С декабря 2025 года центр фиксирует массовую волну фишинговых SMS-рассылок, имитирующих официальные уведомления портала Госуслуги. По нашим данным, только в Краснодарском крае пострадало не менее нескольких сотен человек.
Анатомия атаки
Шаг 1: Получение SMS. Жертва получает сообщение с текстом вида: «Госуслуги: подозрительный вход в ваш аккаунт с нового устройства. Если это не вы — перейдите по ссылке для защиты аккаунта: gosuslugi-protect[.]ru». Номер отправителя может быть подменён — в строке «от кого» отображается «Gosuslugi» или «8800…».
Шаг 2: Фишинговый сайт. Ссылка ведёт на сайт, визуально идентичный настоящим Госуслугам. Домен отличается от оригинального одной-двумя буквами или содержит дополнительное слово: gosuslugi-protect.ru, gosuslugi-id.ru, lk-gosuslugi.com. SSL-сертификат у фишингового сайта есть — браузер не покажет предупреждение.
Шаг 3: Кража учётных данных. На фишинговой странице жертву просят «подтвердить личность» — ввести логин, пароль и код из SMS. Мошенники в реальном времени используют эти данные для входа на настоящие Госуслуги.
Шаг 4: Захват аккаунта. После получения доступа к аккаунту злоумышленники меняют номер телефона и email для восстановления. Аккаунт Госуслуг открывает доступ к десяткам связанных сервисов: ФНС, ПФР, банки, МФЦ.
Что делают с угнанными аккаунтами
Доступ к аккаунту Госуслуг используется для:
- Оформления кредитов через партнёрские банки и МФО — с электронной подписью через аккаунт
- Получения налоговых вычетов на счета мошенников
- Продажи аккаунта другим мошенникам на теневых форумах (стоимость — от 3 000 до 15 000 руб.)
- Социальной инженерии — аккаунт с реальными данными используется для атак на других людей
Как отличить настоящее SMS от Госуслуг
| Признак | Оригинал | Фишинг |
|---|---|---|
| Ссылка | gosuslugi.ru | gosuslugi-protect.ru и подобные |
| Просьба ввести пароль | Никогда | Всегда |
| SMS с кодом | Только при вашем входе | «Подтвердите защиту» |
| Звонок после SMS | Нет | Часто звонят «сотрудники» |
Главное правило: Госуслуги никогда не просят перейти по ссылке для «защиты аккаунта». Если вас беспокоит безопасность — зайдите на сайт самостоятельно, набрав gosuslugi.ru в адресной строке.
Что делать если уже ввели данные
- Немедленно зайдите на настоящие Госуслуги (gosuslugi.ru) и смените пароль
- Проверьте раздел «Безопасность» — посмотрите, не добавлен ли чужой номер телефона или email
- Отзовите все активные сессии — кнопка «Завершить все сеансы»
- Проверьте связанные сервисы — ФНС, ПФР, проверьте кредитную историю через НБКИ
- Подайте заявление в полицию и направьте жалобу в Роскомнадзор
Как проверить сайт Госуслуг
- Адрес в браузере должен быть строго
gosuslugi.ru(без дефисов, слов и дополнений) - Сертификат: нажмите на замок в адресной строке — организация должна быть «Министерство цифрового развития»
- Добавьте настоящий сайт в закладки и пользуйтесь только ими
Источники
- Роскомнадзор, реестр заблокированных фишинговых ресурсов, 2025–2026
- Банк России, обзор инцидентов ИБ, III квартал 2024
- Данные собственного мониторинга ЦПД «Цифровая безопасность»