Вход на сайты через авторизацию ЕСИА

[Ivan A.]

Всем привет. Вопрос по входу на сторонние сайты через госуслуги (ЕСИА).

Если в браузере сначала зайти на госуслуги, а в соседней вкладке зайти на сайт в котором предусмотрена авторизация через ЕСИА (например ФНС) - то нажав на соответствующий пункт 

меню мы автоматически авторизуемся на сайте без ввода Логина и пароля.

Вопрос в следующем: может ли фишинговы ресурс с поддельной авторизацией через ЕСИА получить верификацию.

т.е.:

• Зашел на Госуслуги > Зашел на сайт ФНС нажал авторизацию ЕСИА > вход выполнен - вывод Подлинный сайт ФНС
• Зашел на Госуслуги > Зашел на сайт МФО нажал авторизацию ЕСИА > сайт просит ввести Логин и пароль - вывод фишинговый сайт МФО

 

 

[Umnik]

Чтобы прикрутить к себе авторизацию через ЕСИА, нужно потанцевать с бубном: https://esia.pro/integraciya_esia_kommers То есть случайный Вася, который хочет развести людей, с этим не будет связываться вообще, уж слишком условия заточены на честных. Но это никак не мешает злоумышеннику сделать просто страницу с имитацией дизайна, чтобы украсть логин и пароль.

 

Итого, действие номер один - в ГУ должна быть включена двухфакторная авторизация. Это не устраняет проблему целиком, но в целом всё равно правильная практика. Вроде сейчас без неё уже и нельзя.

 

Действие номер два - проверка адреса. Сейчас это https://esia.gosuslugi.ru/login/ Никаких http, никаких "разрешить небезопасное соединение" и всего такого. Это должен быть именно https и именно esia.gosuslugi.ru. Подделать дизайн можно, а вот сертификат - нет.

 

А входит или не входит в один клик на очередном сайте - это не признак. У меня сайты делятся по контейнерам, к примеру. Из-за этого я могу быть авторизован через Гугл на одном сайте и не авторизован на другом в соседней вкладке, потому что разнёс сайты по разным котейнерам, а между ними куки не разделяются. Впрочем, конкретно все государственные сайты у меня в контейнере Государство.

 

 

В общем, обычно достаточно проверить адрес. Но есть сценарий, при котором это всё не будет работать и всё бесполезно - если злоумышленник внедрил свои сертификаты в систему. Но здесь уже не про ГУ - это стандартно для чего угодно: если ОС заражена, то надо избавляться от заразы и срочно менять пароли везде

[Mrak]

18 часов назад, Umnik сказал:

Но это никак не мешает злоумышеннику сделать просто страницу с имитацией дизайна, чтобы украсть логин и пароль.

 

Итого, действие номер один - в ГУ должна быть включена двухфакторная авторизация.

А чем 2-ой фактор помогает, если злоумышленники имитирует дизайн госуслуг и ему вдруг поверили?

 

Вот ты на левом сайте вводишь логин и пароль от госуслуг. Злоумышленник их получает и автоматом вводит на настоящих госуслугах.

Затем выскакивает форма "введи 2ой фактор" типа кода из СМС или аутентификатора. Ты вводишь. Злоумышленник автоматом вводит 2ой фактор на настоящих госуслугах.

 

Или такого не может быть?

[andrew75]

Это возможно только если поддельная форма работает в реальном времени. А это сомнительно. Код подтверждения через какое-то время изменится.

Изменено 17 марта пользователем andrew75

[Umnik]

Выше правильно ответили. Нужно понимать, что вряд ли типичный пользователь этого форма будет жертвой целевой атаки. Наиболее вероятно, что атака будет массовой и нашего пользователя зацепит среди тысяч других людей. То есть злоумышленник не будет сидеть параллельно с пользователем и быстренько вводить его данные на ГУ, когда их вводит пользователь. Злоумышленники просто соберут охапку учёток и обработают, когда руки дойдут.

[Ivan A.]

Я придерживался той логики, что найти правильный адрес госуслуг в интернете проще, чем стороннего сервиса.

Входим на Госуслуги > жмем вход ЕСИА на стороннем сайте > получаем автовход без ввода Логина и пароля > можем предположить легитимность сайта.

Если в большинстве случаев копируется только визуальный стиль сайта, то это даст некий момент задуматься если Автологин не сработал и перепроверить свои действия.

 

 

[Ummitium]

Чтоб обезопасить себя при входе куда-нибудь через ЕСИА, сначала открываем новую вкладку с настоящим сайтом госуслуг, авторизуемся там и только потом выбираем вход через ЕСИА на стороннем сайте, при этом авторизация на госуслугах должна автоматически подхватываться. 

И обязательно используем двухфакторную авторизацию во всех цифровых системах, будь то госуслуги, социальные сети, электронная почта. Какой бы сложный пароль не был и как бы вы не осторожничали, это не спасет вас от какой-нибудь массовой утечки баз данных с паролями и личными данными в даркнет, где будут и ваши пароли с паспортными данными.

И ещё важный момент, не авторизовываться через ЕСИА где попало, только в серьезных организациях, типа банков, операторов сотовой связи.

[Mrak]

20 часов назад, Umnik сказал:

То есть злоумышленник не будет сидеть параллельно с пользователем и быстренько вводить его данные на ГУ, когда их вводит пользователь.

Разве нельзя это автоматизировать? 

Получил от пользователя данные робот и тут же открывает портал госуслуг, вводит данные. Там всего-то ввести надо логин, пароль и 2ой фактор. Три поля заполнять автоматически разве сложно?

[Umnik]

Когда у тебя сотни экземпляров скриптов будут открывать сотни экземпляров Госуслуг, сами Госуслуги начнут тебя затармаживать, защищаясь от роботов. Чтобы атаковать людей таким вот способом, нужно обойти прям много подводных камней. Это всё требует знаний и времени. А когда у атакующего есть знания и время, ему не хочется тратить их на какую-то мелкую рыбёшку, лучше вложить во что-то более значимое. Работает правило, что стоимость данных должна превышать стоимость атаки.

 

По какому параметру не посмотри, выгоднее бабулек по телефону разводить на деньги, чем пытаться попасть в чужие ГУ.

[Mrak]

4 часа назад, Umnik сказал:

Когда у тебя сотни экземпляров скриптов будут открывать сотни экземпляров Госуслуг, сами Госуслуги начнут тебя затармаживать, защищаясь от роботов.

Почему сотни? Можно же сделать единовременно открытие только одного экземпляра в реальном времени. Причём если уж обманул человека, то вход будет успешным.

 

Не ожидал, что такой автоматический ввод данных в три заранее фиксированных поля потребует много писанины и крутейших навыков программиста. 

[Umnik]

В своём предположении ты, кажется, исходишь из того, что первый же человек повёлся на фишинг сразу. А это не так, на фишинг ведутся несчастные проценты. На многие тысячи фишинговых рассылок будет десяток переходов и около нуля попыток входа. Потому рассылки и делаются тысячами, чтобы как у Газманова с маками в песках - ну хоть один, ну хоть один. Обслуживать всё это - нужны ресурсы. Потому всем этим занимаются команды, которые ориентируются на массовости.

 

Сидеть и следить за одним конкретным человеком - это абсурдно дорого. Нужно собрать данных, чтобы понять, как эффективно развести человека, как подойти к нему, как вынудить на правильные действия, как потом закрепиться, как не вызывать подозрений. Это APT: https://www.kaspersky.ru/resource-center/definitions/advanced-persistent-threats

[sputnikk]

@Umnik Безопасно ли пользоваться авторизацией через Госуслуги на сторонних сайтах, например Озоне?

[Umnik]

Да.