Первые шаги при подозрении на взлом
Сразу после того как вы увидели уведомление о входе, который не совершали, SMS-код для подтверждения операции, которую не запрашивали, или списание баллов в программе лояльности — прекратите любые действия в кабинете и переходите к фиксации следов.
Шаг 1. Зафиксируйте доказательства. Сделайте скриншоты уведомлений, SMS-сообщений, push-уведомлений в мобильном приложении «Госуслуги» и письма на электронной почте, привязанной к аккаунту. Сохраните дату, время и IP-адрес из уведомления о входе, если он отображается. Эти данные понадобятся при обращении в МВД, банк и техподдержку портала.
Шаг 2. Проверьте устройство. Прежде чем менять пароль, убедитесь, что с вашего компьютера или смартфона не утекают данные. Запустите антивирус с актуальными базами, проверьте список установленных расширений в браузере и установленных приложений. Удалите подозрительные программы, которые появились незадолго до инцидента, и обновите операционную систему.
Шаг 3. Проверьте привязанные контакты. Зайдите в раздел «Профиль» → «Контактная информация» и убедитесь, что телефон и e-mail не изменились. Если злоумышленник уже подменил адрес почты, восстановление аккаунта усложнится: коды подтверждения уйдут на его адрес.
Шаг 4. Свяжитесь с техподдержкой. Короткий номер службы поддержки Госуслуг — 115, телефон горячей линии — 8-800-100-70-10 (звонок бесплатный по России). Опишите инцидент, назовите время подозрительного входа и приложите номер обращения — он пригодится при эскалации.
Шаг 5. Оцените масштаб. Решите, какие именно сервисы могли быть затронуты: достаточно ли для вас защиты самого кабинета или нужно экстренно уведомлять банки и бюро кредитных историй. Если вход произошёл с IP из другого региона или в нехарактерное время (ночью, когда вы спите), переходите к разделу про оформление кредитов сразу после фиксации следов.
Как посмотреть историю входов и активные сессии
Госуслуги не выводят журнал авторизаций в явном виде на главной странице, но вся нужная информация собирается в нескольких разделах профиля. Анализ этих разделов занимает 5–7 минут и позволяет выявить следы чужой активности, даже если злоумышленник не оставил уведомлений.
Где смотреть.
- «Уведомления» — главный индикатор. Здесь отображаются автоматические сообщения системы о входе в аккаунт, попытках смены пароля, изменении контактных данных, подаче заявлений и запросах на выписки. Если сообщение отправлено в непривычное время или упоминает действие, которое вы не выполняли, это сигнал.
- «Заявления» и «Результаты услуг» — здесь хранятся заявки, поданные от вашего имени. Сортируйте по дате и проверяйте каждую позицию, датированную после последнего точно вашего визита.
- «Безопасность» — раздел, через который управляются активные сессии и доверенные устройства. В веб-версии путь: профиль → настройки → безопасность. В мобильном приложении «Госуслуги» пункт вынесен в нижнее меню «Профиль» → «Безопасность».
- «Электронные подписи» — если у вас есть усиленная квалифицированная электронная подпись (УКЭП), проверьте, не выпускалась ли новая. Появление незнакомого сертификата означает, что злоумышленник может подписывать документы от вашего имени.
Что искать в журнале.
Сверяйте временные метки в уведомлениях с собственным расписанием. Обращайте внимание на несоответствие геолокации: если вы физически в Москве, а вход зафиксирован из Екатеринга или из-за рубежа — это прямое указание на компрометацию. Учитывайте, что мобильный интернет может давать IP из соседнего региона, поэтому единичное отклонение — ещё не приговор, но повод усилить контроль.
Полезная дополнительная проверка — история операций по привязанным банковским картам. Если в кошельке Госуслуг сохранены карты, посмотрите выписки в банковских приложениях за период, совпадающий с подозрительным входом.
Алгоритм принудительного завершения сеансов
Завершение чужих сессий — ключевое действие, которое вырывает атакующего из аккаунта до того, как он успеет провести платёж, сменить пароль или выпустить электронную подпись. В Госуслугах эта функция реализована через управление устройствами.
Пошаговая инструкция для веб-версии:
1. Авторизуйтесь на gosuslugi.ru и зайдите в личный кабинет.
2. Перейдите в раздел «Профиль» → «Настройки» → «Безопасность».
3. Найдите блок «Действующие сессии» или «Устройства с активным входом» — название зависит от версии интерфейса.
4. В списке отображаются браузер, операционная система, IP-адрес и время последней активности каждого устройства.
5. Нажмите «Завершить сеанс» рядом с каждым незнакомым устройством. Если хотите обезопасить себя сразу по всем точкам — выберите «Завершить все сеансы, кроме текущего».
6. Подтвердите действие кодом из SMS или через биометрию, если она включена.
Пошаговая инструкция для мобильного приложения:
1. Откройте приложение «Госуслуги» и авторизуйтесь с использованием PIN-кода или биометрии.
2. Перейдите во вкладку «Профиль» в нижнем меню.
3. Выберите «Безопасность» → «Активные сессии».
4. Тапните «Завершить» рядом с подозрительными устройствами или «Завершить все, кроме текущего».
5. Подтвердите смену статуса кодом из SMS.
Что происходит после завершения. Злоумышленник лишается доступа к кабинету до следующей авторизации. Поскольку пароль ещё не сменён, он теоретически может войти снова, поэтому следующий шаг — обязательная смена пароля (см. соответствующий раздел). Сессии, завершённые принудительно, остаются в журнале как завершённые — это дополнительный признак для расследования инцидента.
Если пункт «Завершить сеанс» не отвечает. Такое бывает при сбоях на стороне портала. В этом случае переходите к радикальному методу — смене пароля. При смене пароля все активные сессии, кроме текущей, принудительно закрываются автоматически.
Критерии проверки безопасности профиля
После нейтрализации активных угроз проведите аудит самого профиля. Ниже — чек-параметры, по которым вы за 10 минут поймёте, насколько глубоко проник злоумышленник и какие следы он оставил.
Параметр 1. Контактные данные. Откройте раздел «Контактная информация» и проверьте три поля: номер телефона, e-mail и адрес регистрации. Любое несоответствие — тревожный сигнал. Телефон считается скомпрометированным, если в SMS-архиве есть сообщения о подтверждении смены номера, которые вы не запрашивали.
Параметр 2. Документы. В разделе «Документы» сверьте паспортные данные, СНИЛС, ИНН, водительское удостоверение, загранпаспорт. Если какой-то документ подгружен заново или с обновлёнными реквизитами — это признак, что атакующий готовил почву для оформления кредита или микрозайма.
Параметр 3. Электронные подписи. Проверьте раздел «Электронные подписи». У вас должна быть только одна УКЭП — та, что вы получали в аккредитованном удостоверяющем центре лично. Появление дополнительного сертификата, особенно без даты выпуска в вашем календаре, означает, что подпись выпущена дистанционно и может использоваться для подписания любых документов от вашего имени.
Параметр 4. Платежи и автоплатежи. Откройте «Кошелёк» или «Платежи» и посмотрите историю. Любая операция, которую вы не совершали, требует немедленного обращения в банк. Сохраните квитанции — они пригодятся для заявления в полицию и для банковского чарджбэка.
Параметр 5. Подписки и согласия. В разделе «Согласия и разрешения» проверьте, не выданы ли кому-то новые согласия на обработку персональных данных. Злоумышленники часто используют чужие аккаунты для оформления сим-карт, микрозаймов и подписок.
Параметр 6. Заявки в «Результатах услуг». Отсортируйте заявки по дате подачи. Все заявки, которые вы не подавали, зафиксируйте как доказательства. К таким заявкам относятся запросы выписок из ЕГРН, справки о доходах, регистрация по месту жительства, восстановление водительского удостоверения.
Параметр 7. Уведомления «Действия в аккаунте». Раздел уведомлений — это ваш чёрный ящик. Прокрутите его за последние 30 дней и обратите внимание на любые действия, привязанные к часам, когда вы точно не пользовались кабинетом.
Сводная таблица проверки.
| Параметр | Где смотреть | Норма | Тревожный признак |
|---|---|---|---|
| Телефон | Профиль → Контакты | Ваш номер | Незнакомый номер или пометка «обновлён» |
| Профиль → Контакты | Ваш адрес | Незнакомый адрес | |
| Документы | Профиль → Документы | 1 паспорт | Дубликат, иной СНИЛС, новый ИНН |
| Электронные подписи | Профиль → Подписи | 1 УКЭП | Появление нового сертификата |
| Платежи | Кошелёк / Платежи | Только ваши операции | Списания без вашего ведома |
| Согласия | Профиль → Согласия | Список, который вы контролируете | Незнакомые получатели согласий |
| Уведомления | Главная → Уведомления | Только ваши действия | Входы в непривычное время |
Если хотя бы по одному параметру выявлен тревожный признак — действуйте по сценарию компрометации, описанному ниже. Если профиль чист — переходите к усилению защиты (смена пароля, двухфакторная аутентификация, обновление доверенных устройств).
Настройка двухфакторной аутентификации и смена пароля
Эти две операции выполняются подряд и замыкают контур защиты. Смена пароля обнуляет все украденные учётные данные, а двухфакторная аутентификация добавляет второй барьер, без которого вход в кабинет становится бессмысленным для злоумышленника.
Требования к новому паролю. Используйте не меньше 12 символов, комбинируйте заглавные и строчные буквы, цифры и спецсимволы. Не применяйте дату рождения, номер телефона, кличку питомца и словарные основы из топ-100 худших паролей. Госуслуги проверяют пароль на сложность и блокируют очевидно слабые комбинации. Не сохраняйте новый пароль в браузере на устройствах, которые используются не только вами.
Как сменить пароль:
1. Зайдите в «Профиль» → «Настройки» → «Безопасность» → «Сменить пароль».
2. Введите текущий пароль. Если вы его не помните (что говорит о глубокой компрометации), используйте ссылку «Восстановить» — потребуется подтверждение по телефону или e-mail.
3. Задайте новый пароль с учётом требований выше.
4. Подтвердите смену кодом из SMS — он придёт на привязанный номер.
Включение двухфакторной аутентификации. В Госуслугах подтверждение входа кодом из SMS включено по умолчанию, но дополнительно можно усилить защиту тремя способами:
- Биометрический вход в мобильном приложении. Включается в настройках приложения: «Профиль» → «Безопасность» → «Вход по биометрии». Поддерживается Face ID, Touch ID и распознавание по лицу в приложении для Android.
- Усиленное подтверждение через приложение. Вместо SMS-кода можно получать push-уведомление в приложении «Госуслуги» — это безопаснее, потому что push не перехватывается через подмену SIM-карты.
- Подтверждение входа по одноразовому коду в мобильном приложении. Активируется отдельно в разделе безопасности и требует, чтобы код подтверждения приходил не через SMS, а во внутренний интерфейс приложения.
Дополнительные настройки, которые стоит включить сразу:
- Уведомления о каждом входе в аккаунт — отметьте в разделе «Уведомления» все доступные каналы (e-mail, SMS, push).
- Контрольный вопрос — задайте такой, ответ на который знаете только вы. Не используйте имя первой учительницы или название родного города — эта информация часто утекает из соцсетей.
- Ограничение по геолокации — в некоторых версиях интерфейса доступна настройка, запрещающая вход из-за рубежа без дополнительного подтверждения.
Если SMS-коды перестали приходить. Это критический признак: возможно, злоумышленник перевыпустил вашу SIM-карту через салон связи с использованием украденных документов. Срочно звоните оператору связи, блокируйте номер и обращайтесь в полицию с заявлением. Без телефонного номера восстановление доступа к Госуслугам занимает до 30 дней и требует личной явки в МФЦ.
Что делать, если мошенники успели оформить кредит или сменить данные
Если в журнале заявок вы обнаружили незнакомые запросы — это сигнал к немедленным действиям. С 2019 года в России действует механизм самозапрета на выдачу кредитов, и с 1 марта 2025 года — расширенный запрет через Госуслуги (Федеральный закон № 167-ФЗ от 26.02.2024 в редакции, актуальной на 2025 год). Самозапрет бесплатно устанавливается через Госуслуги и блокирует выдачу новых кредитов на ваше имя во всех банках и микрофинансовых организациях.
Шаг 1. Установите самозапрет на кредиты.
1. Войдите в Госуслуги.
2. Перейдите в раздел «Услуги» → «Финансы и кредиты» → «Самозапрет на выдачу кредитов».
3. Выберите тип запрета — только онлайн-кредиты или все виды (включая офлайн).
4. Подтвердите установку запрета кодом из SMS.
Запрет вступает в силу на следующий календарный день. Снять его можно через те же Госуслуги, но с задержкой — это сделано для защиты от давления мошенников.
Шаг 2. Запросите кредитную историю. Право на бесплатный запрос кредитной истории есть у каждого гражданина РФ раз в полгода через каждое бюро кредитных историй (БКИ). Через Госуслуги можно отправить запрос сразу в несколько БКИ: «Услуги» → «Финансы» → «Кредитная история». Также бесплатно доступна проверка через ЦККИ (Центральный каталог кредитных историй) по СНИЛС.
Если в выписке появились кредиты, которые вы не оформляли, — это основание для обращения в банк и полиции.
Шаг 3. Обратитесь в банк. Если кредит уже оформлен, свяжитесь со службой безопасности банка-кредитора в течение 24 часов с момента обнаружения. Предоставьте:
- Заявление о мошенничестве.
- Копию паспорта.
- Доказательства того, что вы не подавали заявку (скриншоты уведомлений Госуслуг, выписку по геолокации с телефона, табель учёта рабочего времени, если это юрлицо).
Банк обязан провести внутреннее расследование. По закону (ст. 5 Федерального закона № 230-ФЗ «О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности» и ст. 159.1 УК РФ) доказывать факт мошенничества должен потерпевший, но на практике банки идут навстречу при наличии полного пакета доказательств.
Шаг 4. Напишите заявление в полицию. Подайте заявление в отдел по месту жительства или через портал МВД РФ. К заявлению приложите:
- Скриншоты журнала входов в Госуслуги.
- Выписку из кредитной истории.
- Распечатку SMS-сообщений с кодами подтверждения, если они приходили.
- Документы из банка.
По результатам рассмотрения вы получите талон-уведомление и номер КУСП (книга учёта сообщений о преступлениях). Этот номер обязателен для дальнейших обращений в банки и суды.
Шаг 5. Восстановите документы. Если в аккаунте появились незнакомые изменения данных паспорта, СНИЛС, ИНН — обратитесь в МВД (паспорт), ПФР (СНИЛС) и ФНС (ИНН) для восстановления корректных данных. Параллельно направьте жалобу в Роскомнадзор на незаконную обработку персональных данных.
Шаг 6. Замените SIM-карту и e-mail. Если телефон или почта были скомпрометированы, замените их с блокировкой старых. Для SIM-карты обратитесь в салон связи с паспортом, для e-mail — заведите новый адрес на защищённом сервисе (с двухфакторной аутентификацией) и перепривяжите все важные сервисы.
Когда стандартная защита аккаунта не помогает
Цифровая гигиена работает в большинстве бытовых случаев, но есть сценарии, где мер из этой инструкции недостаточно. Рассмотрим их подробно, чтобы вы заранее знали, где нужно эскалировать ситуацию.
Сценарий 1. SIM-свопинг. Злоумышленник получил дубликат вашей SIM-карты через салон связи с использованием украденных или поддельных документов. После этого SMS-коды уходят на его устройство, и двухфакторная аутентификация перестаёт защищать. Признаки: SMS не приходят, телефон показывает «нет сети» в зоне покрытия, оператор сообщает о замене SIM. Действия: немедленная блокировка номера через оператора, визит в офис связи с паспортом, заявление в полицию.
Сценарий 2. Утечка биометрии. Если вы когда-то проходили биометрическую идентификацию через Единую биометрическую систему (ЕБС), а злоумышленник получил копию биометрии — он может авторизоваться на Госуслугах через банкоматы нового поколения, поддерживающие биометрический вход. Действия: отключите биометрию в настройках, обратитесь в банк, через который сдавали биометрию, и в техподдержку ЕБС для удаления слепка.
Сценарий 3. Подкуп сотрудника МФЦ или оператора связи. В редких случаях доступ к аккаунту получают не через интерфейс Госуслуг, а через внутренние каналы операторов связи, банков и МФЦ. Признаки: вы не видите следов входа в журнале, но данные изменились. Действия: заявление в полицию и в службу безопасности организации, через которую произошла утечка.
Сценарий 4. Удалённый доступ к вашему устройству. Если злоумышленник установил на ваш компьютер или телефон программу удалённого доступа (AnyDesk, TeamViewer и аналоги), он видит всё, что вы вводите. Признаки: непривычные процессы в диспетчере задач, повышенный расход трафика, нагрев устройства в режиме покоя. Действия: сброс устройства до заводских настроек, смена всех паролей с чистого устройства, проверка домашнего роутера.
Сценарий 5. Компрометация доверенного лица. Если вы когда-то давали кому-то (супругу, родителю, помощнику) полный доступ к кабинету, а отношения испортились — этот человек может действовать от вашего имени. В этом случае технические меры бессильны без правового урегулирования: заявление в полицию, при необходимости — судебный запрет на использование персональных данных.
Сценарий 6. Социальная инженерия в реальном времени. Мошенник звонит вам, представляется сотрудником Госуслуг и просит продиктовать код из SMS «для отмены подозрительной операции». Вы диктуете — и в этот момент вход в ваш аккаунт подтверждается на его устройстве. Технические средства Госуслуг не могут отличить легитимного пользователя от того, кого обманом заставили продиктовать код. Действия: прекращение разговора, проверка журнала, смена пароля, установка самозапрета на кредиты.