МВД и ФСБ будут получать биометрию граждан без их согласия

Олег Иванов 19 Декабря 2017 - 16:38

...

МВД и ФСБ будут получать биометрию граждан без их согласия

Как отмечается в законопроекте о биометрической системе и удаленной идентификации граждан, оператор этой системы будет предоставлять сведения МВД и ФСБ. Сам порядок этого взаимодействия будет определен правительством.

На данный момент мы имеем то, что закон о персональных данных разрешает МВД собирать и обрабатывать биометрические персональные данные без согласия владельца этих данных.

«Это не совсем правильный подход в случае с банками. Обработка этих данных МВД не соответствует цели, заявленной при их сборе», — отмечает Михаил Емельянников, управляющий партнер консалтингового агентства «Емельянников, Попова и партнеры».

Председатель комитета Госдумы по финансовому рынку Анатолий Аксаков так комментирует эту ситуацию:

«У правоохранителей не будет полного доступа к этой системе, данные будут предоставляться по запросу. Доступ можно будет получить только на основании полномочий, которые определены законом для силовых структур».

На днях мы писали, что в ходе пленарного заседания депутаты нижней палаты парламента приняли во втором чтении законопроект об использовании биометрических данных для удаленной идентификации клиентов банков.

Некоторые эксперты озабочены возможностью утечек таких данных. Например, президент Международной конфедерации обществ потребителей Дмитрий Янин считает, что эти данные «скоро будут у всех».

Следующая главная новость »

SOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »

Екатерина Быстрова 09 Февраля 2026 - 10:33

Фишинг Социальная инженерия Мошенничество Онлайн-мошенничество Домашние пользователи

Новая атака в Telegram использует официальную аутентификацию мессенджера

Эксперты зафиксировали новую и довольно изощрённую фишинговую кампанию в Telegram, которая уже активно используется против пользователей по всему миру. Главная особенность атаки в том, что злоумышленники не взламывают мессенджер и не подделывают его интерфейс, а аккуратно используют официальные механизмы аутентификации Telegram.

Как выяснили аналитики компании CYFIRMA, атакующие регистрируют собственные API-ключи Telegram (api_id и api_hash) и с их помощью инициируют реальные попытки входа через инфраструктуру самого мессенджера. Дальше всё зависит от того, как именно жертву заманят на фишинговую страницу.

Всего специалисты наткнулись на два подобных сценария. В первом случае пользователю показывают QR-код в стиле Telegram, якобы для входа в аккаунт. После сканирования кода в мобильном приложении запускается легитимная сессия, но уже на стороне злоумышленника.

Во втором варианте жертву просят вручную ввести номер телефона, одноразовый код или пароль двухфакторной защиты. Все эти данные тут же передаются в официальные API Telegram.

Ключевой момент атаки наступает позже. Telegram, как и положено, отправляет пользователю системное уведомление в приложении с просьбой подтвердить вход с нового устройства. И вот тут в дело вступает социальная инженерия. Фишинговый сайт заранее подсказывает, что это якобы «проверка безопасности» или «обязательная верификация», и убеждает нажать кнопку подтверждения.

В итоге пользователь сам нажимает «Это я» и официально разрешает доступ к своему аккаунту. Никакого взлома, обхода шифрования или эксплуатации уязвимостей не требуется: сессия выглядит полностью легитимной, потому что её одобрил владелец аккаунта.

По данным CYFIRMA, кампания хорошо организована и построена по модульному принципу. Бэкенд централизованный, а домены можно быстро менять, не затрагивая логику атаки. Такой подход усложняет обнаружение и блокировку инфраструктуры.

После захвата аккаунта злоумышленники, как правило, используют его для рассылки фишинговых ссылок контактам жертвы, что позволяет атаке быстро распространяться дальше — уже от лица доверенного пользователя.

SOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »