Сотрудник МФЦ продавал доступ к «Госуслугам» за 300 рублей: угроза для бизнеса

Сотрудник МФЦ продавал доступ к «Госуслугам» за 300 рублей, что создаёт прямую угрозу для бизнеса: компрометация данных, рейдерские захваты и утрата контроля над цифровыми активами.

В начале 2025 года стало известно о задержании сотрудника одного из многофункциональных центров (МФЦ), который за вознаграждение в 300 рублей предоставлял третьим лицам доступ к учётным записям портала «Госуслуги». На первый взгляд, сумма кажется незначительной, но масштаб потенциального ущерба для юридических лиц и индивидуальных предпринимателей исчисляется миллионами. Для B2B-аудитории — руководителей производств, отделов снабжения и инженеров — это не просто новость о бытовом мошенничестве, а сигнал о системных рисках, связанных с компрометацией цифровых идентификаторов контрагентов, партнёров и собственных сотрудников.

Инцидент произошёл в региональном отделении МФЦ, где операционист, используя служебные полномочия, за небольшую плату восстанавливал пароли и передавал доступ к аккаунтам «Госуслуг» посторонним лицам. По данным следствия, таких эпизодов было несколько, а общая выручка злоумышленника составила менее 10 000 рублей. Однако последствия для пострадавших могут быть катастрофическими: от оформления фиктивных кредитов до перерегистрации бизнеса на подставных лиц. Для компаний, работающих в сфере B2B, это означает прямую угрозу репутации, финансовой стабильности и операционной безопасности.

Важно понимать: «Госуслуги» давно перестали быть просто порталом для получения справок. Сегодня это ключевой элемент цифровой инфраструктуры, через который осуществляется регистрация юридических лиц, подача отчётности, получение лицензий, участие в госзакупках и подписание юридически значимых документов. Компрометация учётной записи руководителя или главного инженера предприятия может парализовать работу целого производства. Именно поэтому данный инцидент требует не эмоциональной, а глубокой аналитической оценки.

Что произошло

Сотрудник МФЦ, имеющий доступ к внутренним системам восстановления паролей и верификации личности, на протяжении нескольких месяцев незаконно передавал данные третьим лицам. Схема была простой: злоумышленник получал запрос от посредника, находил в базе учётную запись жертвы, менял пароль и передавал новый доступ заказчику. Стоимость услуги фиксированная — 300 рублей за один аккаунт. Общее количество скомпрометированных записей, по предварительным данным, превышает 30.

Заказчиками, как правило, выступали лица, заинтересованные в получении контроля над чужими данными: от мелких мошенников до организованных групп, специализирующихся на хищении персональных данных. В B2B-контексте особенно тревожно то, что среди пострадавших могли оказаться учётные записи, аффилированные с предприятиями: например, аккаунты генеральных директоров, главных бухгалтеров или руководителей тендерных отделов. Через такие аккаунты можно не только получить доступ к коммерческой тайне, но и инициировать операции по отчуждению активов.

Примечательно, что инцидент был выявлен не внутренней службой безопасности МФЦ, а в ходе оперативных мероприятий правоохранительных органов. Это указывает на недостаточный уровень мониторинга подозрительных транзакций внутри самой системы. Для бизнеса это тревожный сигнал: если даже государственная структура с формально высокими требованиями к защите данных не может гарантировать безопасность, то на какие риски идут компании, полагающиеся исключительно на внешние сервисы аутентификации?

Контекст и предпосылки

Продажа доступа к «Госуслугам» — не единичный случай, а часть системной проблемы, которая усугубляется ростом цифровизации государственных услуг. За последние три года количество зарегистрированных пользователей портала превысило 110 миллионов, а число ежедневных транзакций измеряется миллионами. При этом механизмы защиты от инсайдерских угроз внутри МФЦ и смежных структур остаются на уровне начала 2010-х годов. Основная уязвимость — человеческий фактор: сотрудники с расширенными привилегиями могут совершать операции без автоматической блокировки аномальных действий.

Рынок чёрного доступа к «Госуслугам» уже давно сформирован. В даркнете и закрытых Telegram-каналах стоимость восстановления пароля к чужому аккаунту колеблется от 500 до 5000 рублей в зависимости от «сложности» цели. Инцидент с МФЦ показывает, что нижняя граница этого рынка может опускаться до 300 рублей, что делает атаку доступной для массового использования. Для B2B-сектора это означает, что защита должна строиться не на предположении о дороговизне атаки, а на принципе «нулевого доверия» (Zero Trust).

Кроме того, стоит учитывать, что многие предприятия до сих пор используют учётные записи «Госуслуг» как единственный способ авторизации для доступа к государственным информационным системам, таким как ЕГРЮЛ, ФНС, Росаккредитация и СФР. Это создаёт единую точку отказа: компрометация одного пароля открывает доступ ко всем связанным сервисам. Для производственных компаний, участвующих в госзакупках по 44-ФЗ и 223-ФЗ, потеря контроля над учётной записью может привести к срыву контрактов и штрафным санкциям.

Ключевые детали

Технически схема атаки выглядела следующим образом: сотрудник МФЦ использовал свою учётную запись в АИС МФЦ (автоматизированной информационной системе) для инициирования процедуры восстановления пароля. Система не требовала дополнительной верификации личности оператора, так как предполагалось, что он действует в рамках должностных обязанностей. После смены пароля злоумышленник передавал новые данные заказчику, который в свою очередь мог мгновенно получить доступ к личному кабинету жертвы.

Особую опасность представляет то, что после смены пароля жертва не получала мгновенного уведомления — по умолчанию система отправляет предупреждение на привязанную электронную почту, но, как выяснилось, этот механизм можно обойти, если у оператора есть доступ к настройкам уведомлений. Таким образом, владелец аккаунта мог узнать о компрометации только спустя несколько дней или недель, когда ущерб уже был нанесён. Для бизнеса, где каждая минута простоя стоит денег, такой временной лаг неприемлем.

Сравним этот инцидент с аналогичными случаями в банковском секторе: в 2023 году было зафиксировано 47 фактов продажи доступа к интернет-банкингу сотрудниками кредитных организаций. Средняя стоимость такой услуги составляла 15 000 рублей. Инцидент с МФЦ при сопоставимой функциональности оказался в 50 раз дешевле. Это означает, что порог входа для злоумышленников снизился до критически низкого уровня, и теперь атаки могут носить массовый, а не точечный характер.

Что это значит для рынка

Для B2B-компаний главный вывод — необходимо пересмотреть подход к управлению цифровыми идентификаторами сотрудников и контрагентов. Если раньше считалось достаточным иметь сложный пароль и двухфакторную аутентификацию, то теперь очевидно, что этих мер недостаточно. Инсайдерская угроза со стороны сотрудников внешних организаций (МФЦ, банков, операторов связи) может быть реализована без взлома технических средств защиты.

На рынке это приведёт к росту спроса на решения класса IAM (Identity and Access Management) и PAM (Privileged Access Management) для малого и среднего бизнеса. Крупные предприятия уже используют такие системы, но для производственных компаний с оборотом до 1 млрд рублей внедрение подобных инструментов часто откладывается из-за кажущейся дороговизны. Однако стоимость одного инцидента с компрометацией «Госуслуг» может превысить затраты на внедрение IAM в десятки раз.

Кроме того, усилится внимание к аудиту контрагентов. Отделы снабжения и юридические службы будут вынуждены проверять не только финансовую состоятельность партнёров, но и их цифровую гигиену. Например, требовать от поставщиков подтверждения, что их учётные записи на «Госуслугах» защищены дополнительными сертификатами электронной подписи, выпущенными на физическом токене, а не просто паролем. Это станет новым стандартом деловой практики.

Негативный сценарий для рынка — возможное ужесточение регулирования со стороны государства. Если подобные инциденты будут повторяться, не исключено, что Минцифры введёт обязательную биометрическую верификацию для всех операций, связанных с регистрацией бизнеса или внесением изменений в ЕГРЮЛ. Для предприятий это обернётся дополнительными бюрократическими издержками, но в долгосрочной перспективе повысит устойчивость системы.

Практический вывод

Руководителям производств и отделов снабжения необходимо немедленно предпринять следующие шаги. Во-первых, провести аудит всех учётных записей на портале «Госуслуги», которые используются в деятельности предприятия. Каждая такая запись должна быть привязана к корпоративной электронной почте с отдельным доменом и защищена двухфакторной аутентификацией. Использование личных телефонов сотрудников для привязки недопустимо.

Во-вторых, внедрить политику регулярной смены паролей к «Госуслугам» для всех ключевых сотрудников — не реже одного раза в 30 дней. Пароль должен генерироваться менеджером паролей и храниться в защищённом корпоративном хранилище. Также рекомендуется настроить уведомления о всех подозрительных действиях: смене пароля, входе с нового устройства или изменении персональных данных.

В-третьих, рассмотреть возможность использования усиленной квалифицированной электронной подписи (УКЭП) на базе аппаратных токенов для всех юридически значимых действий. Даже если злоумышленник получит доступ к логину и паролю, без физического носителя подписи он не сможет подписать документ или зарегистрировать сделку. Это самый надёжный способ защиты от инсайдерских угроз, подобных описанному инциденту.

Часто задаваемые вопросы

Может ли продажа доступа к «Госуслугам» за 300 рублей навредить моему бизнесу?

Да, напрямую. Через скомпрометированную учётную запись злоумышленник может внести изменения в ЕГРЮЛ, сменить директора, подать налоговую отчётность или участвовать в торгах от имени вашей компании. Финансовый ущерб может составить миллионы рублей, а восстановление контроля над аккаунтом займёт недели.

Как быстро можно обнаружить компрометацию учётной записи «Госуслуг»?

Стандартное уведомление о смене пароля приходит на электронную почту. Если злоумышленник отключил уведомления, вы можете узнать о взломе только при попытке входа. Рекомендуется проверять историю входов в личном кабинете не реже одного раза в неделю.

Обязательно ли использовать двухфакторную аутентификацию для корпоративных аккаунтов?

Формально — нет, но настоятельно рекомендуется. Двухфакторная аутентификация через SMS или приложение-аутентификатор значительно усложняет атаку, даже если злоумышленник получил пароль. Для юридических лиц это уже де-факто стандарт безопасности.

Какие альтернативы «Госуслугам» существуют для юридически значимых действий?

Прямых альтернатив нет, так как «Госуслуги» — единое окно доступа к государственным информационным системам. Однако можно минимизировать риски, используя для подписания документов УКЭП на токенах, а для авторизации — отдельные сертификаты без привязки к порталу.

Как проверить, не был ли продан доступ к моему аккаунту?

Войдите в личный кабинет «Госуслуг», перейдите в раздел «Безопасность» и проверьте историю входов. Обратите внимание на IP-адреса, не соответствующие вашему региону, и необычное время сессий. При обнаружении подозрительной активности немедленно смените пароль и сообщите в службу поддержки.

Источник: Внешний источник — URL