Да, в обычной ситуации мошенники не должны войти в «Госуслуги» без второго фактора. Сейчас вход там устроен не только через логин и пароль: после них нужен ещё один способ подтверждения — код из SMS, код из мессенджера MAX, одноразовый код TOTP или биометрия. Есть и вход по QR-коду через приложение. То есть формально ответ такой: штатный вход без второго подтверждения не предусмотрен.
Но в жизни вопрос надо ставить иначе: могут ли мошенники получить доступ без того, чтобы вы лично продиктовали SMS-код? К сожалению, да. Например, если у них уже есть ваш пароль и доступ к вашему телефону, где открыт аккаунт или приходят коды. Или если они не просят именно SMS, а выманивают другой второй фактор: код из MAX, одноразовый код из приложения-аутентификатора, подтверждение через QR, данные для восстановления доступа. Поэтому фраза «я никому не называл код из SMS» сама по себе ещё не означает, что вход был невозможен.
Есть и ещё один важный нюанс. На «Госуслугах» предусмотрено восстановление доступа: через сам портал, через банк-партнёр, через доверенный контакт или лично в центре обслуживания. Это сделано для законного владельца аккаунта, но именно вокруг восстановления доступа мошенники часто и строят легенды: звонят от имени «Госуслуг», «банка», «оператора», «МФЦ», пугают взломом и подводят человека к передаче нужных сведений. Минцифры отдельно предупреждает: никому нельзя сообщать логин, пароль и сведения о втором факторе защиты.
Отдельно про биометрию. Иногда люди боятся, что достаточно фотографии лица или записи голоса. По официальной информации «Госуслуг», войти по биометрии без вашего личного присутствия не получится, простая фотография не сработает. Но это не отменяет главной угрозы: большинство захватов аккаунтов происходят не через «хакерский обход» биометрии, а через социальную инженерию — когда человек сам помогает преступникам пройти восстановление или подтверждение входа.
Поэтому правильный вывод такой. Без кода подтверждения в широком смысле — нет, не должны. Без SMS-кода в узком смысле — могут, если используют другой подключённый способ входа, получают доступ к вашему устройству или заставляют вас пройти процедуру восстановления доступа под чужую диктовку. Иными словами, опасен не только «код из SMS», а вообще любой элемент входа и восстановления.
Если есть хотя бы малейшее подозрение, что кто-то пытался зайти в ваш аккаунт, надо немедленно менять пароль, выходить из подозрительных сессий и восстанавливать доступ официальным способом. «Госуслуги» также ограничивают доступ к чувствительным разделам на 72 часа при подозрении на мошеннические действия.
Как ещё мошенники крадут деньги
Подписывайтесь на телеграм-канал Финсайд и потом не говорите, что вас не предупреждали: https://t.me/finside.
Сообщить о мошенниках или задать вопрос Памятка о возврате от мошенников Телеграм-канал и чат Вкладер Белый список инвестиций