Минцифры объявило о постепенном отказе от подтверждения входа на «Госуслуги» через СМС. Решение связано с ростом мошеннических схем, в которых злоумышленники убеждают пользователей передавать одноразовые коды для входа на портал. Пока изменение касается только входа через мобильные устройства, а в десктопной версии подтверждение по СМС сохраняется. Для миллионов пользователей это означает, что привычный способ авторизации постепенно будет уступать место другим вариантам второго фактора защиты.
На замену СМС предлагаются одноразовые коды в мессенджере MAX, коды из специального приложения и биометрия. Минцифры объясняет такой переход заботой о безопасности: СМС-код остаётся слишком понятным и привычным инструментом для мошенников. Люди часто воспринимают его как обычное сообщение от сервиса и могут назвать код по телефону, переслать в мессенджере или ввести на поддельной странице. В случае с «Госуслугами» цена такой ошибки особенно высока, потому что аккаунт связан с документами, заявлениями, государственными сервисами, финансовыми уведомлениями и персональными данными.
Почему СМС-коды стали слабым местом
СМС-код долго считался удобным способом подтверждения входа. Он не требует отдельного приложения, работает почти на любом телефоне и понятен даже пользователям без высокой цифровой грамотности. Человек вводит логин и пароль, получает сообщение с кодом, подтверждает вход и попадает в личный кабинет. Для массового государственного сервиса такая простота долго была важным преимуществом.
Но именно простота сделала СМС уязвимым элементом. Мошенникам не нужно взламывать сложную криптографию или обходить серверную защиту, если они могут заставить самого пользователя назвать код. Самая распространённая схема строится на социальной инженерии: человеку звонят от имени банка, оператора связи, службы поддержки, ведомства или даже самих «Госуслуг», создают ощущение срочности и убеждают продиктовать код.
Проблема усиливается тем, что многие пользователи не различают разные типы одноразовых кодов. Код для входа, код для подтверждения операции, код для восстановления доступа, код из уведомления — всё это в бытовом восприятии часто выглядит одинаково. Мошенники пользуются этой путаницей. Если человек передал код, злоумышленник может получить доступ к аккаунту, изменить данные, попытаться оформить заявления или использовать личную информацию для дальнейших атак.
Почему «Госуслуги» требуют более строгой защиты
Аккаунт на «Госуслугах» отличается от обычного профиля в развлекательном сервисе. Через него человек взаимодействует с государством: получает услуги, подаёт заявления, видит документы, проверяет штрафы, записывается к врачу, получает уведомления, оформляет справки, управляет данными и иногда использует портал как цифровой ключ к другим сервисам. Поэтому захват такого аккаунта может иметь серьёзные последствия.
Для мошенника доступ к «Госуслугам» ценен не только сам по себе. Даже если он не может сразу украсть деньги напрямую, он получает массив персональной информации: паспортные данные, СНИЛС, ИНН, сведения о семье, автомобиле, недвижимости, штрафах, медицинских записях, заявлениях и других услугах. Эти данные могут использоваться для более убедительных звонков, поддельных документов, кредитных схем и давления на жертву.
Именно поэтому государство постепенно ужесточает способы входа. Если раньше главной задачей было сделать портал доступным и простым, теперь на первый план выходит устойчивость к социальной инженерии. Чем больше сервисов привязано к одному аккаунту, тем выше требования к защите входа. Отказ от СМС в мобильной версии — часть этой логики.
Почему изменение пока касается только мобильных устройств
Минцифры уточнило, что на первом этапе отказ от СМС касается входа через мобильные устройства. Это важная деталь, потому что именно смартфон стал главным инструментом повседневного доступа к «Госуслугам». Пользователь открывает приложение или мобильную версию, получает код, копирует его или вводит вручную. В такой среде мошеннику проще быстро сопровождать жертву по телефону и подсказывать, что нажать.
Мобильный сценарий также сильнее связан с мессенджерами и звонками. Человек может одновременно разговаривать с мошенником, читать СМС, получать сообщения и выполнять инструкции. Если злоумышленник создаёт стрессовую ситуацию, пользователь может не успеть задуматься, что именно он подтверждает. Поэтому перенос второго фактора в более контролируемые способы выглядит логичным именно для мобильной среды.
В десктопной версии СМС пока сохраняется. Это может быть связано с тем, что часть пользователей заходит на портал с компьютера, а телефон использует как отдельное устройство для подтверждения. Такой сценарий немного менее удобен для мошеннического сопровождения, хотя тоже не является полностью безопасным. Вероятно, Минцифры выбрало постепенный переход, чтобы не лишить людей привычного способа входа сразу на всех платформах.
Какие способы подтверждения предлагаются вместо СМС
Пользователям предлагают несколько вариантов второго фактора. Первый — одноразовый код в мессенджере MAX. Такой способ переводит подтверждение из обычного СМС-канала в приложение, где можно реализовать дополнительные механизмы защиты, привязку к устройству и более управляемую доставку уведомлений. Для государства это также означает большую контролируемость канала авторизации.
Второй вариант — одноразовый код в специальном приложении. Такой подход ближе к классическим приложениям-аутентификаторам, которые генерируют коды независимо от СМС. Их сложнее перехватить через мобильного оператора, а пользователь не получает код в привычном сообщении, которое легко переслать. Но такой способ требует от человека установить приложение, разобраться с настройкой и не потерять доступ к устройству.
Третий вариант — биометрия. Она может быть удобной, потому что не требует вводить код вручную. Однако биометрический вход вызывает отдельные вопросы доверия, приватности и готовности пользователей. Не все хотят использовать биометрические данные для государственных сервисов, даже если технически это удобно. Поэтому наличие нескольких способов подтверждения важно: у пользователя должен быть выбор, а не только один обязательный сценарий.
Почему переход на MAX вызовет обсуждения
Наиболее заметным элементом новой схемы стал мессенджер MAX. По сообщениям СМИ, часть пользователей уже может войти на «Госуслуги» через мобильные устройства только с подтверждением через MAX. Для государства такой канал может выглядеть более защищённым и управляемым, чем СМС. Но для пользователей это означает необходимость установить и использовать дополнительное приложение, даже если раньше они обходились обычными сообщениями.
Такой переход неизбежно вызовет споры. Одни будут видеть в нём повышение безопасности и защиту от мошенников. Другие — навязывание конкретного мессенджера для доступа к государственному сервису. Особенно чувствительным вопрос станет для тех, кто не пользуется MAX в повседневной жизни и не хочет устанавливать его ради одного действия.
Чтобы переход был воспринят спокойнее, пользователям нужно понятное объяснение: почему СМС опаснее, какие альтернативы доступны, можно ли выбрать не MAX, а приложение-аутентификатор или биометрию, как восстановить доступ при смене телефона и что делать пожилым людям или тем, кто плохо ориентируется в цифровых сервисах. Без таких разъяснений даже мера безопасности может восприниматься как неудобное ограничение.
Почему СМС небезопасны не только из-за социальной инженерии
Хотя Минцифры делает акцент на случаях, когда пользователи сами передают СМС-коды мошенникам, у СМС есть и технические недостатки. Сообщения зависят от мобильной сети, SIM-карты, оператора, роуминга, доставки и состояния телефона. Код может задержаться, не прийти, попасть на устройство с заражённым приложением или быть перехвачен через более сложные схемы.
Есть и риск перевыпуска SIM-карты или захвата номера. Если злоумышленник получает контроль над номером телефона, он может принимать СМС-коды для разных сервисов. Такие сценарии сложнее, чем обычный телефонный обман, но они тоже существуют. Чем важнее аккаунт, тем опаснее привязка безопасности только к номеру телефона.
Приложения-аутентификаторы и подтверждение через защищённые каналы обычно считаются более устойчивыми. Они не зависят напрямую от доставки СМС и могут быть привязаны к конкретному устройству. Но их безопасность тоже зависит от пользователя: нужно защищать телефон паролем, не устанавливать сомнительные приложения, не передавать коды и заранее настроить способы восстановления доступа.
Почему пользователям станет сложнее, но безопаснее
Переход от СМС к другим способам подтверждения почти всегда означает небольшой рост сложности. Пользователю нужно установить приложение, настроить второй фактор, запомнить новый сценарий входа, разобраться с восстановлением доступа и привыкнуть к тому, что код больше не приходит обычным сообщением. Для молодых и технически уверенных людей это может быть незаметно, но для части аудитории станет проблемой.
Особенно сложно может быть пожилым людям, пользователям старых смартфонов, людям с плохим интернетом, жителям регионов с нестабильной связью и тем, кто редко заходит на «Госуслуги». Если человек пользуется порталом раз в несколько месяцев, любое изменение входа может вызвать растерянность. Поэтому переход должен сопровождаться понятными инструкциями и несколькими альтернативными способами подтверждения.
Однако повышение безопасности часто требует отказа от слишком простых решений. СМС удобны, но именно поэтому мошенники годами строили вокруг них схемы. Если новый способ входа уменьшит число случаев захвата аккаунтов, временное неудобство может быть оправданным. Главное — чтобы государство не ограничивалось техническим изменением, а помогало пользователям адаптироваться.
Почему мошенники всё равно будут искать обходы
Отказ от СМС не уничтожит мошенничество полностью. Злоумышленники быстро подстраиваются под новые правила. Если подтверждение будет идти через MAX, они начнут просить коды из MAX. Если через приложение-аутентификатор — будут убеждать назвать код из приложения. Если через биометрию — могут пытаться заставить жертву подтвердить действие самостоятельно под давлением.
Это означает, что техническая защита должна сочетаться с просвещением. Пользователь должен понимать главный принцип: любые коды подтверждения нельзя никому сообщать, независимо от того, откуда они пришли. Неважно, это СМС, мессенджер, приложение или уведомление. Код нужен только для личного ввода в официальном интерфейсе, а не для передачи другому человеку.
Мошенники будут менять легенды. Они могут говорить о продлении номера, блокировке аккаунта, проверке данных, записи на приём, выплатах, штрафах, кредитах, взломе или срочном обновлении. Поэтому важно не привязывать безопасность только к одному каналу. Нужно формировать у людей устойчивую привычку: если кто-то просит код, разговор нужно прекращать.
Почему отказ от СМС связан с общей цифровой безопасностью
Решение Минцифры вписывается в более широкую политику усиления защиты цифровых сервисов. Чем больше государственных и финансовых операций уходит в онлайн, тем выше цена ошибки при входе в аккаунт. Раньше потеря доступа к сайту могла означать только неудобство. Теперь захват учётной записи может привести к финансовым потерям, утечке документов, оформлению заявлений, изменению данных и дальнейшим атакам на человека.
«Госуслуги» постепенно становятся цифровым центром взаимодействия гражданина с государством и частью инфраструктуры доверенной идентификации. Поэтому способы входа должны быть сопоставимы с уровнем риска. СМС как массовый и удобный инструмент хорошо подходили для этапа распространения сервиса, но могут быть недостаточны для нового уровня цифровой нагрузки.
Переход к более сильным факторам подтверждения показывает, что государство рассматривает аккаунт на портале как критически важный цифровой ресурс. Это означает, что в будущем требования к защите могут становиться ещё строже: больше подтверждений, больше привязки к устройствам, больше биометрии, больше антифрод-проверок и более сложные процедуры восстановления доступа.
Почему восстановление доступа станет особенно важным
Когда вход через СМС уходит на второй план, возрастает значение восстановления доступа. Пользователь может потерять телефон, удалить приложение, сменить номер, забыть пароль, потерять доступ к MAX или столкнуться со сбоем биометрии. Если резервные сценарии не продуманы, повышение безопасности может превратиться в массовую проблему блокировки добросовестных пользователей.
Хорошая система должна заранее предлагать резервные способы. Например, привязать несколько факторов, сохранить возможность восстановления через МФЦ, использовать биометрию или банковское приложение, подтвердить личность через другие государственные механизмы. Чем больше вариантов восстановления, тем меньше риск, что человек останется без доступа к важным услугам.
Но восстановление тоже должно быть защищённым. Если сделать его слишком простым, мошенники будут атаковать именно этот процесс. Поэтому государству нужно найти баланс: вход должен быть безопасным, восстановление — возможным, а процедура — понятной обычному человеку. Это одна из самых сложных частей цифровой идентификации.
Почему пользователям нужно заранее проверить настройки
Переход на новые способы подтверждения означает, что пользователям стоит заранее проверить свои настройки на «Госуслугах». Важно убедиться, что номер телефона актуален, почта доступна, пароль надёжный, включён второй фактор, а выбранный способ подтверждения действительно работает. Если человек узнает о проблеме только в момент срочной необходимости подать заявление или получить услугу, стресс будет выше.
Также полезно заранее понять, какие способы входа доступны именно в аккаунте. Можно настроить приложение-аутентификатор, проверить работу MAX, изучить возможность биометрии или другие варианты. Чем лучше подготовлен аккаунт, тем меньше вероятность внезапной потери доступа.
Особое внимание нужно уделить родственникам старшего возраста. Часто именно они становятся жертвами телефонных мошенников и одновременно хуже переносят изменения в цифровых сервисах. Им стоит спокойно объяснить: коды никому не сообщаются, сотрудники не просят диктовать одноразовые пароли, а при сомнительном звонке нужно завершить разговор и самостоятельно зайти на официальный сайт или обратиться в МФЦ.
Почему десктопная версия пока сохраняет СМС
Сохранение СМС в десктопной версии можно рассматривать как компромисс. Полный отказ сразу на всех устройствах мог бы вызвать резкое недовольство и проблемы у пользователей, которые не готовы к новым способам входа. Десктопный вход часто используется в более спокойной среде: человек сидит за компьютером, телефон находится рядом, код приходит отдельно. Такой сценарий всё ещё уязвим, но может быть менее массовым источником мошеннических схем, чем мобильное приложение.
Кроме того, поэтапный отказ позволяет протестировать новые каналы подтверждения. Если на мобильных устройствах появятся массовые жалобы, сбои или сложности с восстановлением доступа, у Минцифры будет время доработать систему, прежде чем расширять изменения. Для государственного сервиса с огромной аудиторией постепенность важнее резких реформ.
Но сохранение СМС на компьютере не должно создавать ложного ощущения полной безопасности. Если пользователь заходит с десктопа и передаёт код мошеннику по телефону, риск остаётся. Поэтому даже там, где СМС пока доступна, правила цифровой гигиены не меняются: код нельзя сообщать никому и ни при каких обстоятельствах.
Почему биометрия вызывает отдельные вопросы
Биометрический вход может быть удобным, потому что человек подтверждает личность не кодом, а биометрическим фактором. Это снижает риск передачи одноразового пароля мошеннику. Но биометрия всегда вызывает повышенное внимание, потому что связана с уникальными физическими характеристиками человека. Пароль можно сменить, а лицо или голос — нет.
Часть пользователей может опасаться хранения биометрических данных, утечек, ошибок распознавания или принуждения к использованию такого способа. Поэтому биометрия должна оставаться прозрачной и добровольной, а людям нужно ясно объяснять, где хранятся данные, как они защищены, можно ли отказаться и какие альтернативы доступны.
Если биометрия будет восприниматься как единственный удобный путь, доверие к системе может снизиться. Если же она будет одним из вариантов наряду с приложением-аутентификатором и другими способами, пользователи смогут выбрать подходящий уровень удобства и доверия.
Почему приложение-аутентификатор может быть лучшим компромиссом
Коды из специального приложения часто считаются хорошим компромиссом между безопасностью и удобством. Они не зависят от доставки СМС, не требуют использовать конкретный мессенджер и не связаны напрямую с биометрией. Пользователь устанавливает приложение, привязывает аккаунт и получает одноразовые коды, которые обновляются автоматически.
Такой способ давно применяется в банковских, корпоративных и международных сервисах. Он устойчивее к ряду атак на СМС, хотя не защищает от всех видов мошенничества. Если человек сам продиктует код злоумышленнику, приложение не спасёт. Но перехватить такой код через оператора связи или перевыпуск SIM-карты уже сложнее.
Главная проблема — настройка и резервное восстановление. Пользователь должен понимать, что будет при смене телефона. Если приложение потеряно, а резервный способ не настроен, доступ может быть сложно восстановить. Поэтому при внедрении такого варианта важно давать понятные инструкции и предупреждать о необходимости резервных способов входа.
Почему отказ от СМС может изменить поведение пользователей
Когда человек перестаёт получать коды по СМС, он постепенно меняет привычку. Вместо того чтобы ждать сообщение и вводить цифры, он начинает подтверждать вход через приложение, мессенджер или биометрию. Это может снизить доверие к звонкам, где просят продиктовать код из СМС, потому что сам формат станет менее привычным.
Однако на переходном этапе путаница может усилиться. Одни пользователи ещё будут получать СМС на компьютере, другие — код в MAX на смартфоне, третьи — пользоваться приложением, четвёртые — биометрией. Мошенники могут использовать эту неопределённость и говорить: «Сейчас идёт переход на новую систему, нужно подтвердить код». Поэтому разъяснительная работа особенно важна именно в период изменений.
В долгосрочной перспективе отказ от СМС может повысить цифровую грамотность. Люди начнут лучше понимать, что вход в важный сервис должен защищаться несколькими факторами, а номер телефона не является достаточной гарантией безопасности. Но этот эффект появится только при правильном сопровождении.
Почему бизнесу и банкам тоже важна защита «Госуслуг»
«Госуслуги» связаны не только с государственными услугами, но и с финансовой безопасностью. Через подтверждённый аккаунт могут проходить проверки, уведомления, заявления, данные, которые используются банками, операторами связи и другими организациями. Если аккаунт захвачен, это может стать первым шагом к более сложным мошенническим схемам.
Банки давно сталкиваются с ситуациями, когда мошенники используют данные из государственных сервисов для усиления доверия. Чем больше информации о человеке у злоумышленника, тем убедительнее его звонок. Поэтому защита «Госуслуг» косвенно помогает защищать и финансовый сектор.
Отказ от СМС может снизить число случаев захвата аккаунтов, а значит, уменьшить поток связанных мошеннических сценариев. Но для этого нужна связка мер: безопасный вход, мониторинг подозрительной активности, уведомления о входе, быстрый отзыв доступа, восстановление аккаунта и обучение пользователей.
Почему важно не потерять доступность сервиса
«Госуслуги» — массовый сервис, которым пользуются люди с разным уровнем цифровых навыков. Если безопасность будет повышаться слишком резко, часть пользователей может оказаться отрезанной от удобного доступа. Это особенно опасно, когда через портал доступны важные услуги: медицина, документы, выплаты, штрафы, записи, заявления и уведомления.
Поэтому любые изменения должны оцениваться не только с позиции кибербезопасности, но и с позиции социальной доступности. У человека без современного смартфона, с плохим интернетом или без желания пользоваться мессенджером MAX должен оставаться понятный путь входа и восстановления доступа. Иначе безопасность одних пользователей будет достигнута ценой исключения других.
Идеальная модель должна сочетать несколько уровней. Технически уверенные пользователи могут выбирать приложение-аутентификатор или биометрию. Те, кому сложнее, должны иметь помощь через МФЦ, понятные инструкции и альтернативные способы подтверждения. Государственный сервис не может быть рассчитан только на цифрово подготовленную аудиторию.
Почему мошеннические звонки останутся главной угрозой
Даже после отказа от СМС главной угрозой останется не технология, а манипуляция человеком. Мошенники умеют создавать страх, срочность и доверие. Они представляются сотрудниками ведомств, банков, операторов, полиции, службы безопасности, поддержки портала. Их задача — заставить человека действовать быстро и не думать.
Новый способ подтверждения может усложнить им задачу, но не отменит саму схему. Они будут просить открыть приложение, подтвердить вход, назвать код, перейти по ссылке, включить демонстрацию экрана, установить программу удалённого доступа или пройти «проверку». Поэтому главное правило остаётся прежним: любые действия с аккаунтом нужно выполнять только самостоятельно и только в официальном приложении или на официальном сайте.
Если поступает звонок о проблеме с «Госуслугами», лучший ответ — завершить разговор и самостоятельно проверить аккаунт. Настоящая безопасность начинается не с канала доставки кода, а с привычки не выполнять инструкции незнакомого звонящего.
Почему эта мера может стать началом дальнейших изменений
Отказ от СМС в мобильном входе может быть первым этапом более масштабной перестройки авторизации на «Госуслугах». В будущем государство может шире использовать привязку к устройству, push-подтверждения, биометрию, приложения-аутентификаторы, риск-анализ входа, проверку географии и дополнительные подтверждения для чувствительных действий.
Это соответствует мировому тренду: важные сервисы постепенно уходят от СМС как основного второго фактора. Вместо этого используются приложения, аппаратные ключи, биометрия, passkey-технологии и другие способы, которые сложнее перехватить и труднее использовать в массовых мошеннических сценариях.
Для пользователей это означает, что цифровая идентификация будет становиться сложнее, но и защищённее. Аккаунт на государственном портале всё больше похож на цифровой паспорт, а значит, его защита должна быть ближе к защите финансовых и юридически значимых сервисов.
Что нужно сделать пользователю уже сейчас
Пользователю стоит проверить, работает ли вход в аккаунт на «Госуслугах» с мобильного устройства, какие способы второго фактора доступны и актуальны ли контактные данные. Также важно убедиться, что пароль не используется на других сайтах, телефон защищён кодом или биометрией, а на устройстве нет сомнительных приложений.
Если выбран вход через MAX, нужно проверить, совпадают ли данные и доступен ли мессенджер на нужном устройстве. Если используется приложение-аутентификатор, важно понимать, как восстановить доступ при смене телефона. Если рассматривается биометрия, стоит заранее изучить условия и решить, подходит ли такой способ.
И главное — не сообщать коды никому. Не существует ситуации, в которой сотрудник поддержки, банка, ведомства или оператора должен просить продиктовать одноразовый код для входа. Если такой запрос звучит, это почти наверняка мошенническая схема.
Заключение
Минцифры объявило о постепенном отказе от подтверждения входа на «Госуслуги» через СМС. Пока изменение касается только входа с мобильных устройств, а в десктопной версии СМС остаются доступными. Основная причина — рост мошенничества, при котором пользователи сами передают одноразовые коды злоумышленникам. Вместо СМС предлагаются коды в мессенджере MAX, коды из специального приложения и биометрия.
Главный смысл перехода заключается в усилении защиты одного из самых важных цифровых аккаунтов гражданина. «Госуслуги» содержат много персональных данных и связаны с государственными сервисами, поэтому обычный СМС-код уже не считается достаточно устойчивым способом подтверждения. Но успех новой схемы будет зависеть от удобства альтернатив, понятного восстановления доступа, защиты пользователей старшего возраста и грамотного объяснения правил. Техническая мера сама по себе не победит мошенников, если люди продолжат передавать коды посторонним. Поэтому вместе с отказом от СМС должна расти и цифровая грамотность пользователей.