Да, теоретически могут, но не из-за самой привязки к MAX, а если получат доступ к тому, через что MAX и «Госуслуги» защищаются: к вашему телефону, SIM-карте, SMS для входа в MAX, почте для восстановления пароля MAX или если вы сами продиктуете код подтверждения. По действующим правилам вход в «Госуслуги» с дополнительной защитой может подтверждаться кодом из SMS, кодом из MAX, TOTP или биометрией. Если выбран MAX, код для входа приходит в официальном боте «Коды подтверждения», причём после связки аккаунтов он приходит на доверенное устройство, выбранное пользователем.
То есть в нормальной ситуации схема такая: мошеннику мало узнать ваш логин и пароль от «Госуслуг». Ему ещё нужен код из MAX с вашего доверенного устройства. Само по себе знание пароля от «Госуслуг» без доступа к этому коду не должно хватить для стандартного входа. Более того, смена доверенного устройства для кодов тоже требует дополнительных действий: в MAX нужно зайти в бот, выбрать привязку нового устройства и ввести код из SMS.
Но слабое место в том, что сам MAX тоже надо защищать. По справке MAX, вход в профиль MAX происходит по номеру телефона и 6-значному коду из SMS; сервис отдельно предупреждает, что без этого кода войти нельзя. При этом в MAX есть дополнительный «Пароль для входа» — то есть собственная двухфакторная защита аккаунта. Если её не включить, то защита связки «Госуслуги + MAX» во многом упрётся в безопасность вашего номера телефона и SMS.
Поэтому правильный ответ такой: привязка к MAX не делает взлом невозможным, но повышает порог для мошенника. Они смогут войти, если, например, завладеют вашим телефоном с уже открытым MAX, получат контроль над SIM-картой и войдут в MAX по SMS, а затем увидят код для «Госуслуг», либо если вы сами под диктовку откроете бот «Коды подтверждения» и назовёте код. Отдельно важно, что при попытках перехвата контроля над MAX сервис прямо пишет: если вам пришёл SMS-код для входа без вашего запроса, кто-то мог пытаться завладеть профилем.
Практически это означает следующее. Если «Госуслуги» привязаны к MAX, безопаснее всего: включить в MAX «Пароль для входа», держать защищённым сам телефон, никому не сообщать ни SMS-коды для MAX, ни коды из бота «Коды подтверждения», а при малейшем подозрении сменить способ подтверждения входа в «Госуслуги» на другой — например, на SMS или TOTP через настройки «Профиль → Безопасность → Вход в систему». Такой переход официально предусмотрен.
Итог: если MAX привязан, мошенникам всё ещё реально взломать «Госуслуги», но обычно не напрямую. Им нужен либо доступ к вашему устройству и номеру, либо обманом заставить вас отдать код. Сам факт привязки к MAX не является дырой; дыра появляется там, где плохо защищены телефон, SIM, почта для восстановления MAX и привычка пользователя сообщать коды посторонним.
Как ещё мошенники крадут деньги
Подписывайтесь на телеграм-канал Финсайд и потом не говорите, что вас не предупреждали: https://t.me/finside.
Сообщить о мошенниках или задать вопрос Памятка о возврате от мошенников Телеграм-канал и чат Вкладер Белый список инвестиций