Активность мошенников, использующих российский мессенджер МАХ для обмана граждан, резко возросла. Причина интереса злоумышленников к этому приложению кроется в его официальной интеграции с порталом «Госуслуги», что превращает мессенджер в ключевой канал для получения кодов верификации.
Яркой иллюстрацией такой схемы стала история, описанная телеграм-каналом «Эксплоит». Злоумышленник, представившийся заместителем главврача больницы, пытался заставить пожилую жительницу Нижнего Тагила установить МАХ, ссылаясь на поддельный официальный документ. Как отмечают авторы канала, конечной целью атаки была кража учётной записи на «Госуслугах», чего удалось избежать лишь благодаря бдительности родственников.
Интеграция МАХ с государственным порталом, подтверждённая Минцифры, изначально была направлена на повышение безопасности — защиту кодов подтверждения от перехвата. Ведомство также подчеркнуло, что SMS-информирование для пользователей без смартфонов сохранится. Однако в приложении также хранятся сканы критически важных документов: паспорта, СНИЛС, ИНН и полиса ОМС.
«Эти данные представляют огромную ценность для аферистов, которые могут их перепродать или использовать для новых атак», — отмечают эксперты.
Риски усугубляются планами по подключению к мессенджеру банковских сервисов и его активным внедрением в другие сферы. Так, Минстрой России с августа переводит в МАХ домовые чаты. Глава ведомства Ирек Файзуллин анонсировал для них новые функции, например, бота для напоминаний об оплате коммунальных услуг.
Несмотря на заявления о высоком уровне безопасности, такое распространение вызывает опасения на фоне истории мошенничеств в сфере ЖКХ. Недобросовестные управляющие компании потенциально могут использовать такие чаты для давления на жителей или конкурентов.
В результате мессенджер, который хранит ключи к цифровой идентичности гражданина, оказался в центре внимания преступников, использующих его как для прямой кражи аккаунтов, так и для получения доступа к ценным персональным данным.
