Уязвимость обнаружил эксперт инжинирингового центра SafeNet Игорь Бедеров.

Уже и к официальному сайту «Госуслуг» стоит относиться с осторожностью: даже убедившись в том, что он официальный, можно попасть к мошенникам. Все дело в так называемом скрытом редиректе.

«Пользователь попадает на страницу ввода капчи (проверка, что вы не робот. — «Москвич Mag») на сайте «Госуслуги». После ее введения пользователь может быть переадресован на любой другой сетевой ресурс, в том числе содержащий вредоносное программное обеспечение, которое будет автоматически установлено на устройство “жертвы”», — рассказывает Бедеров.

И вся сложность в том, что браузер может скрыть новую полную ссылку, оставив только gosuslugi.ru — визуально будет казаться, что все в порядке. Подобные уязвимости раньше уже находили в таких соцсетях как «ВКонтакте», YouTube и Instagram.

Интересно, что на сайте «Госуслуг» есть раздел, в котором рассказывается, как не стать жертвой мошенников. И такой случай там пока что не описан.

Эксперт говорит, что уже указал айтишникам государственного портала на уязвимость. Надеемся, что ее оперативно устранят.