В 2025 году у «Госуслуг» появился новый способ подтверждения входа — одноразовый код в мессенджере MAX. По официальной схеме после связки профиля MAX с учётной записью «Госуслуг» код приходит не в SMS, а в официальном боте «Коды подтверждения» — @verificationcodes_bot. При привязке пользователь выбирает устройство, на которое эти коды будут приходить, и именно оно становится доверенным. Идея понятна: убрать часть зависимости от обычных SMS и сделать вход более управляемым.
На бумаге это выглядит как усиление защиты. Но всякий новый защитный механизм почти мгновенно становится и новой легендой для социальной инженерии. Мошенникам не нужно «ломать MAX», если можно паразитировать на самой теме защиты: звонить от имени «Госуслуг», «поддержки MAX» или «службы безопасности» и рассказывать про «ошибку привязки», «смену доверенного устройства», «сбой в боте кодов» или «необходимость срочно переподключить MAX». Это уже не технический взлом, а обычный обман, просто в новой упаковке. Официальные материалы «Госуслуг» прямо предупреждают: поддержка никогда не запрашивает пароли и коды из SMS, а сведения о втором факторе нельзя никому сообщать.
Слабое место этой схемы — не бот с кодами сам по себе, а весь контур вокруг него. Чтобы войти в MAX, достаточно номера телефона и 6-значного кода из SMS. То есть если преступник перехватил номер, получил доступ к SIM или выманил код для входа в сам MAX, он уже подбирается к каналу, через который приходят коды для «Госуслуг». У MAX есть дополнительная защита — «Пароль для входа», то есть собственная двухфакторная аутентификация: вход подтверждается кодом из SMS и отдельным облачным паролем. Но эту опцию пользователь должен включить сам.
Отсюда и будущие сценарии развода. Самый очевидный — «псевдопомощь со сменой доверенного устройства». Официальная инструкция MAX действительно предусматривает перепривязку нового устройства и ввод кода из SMS. Для мошенника это почти идеальный сюжет: он может говорить правильными словами о «боте кодов», «доверенном устройстве» и «перепривязке», а на деле выманивать тот самый код, который нужен уже не для защиты, а для захвата канала подтверждения. Причём официальная справка MAX отдельно указывает: если вам пришёл SMS-код для входа без вашего запроса, кто-то мог пытаться завладеть профилем.
Второй вероятный сценарий — игра на восстановлении доступа. Если профиль MAX удалён, официально предлагается сначала вернуть вход в «Госуслуги», перевести подтверждение обратно на SMS, а затем заново связать MAX; среди вариантов восстановления названы, например, Сбербанк Онлайн, электронная подпись или МФЦ. Для добросовестного пользователя это инструкция спасения, для мошенника — готовый театральный реквизит: «у вас удалён профиль», «нужно срочно восстановить связку», «сейчас придёт код, назовите его». Чем сложнее и новее процедура, тем легче преступнику звучать убедительно.
Поэтому главная угроза в истории с MAX — не в том, что новый способ входа «дырявый», а в том, что он создаёт новый словарь для старого развода. Теперь жертве будут говорить не только про «безопасный счёт» и «подозрительный вход», но и про «бота кодов», «доверенное устройство», «перепривязку MAX» и «проверку синхронизации с Госуслугами». Чем правдоподобнее терминология, тем легче выманить код. А правило остаётся прежним: любой код — из SMS, из MAX, из бота подтверждения — это ключ, который нельзя диктовать никому.
Практический вывод грубый, но точный. Если «Госуслуги» привязаны к MAX, надо защищать не только сам аккаунт на портале, но и MAX: включить «Пароль для входа», держать под контролем SIM-карту, не передавать никому SMS-коды и не выполнять «перепривязку» по входящему звонку. Потому что мошенники будут атаковать не новую технологию, а старую человеческую привычку — помогать тем, кто уверенно говорит правильные слова.
Как ещё мошенники крадут деньги
Подписывайтесь на телеграм-канал Финсайд и потом не говорите, что вас не предупреждали: https://t.me/finside.
Сообщить о мошенниках или задать вопрос Памятка о возврате от мошенников Телеграм-канал и чат Вкладер Белый список инвестиций