С 4 июня 2025 года в России начнётся реализация пилотного проекта по ограничению доступа к фишинговым сайтам и приложениям, которые создаются под видом официальных сайтов госструктур и компаний, а затем используются мошенниками для кражи паролей и другой персональной информации граждан. Распоряжение об этом подписано.
Цель пилота – создать эффективный механизм выявления и оперативной блокировки фальшивых интернет-ресурсов и приложений, которые могут использовать очень похожее на настоящее доменное имя госучреждения, компании или банка.
В числе задач пилотного проекта отработка механизмов взаимодействия различных государственных и негосударственных структур при выявлении и блокировке мошеннических сайтов и приложений, а также подготовка предложений по нормативному закреплению таких механизмов.
Участниками пилотного проекта со стороны государства станут Минцифры, МВД, ФСБ, Минкультуры, Минфин, ФНС, Роспатент, Банк России и Генеральная прокуратура. Также в проекте предполагается участие автономной некоммерческой организации «Координационный центр национального домена сети Интернет» и научно-исследовательского института «Интеграл».
Завершение пилотного проекта запланировано на 1 марта 2026 года. Его реализация даст новые возможности для защиты граждан от мошеннических действий и усилит их безопасность в интернете.
Работа идёт в рамках федерального проекта «Инфраструктура кибербезопасности», входящего в новый национальный проект «Экономика данных и цифровая трансформация государства».
Комментарии
Мысли о том, что наилучшим решением проблемы кражи паролей является вывод из эксплоатации парольного механизма аутентификации у инициаторов создания русла ручейку бюджетного финансирования не возникало?
Возникало. Везде давно и двухфакторная аутентификация и/или цифровая подпись.
Ну-ка, ну-ка, поподробнее, это где "везде" цифровая подпись? Я даже на госуслуги по ней с телефона зайти не могу, только на компе реализовано.
А на телефоне надо использовать двухфакторную аутентификацию.
На телефоне вообще нет смысла в такой авторизации: оба "фактора" в одном устройстве, никакой безопасности эта "двухфакторность" не дает, только геморроя добавляет.
Здрасти приехали.
Двухфакторность нужна на случай компрометации пароля, как раз теми фишинговыми сайтами.
Чтоб в аккаунт с другого устройства войти было нельзя.
…только мне тут вспоминается во-первых победное шествие пушей и во-вторых реализация конечно же во славу удобства использования функционала перехвата и автоматической подстановки кодиков?
Даже на устройстве смысл есть, ибо там фактор владения пальчиками подтверждать можно.
Слава фишингу биометрии.
Следствие убогости и анальной огороженности платформы, принимаемой в качестве инварианта.
Вот только «давно» и «везде» в 999‰ случаев впаривается *профанация*. Чем даже продаваны вредоносного ПО озаботились…
и что взамен?
кысь? сраку под телефон вертеть, чтоб программа опознала? чур меня
Вас развели на *ложное* противопоставление.
Чтите ключ к *правильному* решению в вышеприведённой ссылке.
А с продавливанием биометрии вообще интересно получается…
Лучше не надо.Все сломают так.что чинить будут пол года минимум.
Как вовремя!
Позавчера не могла попасть на сайт мировых судей. Ну, так я и раньше догадывалась, что это мошенники.
Прикольно. Как ютуб какой-нибудь или инстаграм, то мгновенно. А тут "начнется реализация".
Так у ютуба конкретный домен есть, заблокировал и всё...
А тут нужно какое-то сверх-оперативное постоянное сканирование всех доменов ru сегмента и какое-то ИИ, которое на этих доменах узнает похожую картинку на официальные сайты... На несколько порядков более сложная задача.
ПОчему нельзя гражданам сделать возможность прийти лично в "мои документы" иль как там их и поставить себе запрет на все эти сайты и регистрации в них с их номера телефона или любые изменения данных - от привязанных номеров до прочей чертовщины? Ведь туча народу физически этой хренью не пользуется, ибо не умеет и не хочет попадосов в этом вашем цифровом мире, пришел в банк с картой и телефоном - лично чтото сделал. а удаленно только обнесут сейчас, чуть мимо кнопочку нажал.
Надо чтобы при загрузке любой страницы, сначала появлялась сообщение "Осторожно интернет! Здесь Вас с вероятностью 100% обманут и разведут на деньги. Вы всупаете в Интернет на свой страх и риск. Никто кроме Вас не несет ответственность за последствия"
А вот чтобы убрать это сообщение нужно сдать экзамен и получить звание "Квалифицированный пользователь информационного пространства"
По моему отличная идея.
Это можно сделать на сайте который ты контролируешь. Либо если ты контролируешь браузер клиента.
Если сайт чужой - приплыли. Ну или надо делать гос-MITM (после чего ловить кучу проблем даже чисто технических уже с ним) и...в условиях когда у каждого первого средства для защиты от устаревания серверов Youtube и прочих Facebook - не поможет.
А почему бы и нет. Официальный браузер для доступа к госресурсам.
Возможно но...придется решать и кучу проблем с тем что люди вот тупо НЕ будут им пользоваться, как по реальным причинам вида не работает в таких то условиях (например - на iOS) так и по не очень реальным вида "мой знакомый компьютерщик сказал что оно может сливать все подозрительное в КГБ сразу". Нафига проблемы.
Если давить жестко - получится что отрубили доступ к госсайтам тем кто не может или не хочет это ставить.
Только не браузер, а расширение.
Проблема же решается просто: завязыванием всех официальных ресурсов на конкретный российский УЦ.
Бонусом — сертификат пользователя, нулящий все парольчики.
Ткнули в нопочку расширения — получили проверку ресурса.
А если парольчик ненужен, то и «фишить» нечего…
Сертификат сливать трояном :).
А вообще - а получится такое расширение сделать на ManifestV3 сделать?(а то гугл ManifestV2 прибивает и например расширения для госуслуг и для CryptoPro видимо по этой причине отвалились в Chrome). А если задача для Chrome не решаемая - это опять переход к теме спецбраузера для госресурсов.
…а толку-то, если ключ в *неизвлекаемом* виде живёт на токене?
Ну и ситуацию с экосистемой троянчиков надо решать радикально.
ЗЫ: До чего корпорасты любят упарываться сначала на осла, потом на гуглохром…
И не «спец.браузер», что создаёт бездонную дыру для высасывания гос.финансирования, а куда более болезненную для «партнёров» постановку задачи инфернетов без гугля.
Ну и проект WebOOB (Web Outside Of Browser) заодно можно вспомнить…
Ну, Яндекс-браузер сразу с встроенным Крипто-про идет (и, кажется, с гостовым шифрованием). Чем не официальный браузер для каких-нибудь Госуслуг с ЭЦП?
Да неужели? Вы никогда не видели сообщения от провайдера, что надо ему денег перевести при попытке захода на вообще какой угодно любой сайт?
Насколько я знаю чужих провайдеров у нас пока нет. Маск вроде хочет, но мало ли чего он там хочет.
Не любой. А сайт не использующий https. (Если попытаться такое выкинуть с https - будет либо сообщение что некорректный сертификат и просьба подтвердить либо сразу браузер пошлет, ну или надо ставить корневой сертификат провайдера).
При этом - ситуацию когда провайдер пробует показать это но - не выходит из-за того сетевые настройки не те что ожидаются провайдером и получается что интернет есть но не работает и непонятно почему - наблюдать приходилось и не раз.
https сейчас очень много где.
кстати именно по этой причине не получается блокировать например конкретные каналы/ролики на youtube или страницы википедии или facebook'а, не укладывая сайт целиком.
Там обычно просто редирект или подделка DNS и вместо целевого сайта вас перекидывает на провайдерский с сообщением.
Это можно легко сделать в отличии от попытки что-то встроить внутрь чужого сайта на httpS
А можно пример провайдера с работающим перекидыванием при открытии https://aftershock.news например (именно https)? Для чистоты эксперимента - с машины на которой не стоит левых сертификатов. Хочется очень мне посмотреть как это работает и какая очередная дыра используется (подмена DNS должна привести к тому что фековый сайт не сможет предоставить доверенный сертификат). Потому что не должно это работать. с http://aftershock.news - может и сработать (в норме там редирект на https://aftershock.news висит).
Я не знаю, у кого из провайдеров в РФ может быть забанен Афитершок, так что не помогу тут.
Откройте любой сайт заблоченный роскомнадзором - он покажет сообщение.
Но если в браузере настроен Secure DNS в том или ином виде - не сработает, в этом случае DNS не будет подделан и будет просто таймаут.
Мне вот другое интересно - а в рамках этого плана - не планировали тупо отдавать фид в стандартных форматах блокировщиков рекламы (там и так антифишинговые списки - будет еще один), разумеется БЕЗ геоблока на доступ к сайтам?
Возможно даже попросить по умолчанию для росси включать (другое дело что тут надо точечно работать - потому что например если в этот список улетит Facebook - список не будет использоваться, но например кому вред то будет если все желающие получат например несколько списков вида:вот это в россии считают фишингом (и там реально только фишинг а не), вот это - торговлей наркотой нелегальной(и там таки оно)).
Кому вред от этого будет?