Через электронную подпись крадут квартиры и бизнес: способы защититься – новости Право.ру

Что делать

Очевидно, что ситуация широко распространена и прекрасно известна налоговым органам. Но это не делает жизнь пострадавших проще.

Если факт мошенничества обнаружен до окончания отчетного периода, то по-видимому, правильными действиями будет оперативно отправить корректировку, предпринять действия для блокировки фиктивной ЭЦП, проверяя при этом отсутствие мошеннических корректировок «поверх» вашей и обратиться в правоохранительные органы. Каков будет результат – пока непонятно.

Что делать если факт мошенничества обнаружен после того как счет уже заблокирован – непонятно. Росреестр дежурно говорит «полномочия… были подтверждены в установленном порядке» и доказать, что это действительно не ты оформил вторую ЭЦП и пытаешься уклониться от уплаты налогов – становится твоей личной проблемой.

У кого есть опыт подобных ситуаций – делитесь, пожалуйста, потому что порядок действий не всегда очевиден, а неправильные действия могут усугубить ситуацию.

Что еще осталось доделать

• Написать по итогам реализации на habr
• Разобраться как сбросить query, если один раз уже была проверка ссылки
• Придумать как ужать зашифрованный текст, потому что когда длинный URL кодируется, то размер QR-кода чересчур большой
• Добавить возможность копирования кода в буфер обмена или отправлять на почту по щелчку на кнопку (пока не разобрался как сделать это в javascript)
• Улучшить работу с мобильной версией

Что такое электронная подпись?

Электронная подпись позволяет подтвердить авторство электронного документа, будь то реальное лицо или аккаунт в криптовалютной системе. Сегодня в мире применяется технология, основанная на шифровании с открытым ключом, который выдается автору. Разрабатывать этот механизм начали в 1976 году, а первый российский стандарт электронной подписи был введен Главным управлением безопасности связи ФАПСИ. В 2002 году его заменили на более надежный стандарт. А в 2021 году ввели новый образец, который действует и сейчас.

Электронная подпись выглядит как USB-флешка. Предполагается, что вы всегда носите ее с собой или храните в недоступном для посторонних месте как печать. Выдают ЭП удостоверяющие центры, аккредитованные государством и имеющие лицензию ФСБ России.

Чтобы получить подпись, гражданин может обратиться в центр дистанционно или лично, заполнить анкету и подписать согласие на обработку персональных данных. Специалисты проверяют личность обратившегося к ним гражданина и его полномочия, если подпись выдается на юридическое лицо.

Различают три вида подписей. Простая чаще всего используется физическими лицами. Ее можно поставить на документ путем введения специального кода, который предоставляется удостоверяющим центром. Усиленную неквалифицированную подпись можно получить в результате криптографического преобразования информации.

Внутри флешки хранится сертификат ключа проверки электронной подписи — набор символов, который является вашим идентификатором.

Согласно Гражданскому кодексу РФ, квалифицированная электронная подпись предназначена для определения лица, подписавшего электронный документ, и является аналогом собственноручной подписи. Ключ действует в течение года, а при его оформлении важно личное присутствие заявителя. Далее требуется продление через удостоверяющий центр, при этом необязательно личное присутствие.

Актуальность задачи защиты от подделок

Дело в том, что в наш век безбумажной информации ни одно капитальное строительство, будь то газопровод или торговый центр, не обходится без подготовки полного комплекта исполнительной документации (as built), частью которой являются заключения по неразрушающему контролю (визуальному, радиографическому, ультразвуковому).

Это заключение — оформленный на определенном бланке документ с выводом о годности или негодности, к примеру, сварного шва. Услуги по неразрушающему контролю стоят денег и часто весьма немалых. Недобросовестный заказчик/посредник может нанять аккредитованную лабораторию, получить от нее несколько заключений и прекратить или приостановить работу.

Каково же может быть удивление дефектоскописта или начальника лаборатории, когда они узнают о том, что и после прекращения работы от их имени выдаются заключения, на них ставятся поддельные печати и подделываются подписи. Страдает репутация лаборатории, да и по сути нарушается законодательство. Просто в ряде случае об этом так никто и не узнает.

В рамках дискуссии — как защитить свои документы, была высказана идея наносить на документ QR-код, в котором будет записан номер заключения, дата и вывод о годности или не годности объекта контроля. Чем хорош такой способ — QR-код останется хорошо различим при сканировании, копировании документа.

Однако, просто сгенерировать QR-код с нужным содержимым точно также смогут и мошенники.

Где используется эп?

Квалифицированная электронная подпись применяется при совершении гражданско-правовых сделок, оказании государственных и муниципальных услуг, исполнении государственных и муниципальных функций. Правовые условия ее использования определяет Закон от 6 апреля 2021 года «Об электронной подписи».

Обладатель подписи может обращаться в виртуальные приемные государственных организаций своего региона и страны, отслеживать, как ведется рассмотрение его обращения, и узнать принятое решение по нему. Он может взаимодействовать с госучреждениями, не выходя из дома, в любое время и минуя очереди, участвовать в аукционах и закупках, использовать подпись для совершения покупок.

Чтобы использовать ЭП, нужно установить на компьютер или ноутбук лицензионное программное обеспечение, полученное в удостоверяющем центре. Затем можно проставлять подпись, используя различные программы для чтения и работы с документами в электронном виде.

После подписи никто, кроме вас, не сможет изменить документ. Выглядеть она может по-разному, но чаще всего это небольшое изображение в виде штампа. У государственных организаций она имеет форму печати, где указывается, что электронная печать усилена квалифицированной подписью.

Взломать ЭП практически невозможно, если только владелец сам не предоставил ее третьим лицам или флешку украли. Чтобы защититься от мошенничества более надежно, рекомендуется покупать квалифицированную ЭП.

Сегодня многие российские компании осуществляют свою торгово-закупочную деятельность в Интернете через системы электронной торговли, обмениваясь с контрагентами необходимыми документами в электронном виде, подписанными электронной подписью.

Генерация qr-кода

Я воспользовался готовым

Для работы достаточно создать объект html1 — для отображения произвольного html кода и вызвать фунцию API

Если вашу электронную подпись взломали

1. Подайте в ФНС заявление о недостоверности сведений в ЕГРЮЛ (форма 34001) и возражение по форме 38001, а также жалобу о том, что перечисленные юрлица гражданин не регистрировал и электронную подпись не оформлял.
2. Подайте заявление в полицию по месту нахождения налоговой инспекции.
3. Напишите в УЦ заявление на отзыв сертификата ЭП, чтобы никто больше не смог ей воспользоваться. Узнать, какой удостоверяющий центр выдал подпись, можно, написав заявление в Межрегиональную инспекцию ФНС по централизованной обработке данных.
4. Напишите заявление в Минкомсвязи с описанием ситуации, требованием провести расследование и признать ЭП недействительной.
5. В случае отказа возбуждения дела в полиции напишите в прокуратуру.
6. Дожидайтесь ответов от налоговой. В случае отказов — подайте в суд на УЦ.

Как всё было

Бухгалтер сдал отчёты для клиента за второй квартал, проконтролировал уплату налогов, заказал сверку с ИФНС. Убедился, что задолженностей перед налоговой нет, и успокоился.

Но автоматический контроль задолженности бдит! Бухгалтеру прилетела задача погасить задолженность в размере более 1 млн. рублей. Как так? Всё заплатили в ноль, квартал закрыт!

Задолженность образовалась в результате подачи корректировок мошенниками.

У наших клиентов уже были подобные случаи. За 2021–2021 гг. было зафиксировано более 43 тысяч нарушений с использованием ЭЦП. На фоне жалоб и их растущего числа, операторы связи ужесточили правила выдачи электронных подписей. Калуга, например, теперь требует не просто копию паспорта, а фото с владельцем.

Как работают мошенники?

Хотя электронные подписи сложно подделать, известны незаконные действия с ними через центры сертификации. Счетная палата выявила участие некоторых таких центров в неправомерном применении электронной подписи застрахованного лица в интересах негосударственных пенсионных фондов, а также оформления документов без участия граждан.

Другой способ манипуляции заключается в том, что клиенту предлагают дистанционный выпуск квалифицированного сертификата без личного контакта заявителя и сотрудника регистрационного отдела удостоверяющего центра. В этом случае оформление электронной подписи производится удаленно, на основании документов заявителя, представленных через Интернет центру сертификации.

Копировальщики rfid-ключей (для домофона)

Личная защита

Обезопасить от таких преступлений могут не только новые поправки, но и внимательность самих  граждан. Во-первых, нужно бережно хранить документы с персональными данными и не передавать их посторонним. Во-вторых, обратиться в налоговую с заявлением о запрете регистрировать юридические лица на свое имя без личного присутствия.

Внимательно нужно относиться и ко всем электронным платежам: ограничить их суммы и подключить СМС-информирование обо всех операциях по счету. Кроме того, получать ЭЦП лучше в крупных удостоверяющих центрах, которые имеют положительную репутацию. Управляющий партнер АБ «Павел Хлюстов и партнеры» Павел Хлюстов советует постоянно проверять сведения из реестров, в которых зарегистрированы права на имущество.

Если без вашего ведома все же провели какую-то операцию с помощью электронной подписи, то на практике это можно доказать с помощью интернет-трафика. Он покажет, что в конкретный день и час пользователь не выходил в сеть со своего устройства, которое обычно использует для проведения таких операций, говорит Новиков.

А главное – чтобы уменьшить число подобных махинаций, надо совершенствовать законодательство, констатирует управляющий партнер Федеральный рейтинг.группаСемейное и наследственное правогруппаТрудовое и миграционное право (включая споры)группаУголовное право Дмитрий Солдаткин.

Он считает необходимым установить требование об обязательном личном присутствии заявителя или его представителя при оформлении ЭЦП. Пока же ирония заключается в том, что использование электронной подписи настолько же упрощает жизнь, насколько усложняет процесс доказывания того факта, что отчуждение имущества совершил не ее владелец, резюмирует Виктор Ушакевич из Региональный рейтинг..

Мошенник с поддельным паспортом

В нашем случае в Тензор лично обратился мошенник с поддельным паспортом. Данные в паспорте были нашего клиента, а фотография — мошенника. Он оформил ЭЦП и подал уточнёнки с высокими налогами к уплате. Видимо, его компании-однодневке нужны были вычеты.

В итоге, мы подали уточнёнки с правильными данными и предупредили ИФНС, чтобы не принимали отчёты с данного ЭЦП. Правда, звонок в налоговую был малоэффективен, так как налоговики снимают с себя всю ответственность. Клиент обратился в полицию.

Благодаря контрольной сверке от Tardis, мы узнали об этом безобразии не по факту требования, блокировки счёта или снятии денег, а очень даже своевременно, чтобы исправить ситуацию.

Фиктивный налог клиент платить не будет, но паспорт придётся поменять.

Мошенничество с электронной подписью: как обезопасить себя | такском

Электронная подпись – незаменимый инструмент электронного документооборота. Усиленная квалифицированная ЭП предоставляет больше всего возможностей для своего обладателя. С её помощью можно сдавать отчётность в госорганы, участвовать в электронных торгах, получать госуслуги и вести ЭДО с контрагентами. Однако при неправильном получении и работе с нею можно стать жертвой мошенников.

Подделать нельзя, но завладеть – запросто

Саму электронную подпись подделать нельзя: в её основе лежат криптографические алгоритмы, не поддающиеся взлому. Однако мошенники могут её украсть или подделать документы для незаконного получения.
Схем, как завладеть электронной подписью, не так уж много. Первая – это умышленное хищение, то есть кража закрытого ключа, хранящегося на токене. Вторая – когда владелец сам отдаёт подпись постороннему лицу, например, бухгалтеру, чтобы делегировать некоторые полномочия.

Третий вариант – компания забывает отозвать ЭП у уволенного сотрудника. Бывший сотрудник может оказаться недобросовестным или обиженным на бывшего работодателя. В таком случае он может оставить миллионные долги на компанию.

Электронная подпись в руках мошенников и риски

Электронная подпись даёт право совершать юридически значимые сделки от имени вашей компании. А сулить это может очень и очень большие проблемы для владельцев бизнеса.

— На компанию могут оформить кредит.
— Могут быть выведены денежные средства со счетов компании.
— Мошенники могут сдать поддельную отчётность в налоговые органы, чтобы получить возмещение по НДС.
— Продать собственность компании – офис и транспортные средства.
— Компанию даже могут ликвидировать.

7 правил противодействия мошенничеству

Чтобы обезопасить себя и свой бизнес, нужно соблюдать некоторые правила, начиная с этапа получения ЭП.

Правило № 1 – для получения электронной подписи изначально выбирайте только надёжный УЦ

Получать электронную подпись можно только в надёжной организации – удостоверяющем центре, аккредитованном Минкомсвязи. 1 июля 2020 года вступили в силу поправки в 63-ФЗ «Об электронной подписи». Одно из изменений – ужесточение требований к УЦ. 

Теперь минимальная доля собственных средств УЦ должна составлять не менее 1 млрд рублей или не менее 500 млн рублей в случае, если УЦ имеет филиалы не менее чем в трёх четвертях субъектов РФ. Кроме того, увеличится размер финансового обеспечения ответственности за убытки, причиненные третьим лицам – с 30 до 100 млн рублей. Срок действия аккредитации УЦ сокращён с пяти до трёх лет. Теперь УЦ будут получать её в два этапа: первый – в Минкомсвязи, второй – в правительственной комиссии.

Становится ясно, что такие требования могут осилить только крупные УЦ, которые не первый год на рынке. После принятия изменений количество УЦ сократится с нескольких сотен до нескольких десятков. 

Правило № 2 – не оставлять сканы и реквизиты паспорта на внешних ресурсах и не передавать ненадёжным людям

Чтобы мошенники не смогли получить ЭП от вашего имени, не оставляйте данные вашего паспорта или его образы на подозрительных сайтах. С наибольшей вероятностью сотрудники УЦ увидят подделку и не выдадут сертификат, но зачем такой риск? Если паспорт пропадёт, сразу пишите заявление в полицию – дата его подачи будет в дальнейшем аргументом, что подпись на документ поставили не вы.

Правило № 3 – никто, кроме владельца, не должен иметь доступ к закрытому ключу подписи

Итак, вы получили электронную подпись и решили передать её для хранения другому лицу – подчинённому, которому доверяете. Делать этого нельзя. Впоследствии доказать в суде, что подпись поставил не владелец, а постороннее лицо, будет сложно.

Правило № 4 – защитить паролем токен и/или компьютер

Если злоумышленник украдёт токен с подписью или получит доступ к компьютеру, в котором она хранится, то он сможет ею воспользоваться.

Правило № 5 – всегда блокируйте компьютер, в котором храните подпись

Нужно отойти от компьютера, в котором хранится подпись? Если у вашего кабинета не стоит бдительный охранник, то любой может проникнуть в кабинет, залезть в ПК и украсть подпись.

Правило № 6 – компьютер, на котором хранится ЭП, должен иметь защиту от вирусов

Если на электронную почту пришёл подозрительный файл, не открывайте его: это может быть программа-шпион, которая скопирует все файлы, в том числе ЭП.

Правило № 7 – ведите учёт сертификатов сотрудников и вовремя отзывайте их у уволенных

Увольняется сотрудник, у которого есть ЭП? Сразу отзывайте сертификат подписи. Иначе он сможет списать денежные средства со счетов компании, а то и вообще ликвидировать её.

Оформление новой и перевыпуск имеющейся ЭП.

Экономично. Быстро. Законно. Без визита в офис

Перевыпустить уже имеющуюся ЭП, выданную любым удостоверяющим центром, можно прямо на сайте Такском – через личный кабинет. В этом случае реквизиты компании-заказчика должны быть прежними, без изменений.

Оперативно оформить новую ЭП – без посещения офиса – тоже просто. Нужно лишь вызвать выездного менеджера Такском. Он сам приедет к вам, идентифицирует личность и оформит вам новую ЭП. Соблюдается законодательство – вступившие в силу с 1 июля поправки к Федеральному закону № 63-ФЗ. Правовые новшества требуют обязательной идентификации личности будущего владельца ЭП. 

О чем это

На идею создать свой маленький интернет-проект по защите документов от подделки, меня натолкнула дискуссия на форуме дефектоскопистов, посвященная повальной подделке выданных ими заключений по контролю качества.

В ходе реализации своего проекта я понял, что пришел к концепции электронной цифровой подписи, то есть велосипед, я, конечно, не изобрел, но рассказ о моем пути может оказаться поучительным.

Пожинаем плоды автоматизации. спасибо tardis!

Мы предотвратили мошенническую атаку на бизнес нашего клиента, благодаря регулярным автоматическим сверкам по задолженности с ИФНС от Tardis. Действия мошенников могли привести к блокировке счёта и списанию фиктивных недоимок

Потерять квартиру или стать собственником «однодневки»

Получить такую подпись можно в одном из 500 удостоверяющих центров. В некоторых организациях процедуру проведут через интернет без личного присутствия. Как выяснило издание 47News, оформить ЭЦП на другого человека очень просто.

Если известны СНИЛС и данные паспорта, то достаточно нескольких тысяч рублей и фотошопа. Журналист Юлия Гильмшина приобрела подпись за генерального директора издания. Третья фирма, куда она обратилась, пошла навстречу сотруднику, чей шеф «не хочет заниматься бюрократией». В итоге журналисту выдали ЭЦП на человека, который сам никуда не обращался и по легенде ничего не знал.

Подобные ситуации оказались возможны из-за пробела в законодательстве, объясняет Никита Роженцов из Федеральный рейтинг.группаГЧП/Инфраструктурные проектыгруппаРазрешение споров в судах общей юрисдикциигруппаУголовное правогруппаБанкротство (включая споры)Профайл компании:

«Удостоверяющий центр обязан установить личность получателя сертификата, но способ такой процедуры не регламентирован». Эта правовая неопределенность не позволяет однозначно определить, кто именно обращался в аккредитованную компанию за подписью – реальный владелец паспорта или злоумышленник с украденной ксерокопией.

О смене собственника пострадавший узнал лишь после того, как получил очередную квитанцию с неизвестной фамилией. Теперь Салтовский возвращает квартиру в судебном порядке, он требует признать спорный договор дарения недействительной сделкой (дело № 02-3237/2021).

Параллельно полиция ищет злоумышленников, которые провернули такое мошенничество. С помощью таких схем на гражданина могут зарегистрировать и целые компании. На Павла Зимакова и его супругу оформили три фирмы в разных российских регионах, а также взяли кредиты в микрофинансовых организациях. В этом деле сейчас тоже разбираются сотрудники правоохранительных органов.

Предварительный ответ на возможную критику:

Не проще лаборатории вести реестр заключений на своем сайте, а подобная QR метка будет вести на этот реестр или даже выводить копию заключения?

Это можно сделать, но потребуется значительная ручная работа или внедрение собственного IT решение наподобие разработанного мной, но это явно обойдется дороже чем воспользоваться готовым решением.

Сделать такой реестр полностью общедоступным нельзя, потому что информация не является открытой, а может быть рассмотрена лишь исполнителем, заказчиком и Ростехнадзором.

Принцип работы

К аккаунту пользователя привязывается уникальный закрытый ключ шифрования.

Проверка кода выполняется сайтом при распарсивании ссылки

Для распарсивания при распознавании сайтом ссылки я воспользовался справкой по Wix code

Работа с пользователями

Wix поддерживает базовые функции регистрации пользователей и редактирования профиля. Инструмент, несколько глючный, но работоспособный.

Мне лишь потребовалось добавить поле, которое описывает наименование организации, которую представляет зарегистрированный пользователь, но это поле read only и его заполняет администратор сервиса, когда получает подтверждение, что зарегистрированный пользователь действительно представляет указанную организацию.

Потребовалось также прикрутить простейшую логику, связанную с платным/бесплатным доступом к функциям (до 20 документов в месяц можно защитить бесплатно) и сроком оплаты услуг.

Рождение идеи

И тут меня осенила мысль — а почему бы не шифровать содержимое такого QR-кода надежным алгоритмом. Раз так — надо придумать способ его расшифровывать при сканировании, например через камеру смартфона. Здесь родилась идея расшифровку делать на стороне web-сервиса, который будет хранить ключ для расшифровки.

В последний раз я делал сайт в 2000 году в notepad и не слишком хорошо знаком с современными технологиями сайтостроительства, поэтому выбрал Wix, подумав, что с помощью сервиса я получу красивую картинку и минимальные возможности работы с базой данных, а с помощью Wix code закодирую то что мне нужно.

Сразу скажу, что это у меня получилось без особого труда и за несколько вечеров я, будучи дилетантом, вполне смог собрать из более-менее готовых блоков нужное мне решение.

Случай первый

Первый случай, с которым я столкнулся (конец первого квартала 2021г) был «худшим». Проблема стала очевидна после блокировки счета и последующий процесс не закончился до сих пор.

Позиция налоговой в этом вопросе предельно проста: подписи ваши, удостоверены в соответствии с законом, налоги должны быть уплачены. Любое обращение в налоговую рассматривается согласно регламенту (время рассмотрения письма – месяц).

Следственные действия до сих пор продолжаются. А до их окончания у пострадавшего за неуплату налогов заблокированы счета компании и наложен арест на личное имущество.

В обсуждении к предыдущей статье комментаторы писали, что самостоятельные попытки блокировки фиктивной ЭЦП могут быть впоследствии расценены следствием негативно. В первом случае пострадавший отказался самостоятельно предпринимать какие-либо действия, помимо обращений в следственные органы, в результате – следствие еще идет, до окончания следствия (по крайней мере), за неуплату налогов, повторюсь, заблокированы счета компании и наложен арест на личное имущество. Что было бы, если бы он самостоятельно заблокировал фиктивную ЭЦП, посетив УЦ на другом конце страны – неочевидно.

Шифрование

Готовый

AES 128-битного шифрования с реализацией на Java Script я взял на Github и разместил в backend разделе сайта.

Это была, пожалуй, самая простая часть работы. Как работает само шифрование мне было не совсем неинтересно. Меня волновала грандиозность задуманного.

Главное не забыть перевести кодируемый текст в Bytes, а результат шифрования в HEX.

// Convert text to bytes
var textBytes = aesjs.utils.utf8.toBytes(text);

// The counter is optional, and if omitted will begin at 1
var aesCtr = new aesjs.ModeOfOperation.ctr(key, new aesjs.Counter(5));

var encryptedBytes = aesCtr.encrypt(textBytes);

// To print or store the binary data, you may convert it to hex
var encryptedHex = aesjs.utils.hex.fromBytes(encryptedBytes);

Заключение

От рождения идеи я с помощью ряда готовых кирпичиков пришел к работающей реализации.

Приглашаю к дискуссии по придуманной мной идее, попытке протестировать/взломать мой сервис.