Новый закон о СМС-кодах для входа на Госуслуги: что важно знать

В России начал действовать обновлённый порядок входа на портал «Госуслуги». Главное изменение: если вы в этот момент разговариваете по телефону, СМС с кодом подтверждения не придёт. Разберёмся, в чём суть нововведения, зачем его приняли и как в случае необходимости настроить вход с подтверждением на Госуслугах.

Стало известно, зачем Госуслуги блокируют СМС во время звонка
© Ruslan Yarocky/globallookpress.com

Что изменилось

С 1 июня вступил в силу новый закон о защите граждан от кибермошенников. Теперь одноразовый СМС-код, необходимый для подтверждения входа в личный кабинет или выполнения операций, не будет отправлен, пока вы ведёте телефонный разговор.

Новость о том, что россияне не смогут получать СМС во время телефонного разговора, на первый взгляд может показаться технической мелочью. Однако на самом деле речь идёт о важной мере в сфере кибербезопасности и защиты персональных данных. Инициатива исходит от регуляторов и сотовых операторов, и связана она с ростом числа мошеннических схем, основанных на социальной инженерии. Технически изменение означает, что в момент голосового вызова при использовании мобильной сети (не через мессенджеры и не по Wi-Fi) СМС с кодами подтверждения, например от банков или Госуслуг, не будут доставляться на телефон до окончания разговора.

Павел Карасев
Павел КарасевБизнес-партнёр компании «Компьютерные технологии»

Зачем это сделано

Нововведение направлено на борьбу с телефонным мошенничеством.

Миллионы россиян каждый день получают десятки нежелательных телефонных звонков — это могут быть реклама, спам или же попытки мошенничества. Так, по данным ВЦИОМа, 83% граждан сталкивались с телефонными злоумышленниками за последние 6 месяцев.

Никита Козинец
Никита КозинецКандидат юридических наук, доцент, руководитель магистратуры «Цифровое и потребительское право» МГПУ

Преступники часто используют такую схему: звонят человеку под видом сотрудников той или иной службы и просят продиктовать СМС-код.

Сценарии могут быть самыми разными: мошенники представляются сотрудниками страховых компаний, медучреждений, банков или госструктур и под правдоподобными предлогами — например, замена полиса, перевод на электронную медкарту, обновления данных для соцвыплат или «блокировка подозрительной транзакции» — просят продиктовать код подтверждения. Основная цель таких атак — получить доступ к аккаунтам на портале «Госуслуги», в банковских приложениях и других сервисах.

Андрей Воробьёв
Андрей ВоробьёвДиректор Координационного центра доменов .RU/.РФ

В итоге, пока жертва находится на линии, она, не подозревая подвоха, передаёт свои данные прямо в руки злоумышленников. Но теперь этот мошеннический приём становится сложнее в реализации.

Запрет на одновременный приём СМС и ведение телефонного разговора, конечно, поможет предотвращать такие схемы. У людей появится возможность прервать разговор, задуматься и не поддаться давлению в моменте, — отмечает Андрей Воробьёв.

Как действовать теперь

  • Сначала завершите звонок, а потом запрашивайте код. При необходимости рассмотрите альтернативные способы подтверждения входа (о них расскажем дальше).
  • Не сообщайте СМС-коды никому — даже тем, кто представляется сотрудником официальной организации.

Гайд: как распознать телефонного мошенника

Почему нельзя сообщать СМС-коды по телефону

Коды из СМС — специальные одноразовые пароли, которые открывают доступ к важным операциям. Например, к:

  • входу в интернет-банк или на Госуслуги;
  • подтверждению переводов и платежей;
  • смене паролей и других настроек безопасности.
Называя такой код по телефону, человек сам передаёт ключ к своей цифровой идентичности. При этом голос собеседника может звучать официально, убедительно — мошенники отлично копируют фразы, знают структуру обращений и даже подделывают номер звонящего, — уточняет Павел Карасев.

СМС-коды подтверждают, что именно вы — владелец устройства и аккаунта. Если цифровая комбинация попадёт в руки мошенников, они смогут украсть деньги с банковского счёта, оформить кредит на ваше имя или получить доступ к важным сервисам, в том числе к профилю на Госуслугах.

При общении по телефону критически важно не называть коды, пароли, персональные и паспортные данные и любую другую важную информацию. Сотрудники банковских структур и силовых ведомств никогда не запрашивают такие данные по телефону. В случае возникновения каких-либо срочных вопросов всегда лучше обратиться лично по адресу соответствующего учреждения, — подчёркивает Никита Козинец.

Помните: если вас просят продиктовать СМС-код, немедленно завершайте разговор.

Ни один банк, ни один оператор, ни одна служба поддержки никогда не попросит озвучить код из СМС. Просьба назвать код — это всегда сигнал, что вы говорите не с тем, за кого собеседник себя выдаёт, — добавляет Павел Карасев.
© ArtMarie/iStock.com

Популярные уловки мошенников

В последнее время заметно выросло использование схем социальной инженерии, при которых злоумышленники в ходе телефонного разговора убеждают людей назвать код из СМС, — отмечает Андрей Воробьёв.

МВД России регулярно предупреждает о популярных способах обмана россиян, которые связаны с проверочными СМС-кодами. Вот несколько распространённых сценариев:

  • Служба доставки. Вам звонит якобы представитель маркетплейса и говорит, что для получения посылки нужно подтвердить личность — назвать код из СМС. На деле — это обман.
  • Коммунальные службы. Мошенники представляются сотрудниками ЖКХ и просят продиктовать СМС-код будто бы для обновления данных при, например, замене домофона. На самом деле они используют ваш код для доступа к цифровым сервисам.
  • Запись к врачу. Под видом сотрудников медучреждений злоумышленники просят подтвердить личность кодом из СМС — якобы для записи на приём. Цель та же — получить доступ к вашим аккаунтам.
Статистика, к сожалению, пока что имеет негативный тренд — за 2024 год мошенникам удалось похитить у граждан более 27,5 миллиарда рублей, что на 74% превышает результаты 2023 года. Это ещё раз говорит о том, что всегда лучше стараться минимизировать взаимодействие с незнакомыми контактами и использовать настройки телефона и оператора связи для блокировок нежелательных звонков, — рассказывает Никита Козинец.Нововведение, запрещающее получение СМС-кодов во время разговора, — ещё один рубеж защиты от мошенничества, и вряд ли оно решит проблему полностью. Но это разумная мера, которая усложнит работу злоумышленников. Главное — помнить простое правило: не называть коды из СМС никому, даже если звонящий утверждает, что он «оттуда, где вас защищают», — подчёркивает Павел Карасев.

Инструкция: как заблокировать звонки с неизвестных номеров

СМС, биометрия и TOTP: двухфакторная аутентификация на Госуслугах

Двухфакторная аутентификация на Госуслугах — это дополнительный уровень защиты вашей учётной записи. Вместо того чтобы ограничиться только паролем, система просит вас подтвердить свою личность ещё одним способом:

  • Через СМС. После ввода логина и пароля на ваш телефон приходит СМС с одноразовым кодом. Введите его — и доступ открыт.
  • С помощью биометрии. После ввода логина и пароля система запрашивает доступ к камере для проверки лица. Чтобы воспользоваться этим способом, придётся предварительно пройти биометрическую регистрацию.
  • С использованием TOTP (Time-based One-Time Password). Это временный одноразовый код, который генерируется прямо на вашем смартфоне с помощью специального приложения. Подходят любые программы с поддержкой TOTP — к примеру, Google Authenticator или Яндекс Ключ.
© lk.gosuslugi.ru

Такой подход значительно снижает риск взлома: двухфакторная аутентификация создаёт дополнительный барьер: злоумышленнику недостаточно будет знать только пароль, ему придётся преодолеть ещё один рубеж защиты.

Обратите внимание, что с 1 октября 2023 года двухфакторная аутентификация обязательна для всех пользователей Госуслуг. Без второго способа подтверждения войти в личный кабинет невозможно.

Поэтому важно знать, как в случае необходимости выбрать и настроить удобный для себя метод: СМС, биометрию или TOTP-код. Ниже — пошаговая инструкция для каждого варианта.

Как подключить биометрию на Госуслугах

Как выбрать и настроить дополнительную защиту при входе на Госуслуги

Вход по СМС

Обязательно проверьте, чтобы в профиле был указан ваш действующий номер. При необходимости его можно обновить.

Что нужно сделать:

  1. Зайдите в личный кабинет.
  2. Перейдите в раздел «Профиль», выберите «Безопасность», а далее — «Вход в систему».
  3. Отметьте вариант «Вход с подтверждением»«СМС на номер» и нажмите «Продолжить».
  4. Введите код, который придёт в СМС.

Вход по одноразовому коду (TOTP)

Такой способ подойдёт тем, кто предпочитает более высокий уровень безопасности. Но будьте внимательны: если потеряете доступ к приложению, которое генерирует TOTP, зайти на портал с этим способом не получится.

Как настроить:

  1. В личном кабинете откройте «Профиль»«Безопасность»«Вход в систему».
  2. Нажмите «Вход с подтверждением»«Одноразовый код (TOTP)»«Продолжить».
  3. На телефоне откройте приложение для генерации кодов. Если такого нет, скачайте из App Store, Google Play, AppGallery.
  4. В приложении отсканируйте QR-код — появится запись Gosuslugi с кодом, который будет периодически обновляться.
  5. Введите сгенерированный код.

Вход по биометрии

Для этого способа нужна камера, а ещё и стандартная или подтверждённая биометрия.

Как подключить:

  1. Перейдите в «Профиль», понадобится тот же раздел «Безопасность».
  2. Откройте «Вход в систему».
  3. Выберите «Вход с подтверждением» «Биометрия»«Продолжить».
  4. Следуйте инструкциям на экране и не закрывайте страницу до завершения проверки.

Как зарегистрироваться на Госуслугах