • Притворство службой поддержки. Звонящий представляется сотрудником Max или Госуслуг.
  • Использование техноязыка. Жертве говорят о «проверке безопасности» или «двойной защите».

Сценарий построен на реальных новостях и предполагаемой связи Max с госструктурами, что делает обман особенно правдоподобным для неподготовленных пользователей.

Технические уязвимости и слабые места

Атака не использует технических уязвимостей портала Госуслуг. Основная слабость — человеческий фактор и доверие к SMS-верификации:

  • SMS-коды как уязвимый механизм подтверждения. Именно их мошенники и выманивают.
  • Спуфинг номеров и отсутствие проверки вызывающего. Жертва не может убедиться в подлинности звонка.
  • Низкая цифровая грамотность. Многие не знают, что сотрудники Max не звонят и не просят коды.
  • Дезинформация о связке сервисов. На текущий момент интеграции Max и Госуслуг официально не существует.

Минцифры уже рассматривает отказ от SMS при смене пароля и внедрение дополнительных мер, таких как биометрия и подтверждение через доверенное лицо.

Рекомендации по защите аккаунта на Госуслугах

Чтобы не стать жертвой подобной схемы, ;пользователям следует соблюдать простые правила безопасности:

  • Никогда не сообщайте СМС-коды и пароли третьим лицам. Единственная служба, которая законно может прислать вам код – это «Госуслуги», и этот код нужно использовать самому, а не диктовать его посторонним. Как отмечают эксперты, «рекомендуют никогда не называть одноразовые СМС-коды посторонним».
  • Не доверяйте звонкам от «службы поддержки». Официальные операторы «Госуслуг» или Max не обзванивают пользователей и не просят коды по телефону. Если вам звонят с неизвестного номера и просят код, сбрасывайте звонок и перезванивайте на официальный номер поддержки Госуслуг (см. контактные данные на сайте).
  • Используйте антиспам-фильтры на телефоне. Чтобы отсеять подозрительные звонки, подключите услуги антиспама у мобильного оператора или установите приложения-блокировщики. Это избавит от попадания на мошеннические номера.
  • Повышайте защиту аккаунта. В личном кабинете Госуслуг включите все доступные опции безопасности: двухфакторную аутентификацию, надёжный пароль, контрольный вопрос и т.д. Не устанавливайте на телефон сомнительные приложения и не переходите по ссылкам из неизвестных сообщений.
  • При любых сомнениях – обращайтесь в официальную поддержку. Если возникают вопросы по безопасности аккаунта, звонку или СМС, лучше всего связаться напрямую с техподдержкой Госуслуг или Max (через их официальные сайты или приложения) и уточнить информацию. «При возникновении сомнений – обращаться в официальные службы поддержки», – именно такую рекомендацию дают эксперты.

Следование этим простым правилам позволит значительно снизить риск кражи учётной записи. Кроме того, Минцифры планирует ввести новые механизмы защиты – например, «доверенное лицо» и отказ от SMS при восстановлении пароля. Даже без них практикуйте осторожность: помните, что никто не позвонит вам из Max или Госуслуг, чтобы запросить код.

Официальные комментарии

  • Минцифры (Максут Шадаев). Глава Минцифры Максут Шадаев заявил, что интеграции «Госуслуг» с мессенджером Max пока нет и решение по ней ещё не принято. На совещаниях упоминалось, что ведомство «рассматривает возможность» такой связки, однако пока это лишь планы. В то же время Шадаев подтвердил: текущая система SMS-авторизации уязвима (мошенники используют коды) и в будущем появятся альтернативные способы подтверждения входа.
  • Пресс-служба мессенджера Max (VK). Разработчики мессенджера категорически отрицают любые телефонные запросы. В официальном комментарии подчеркнули: сотрудники Max никогда не звонят пользователям и не просят коды из СМС по телефону. Также отмечено, что само приложение Max не использует обычные голосовые звонки для служебных уведомлений. Другими словами, если вам звонят «от имени Max», это 100% мошенники.
  • Портал «Госуслуги». Специальных заявлений о данной схеме от администрации Госуслуг пока не публиковалось. Однако на самом портале есть рекомендации по безопасности: ни в коем случае не сообщайте пароли или СМС-коды никому, поскольку операторы не запрашивают такие данные. Пользователям напоминают, что в спорных ситуациях нужно обращаться именно в службу поддержки «Госуслуг», а не доверять незнакомцам.
Вывод: новая схема основана не на уязвимостях в IT-инфраструктуре, а на манипуляциях с доверием пользователя. Будьте осторожны, проверяйте источники информации и не передавайте СМС-коды — даже если вам звонят «из Max» или «от Госуслуг».

Угрозы безопасности

Мошенники используют мессенджер Max для кражи аккаунтов на Госуслугах: как работает схема и как защититься
Cloudflare: сбой DNS 1.1.1.1 не связан с атакой или BGP-хайджеком
UEFI-уязвимости в материнских платах Gigabyte позволяют обходить Secure Boot
Исследователи раскрыли сеть вредоносных расширений для Firefox
2,3 миллиона установок: 18 расширений для Chrome и Edge содержали вредоносный код
Почтовый клиент Evolution для Linux сливает данные — даже при включенных настройках защиты

© .
Комментарии и отзывы

Нашли ошибку?

Новое на сайте

Новое на сайте Comss.one ×