Через электронную подпись крадут квартиры и бизнес: способы защититься — новости Право.ру

Что делать, если вы уже столкнулись с мошенничеством?

Скорее всего, тревожный сигнал в том или ином виде вы получите из государственного органа, куда придет документ с незаконной подписью. Так устроена система. Туда, в этот орган, необходимо обратиться с просьбой проинформировать вас, в каком УЦ выдана подпись.

Поскольку подпись ваша, проблем с получением этих сведений возникнуть не должно, уверяют в УЦ «СКБ Контур». Обратившись следом в УЦ, вы, во-первых, сможете отозвать электронную подпись, лишив мошенников возможности действовать дальше. А во-вторых, получить сведения о тех, кто оформил, получил и стал использовать за вас ваш цифровой автограф. На этом этапе уже должна подключиться полиция. Пусть ищет преступников и помогает взыскать причиненный вам ущерб.

По словам Сергея Казакова, здесь может сослужить хорошую службу именно цифровая природа электронной подписи. Любые операции с ней оставят свои следы, по которым найти мошенников может оказаться куда легче, чем если бы речь шла о подделке обычного рукописного автографа.

«подводные камни» простой электронной подписи

Все информационные системы (ИС) можно разделить на публичные и закрытые, рассматривая круг пользователей, имеющих возможность создания или отправки электронных документов. Если, для доступа к ИС, человек обязан пройти процедуру проверки оригинала УЛ, то такая ИС будет закрытой, доступ к которой имеет строго определенный круг лиц.

ИС, доступ к которой имеет неопределенный круг лиц, не прошедших процедуру проверки УЛ, будет публичной. К закрытым ИС относятся все корпоративные ИС, так как человек, получивший к ней доступ, прошел процедуру оформления на рабочем месте с предъявлением документов и заключением трудового договора.

Рассмотрим основные способы подписания документов ПЭП, сложившиеся в российских реалиях.

Первым способом является заключение соглашения о том, что стороны признают документы, отправленные с электронного почтового ящика, подписанными ПЭП. В этом случае открытым ключом является адрес электронной почты, конфиденциальным ключом — пароль к электронному почтовому ящику. Юридически значимой такая ПЭП будет при соблюдении следующего условий:

  1. Почтовый сервис является закрытым, т.е. доступ к нему имеет строго определенный круг лиц, прошедших процедуру проверки оригинала удостоверения личности;
  2. Открытый ключ ПЭП содержится в передаваемом документе (ФЗ-63, статья 9 п.1);
  3. Пароль к почтовому ящику строго конфиденциален, известен только единственному, определенному лицу, прошедшему процедуру проверки оригинала УЛ перед получением пароля (ключа ПЭП) и это зафиксировано в соглашении (ФЗ-63, статья 9, п.2);

При использовании корпоративной электронной почты обычно соблюдаются все эти условия, т.к. корпоративная почта относится к закрытым ИС, адрес почтового ящика отправителя содержится в передаваемом сообщении, пароль к корпоративному личному почтовому ящику известен только строго определенному лицу.

«правила выживания» в цифровом мире

Предприняв указанные выше превентивные меры, участникам современного общества, так или иначе связанным с процессами электронного взаимодействия, следует придерживаться и общих правил обеспечения безопасности:

  1. Будьте осторожны: бережно храните документы, старайтесь не допустить потери или кражи;
  2. Умейте говорить «нет»: оставляйте сканы документов только там, где этого требует закон (например, откажите охранникам, которые пытаются снять копию с паспорта, вместо того чтобы переписать данные для оформления пропуска);
  3. Будьте внимательны: периодически проверяйте записи о собственниках юридических лиц на сайте ФНС в разделе «Электронные сервисы» — «Риски бизнеса: проверь себя и контрагента» (ссылка представлена выше), обращайте внимание на ФИО, указанные на счетах за ЖКХ, не превращая это в навязчивую манию;
  4. Никому не доверяйте свою ЭП: подробнее об этом можно прочитать в статье «Почему так важно не допускать использования Вашей ЭП другими лицами?»)

Безопасно ли использовать электронную подпись?

Для генерации ЭП используют средства криптографической защиты с хеш-функциями. Заявитель получает на руки закрытый ключ, который должен оберегать от посторонних, как и пароль доступа к нему.

Взломать электронную подпись и ключ к ней невозможно: механизм усиленной криптозащиты многоуровневый и слишком сложный. Единственная угроза, которая подстерегает вас, – физическая потеря секретного ключа или пароля к нему. Справедливости ради вспомним, что от этого не застрахованы и владельцы банковских карт, тем не менее мало кто по этой причине отказывается от услуг финансовых учреждений.

Мы настоятельно рекомендуем обеспечить надежное место для хранения ключа, и это должен быть отнюдь не жесткий диск компьютера или обычный флэш-накопитель. Для этой цели оптимально подходят специализированные программно-аппаратные хранилища, например e-Token и Rutoken.

От обычных «флэшек» такие USB-брелоки или смарт-карты отличаются тем, что доступ к ним возможен только по пин-коду. После трехкратного неверного введения брелок или карта блокируются. Все операции проводятся в памяти накопителя, что полностью исключает перехват.

Token защищает ЭП от вирусов, случайного удаления и перезаписи. Именно его вы сможете использовать в качестве персонального средства аутентификации, например, в системе электронного документооборота или для авторизации на любом компьютере.

Даже если вы потеряете носитель с ключом, ничего страшного не случится. По правилам, вы обязаны сообщить об этом в удостоверяющий центр и отозвать сертификат, как и при утере банковской карты. За это время воспользоваться ключом, не зная пин-кода к нему, никому не удастся.

В каких случаях необходимо оперативно обратиться в удостоверяющий центр?

  • У компании изменились реквизиты или уполномоченное лицо. Действие сертификата нужно приостановить.
  • Вышел из строя или потерялся носитель, на котором хранился закрытый ключ.
  • Возникли проблемы при работе с ключом.

По закону, сертификат, а вместе с ним и электронная подпись действительны в течение 15 месяцев, однако в ряде случаев физические и юридические лица заказывают его на 1 год. По истечении этого времени пользователь имеет право пролонгировать срок действия сертификата еще на год в течение 30 дней. В противном случае придется проходить процедуру заново.

Как видите, если обратиться в аккредитованный удостоверяющий центр, а затем соблюдать простые правила безопасности, риски минимальны. Многие предприниматели, юридические и физические лица уже давно оценили удобство этого инструмента для бизнеса.

Чтобы оформить документы для получения ЭП, обращайтесь к нам. Специалисты компании «Стар Софт Групп» помогут вам в кратчайшие сроки оформить все необходимые документы.

В чем опасность и как ее избежать?

Закон допускает, что подать заявление об изготовлении и выдаче электронной подписи за вас может другой человек. И другой человек — например, курьер — может ее за вас получить. Конечно, для этого ему понадобится целый комплект бумаг, заверенных нотариусом. Речь не только о копии вашего основного документа — паспорта, но и доверенности на такие действия от вашего имени.

Но, похоже, для мошенников это не особенно проблематично — иначе бы законодатели в спешке не стали заделывать явную юридическую брешь, сделавшую уязвимым практически каждого собственника недвижимости в нашей стране.

«Это не хакеры, которые появились с появлением электронных подписей, а обычные бумажные мошенники. Они подделывают ваш паспорт — увы, достаточно заверенной ксерокопии или даже просто реквизитов, — предъявляют доверенность и получают электронную подпись, изготовленную на ваше имя.

Поэтому следите за своими бумажными документами, не оставляйте паспорт и его реквизиты в свободном доступе, призывает он. Правда, как защититься на практике, когда страницы вашего паспорта копируют в любом банке, медицинском центре и у тех же нотариусов, не вполне понятно.

То есть нельзя прийти, скажем, в МФЦ «Мои документы» и поинтересоваться, не выдана ли уже подпись на твое имя где-то на Дальнем Востоке.  

Более того, в УК РФ пока нет специальной статьи о мошенничестве с цифровыми подписями. В сентябре прошлого года ее появление анонсировало Минкомсвязи, но что-то пошло не так. Впрочем, Александр Кочнев, адвокат уголовно-правового направления адвокатского бюро LOYS, напоминает, что в УК есть статья 327 — о наказании за подделку, изготовление или сбыт поддельных документов.

Ответственности по части 1 этой статьи подлежит, например, лицо, подделавшее подпись в официальном документе, предоставляющем права или освобождающем от обязанностей. Раз федеральный закон об электронной подписи признает таковую аналогом рукописной подписи, только в цифровом пространстве, то с точки зрения уголовного права нет разницы, подделал виновный рукописную подпись или электронную.

Варианты мошенничества с электронной подписью

03 августа 2021

Варианты мошенничества с электронной подписью

Цифровая экономика не только обеспечивает участников новыми возможностями, но и создает новые риски. Нестареющее правило «предупрежден — значит вооружен» здесь как никогда актуально.

Электронная подпись — это инструмент, снабженный максимальной «броней» от компрометации. Конечно, при условии ее корректного использования владельцем и недопущения злоумышленника к критическим точкам. Но даже это не мешает преступникам находить лазейки и использовать пресловутый человеческий фактор, позволяющий противоправно обогащаться за счет других.

***

Справочно:

Для понимания материала необходимо владеть базовой терминологией и понимать принципы работы электронной подписи. Если в этих знаниях имеются пробелы, то их легко восполнить с помощью статьи «Что такое электронная подпись — простым языком для новичков мира цифровой экономики».

***
Преступных схем огромное количество, иногда удивление вызывает фантазия мошенников, а иногда наивность владельцев ЭП.

Варианты мошенничества с электронной подписью:

1) Физические преступления для развертывания мошеннической схемы необходим контакт преступника с носителем.

1.1. Кража носителя — простая, как 5 копеек, схема, когда преступник похищает usb-токен, что позволяет ему свободно использовать чужую электронную подпись.

Читайте также:  Постановление Правительства РФ от 31 декабря 2020 г. № 2440 "Об утверждении Правил использования усиленной квалифицированной электронной подписи при формировании и ведении единого федерального информационного регистра, содержащего сведения о населении Российской Федерации"

Нейтрализация:

— установка пользовательского пароля напомним, что носители выпускаются со стандартными заводскими паролями, которые находятся в свободном доступе в интернете и, соответственно, их важно заменить на числовую комбинацию, известную только владельцу. После 3 попыток злоумышленника подобрать пароль, usb-токен заблокируется.

1.2. Добровольная передача своей ЭП другому лицу — исходя из безграничного доверия, а скорее всего из-за непонимания возможных последствий, уполномоченные лица вместо делегирования прав совершать определенные действия передают подчиненным свою электронную подпись. Случаи, когда главные бухгалтера приводили компании к грани банкротства, выводя капитал с помощью ЭП директоров, до сих пор происходят с завидной регулярностью. Мошенническая схема может быть развернута и одномоментно, и отложено. Одномоментно — злоумышленник может использовать электронную подпись непосредственно во время нахождения у него чужого usb-токена. Отложено — в случае если закрытый ключ ЭП является извлекаемым, преступник может скопировать его и использовать в дальнейшем, уже после возврата носителя владельцу.

Нейтрализация:

— никогда, никому и ни при каких обстоятельствах не передавать свою электронную подпись — наверное, самое простое правило, которым, к сожалению, часто пренебрегают. Обычно отговоркой служит желание сэкономить денежные средства в размере стоимости ЭП и время, необходимое на оформление доверенности. Но нельзя забывать насколько это малые величины в сравнении с рисками.

Примечание: в разделе «Статьи» доступен отдельный материал, посвященный недопустимости передачи электронной подписи другим лицам.

1.3. Наличие на токене недекларированных возможностей («закладок») — получение несертифицированных ключевых носителей из ненадежных источников чревато наличием в программном обеспечении не заявленных в документации включений. Через эти «кротовые норы» преступники могут похитить закрытый ключ электронной подписи.

Нейтрализация:

— приобретение сертифицированных ФСТЭК носителей — удостовериться в отсутствии «закладок» можно с помощью просвечивания usb-токена рентгеном, что осуществляется в лабораториях Федеральной службы технического и экспортного контроля. Если в результате исследования не было выявлено «закладок», то ключевой носитель признается безопасным и на него выпускают сертификат ФСТЭК.

2) Технологичные преступления — для реализации подобных противоправных схем от мошенников в первую очередь требуются навыки в области IT-технологий и информационной безопасности.

2.1. Внедрение злоумышленника в «машину» владельца электронной подписи — мошенник, получивший доступ к компьютеру или ноутбуку жертвы может похитить ключ, скопировав его, в случае если он извлекаемый, или использовать ЭП без ведома владельца. Например, шпионская программа (Remote Access Tool или сокращенно RAT — на слэнге некоторых IT-специалистов «крыса») может перехватывать параметры вызовов функций, данные, которыми обмениваются приложения и прочее. Соответственно, это позволит преступнику узнать пароль токена и получить доступ к электронной подписи, хранящейся на нем.

Нейтрализация:

— выполнение правил информационной гигиены — не переходить по подозрительным ссылкам (обратите внимание, что в письме может быть написан адрес надежного сайта, но при наведении курсором может высветиться совершенно другой адрес гиперссылки), не скачивать программы и файлы из ненадежных источников, не пользоваться потенциально зараженными флешками, установить на компьютер или ноутбук антивирусную программу и прочее. Кроме этого, следует упомянуть о важности корректной работы службы администрирования и информационной безопасности в компаниях.

2.2. Компрометация канала связи «токен-машина» — если злоумышленник проникает в канал передачи данных от usb-токена к компьютеру или ноутбуку, то это грозит, в зависимости от типа ключевого носителя, и компрометацией пароля, и компрометацией ключа.

Нейтрализация:

— выполнение правил информационной гигиены ФКН — способ предотвратить реализацию подобной схемы, аналогичен предыдущему. В качестве дополнительного средства обезопасить электронную подпись от компрометации можно упомянуть функциональный ключевой носитель (ФКН). ФКН отличается тем, что разделяет вычисления во время генерации ЭП между пользовательским приложением и токеном таким образом, что данные, которые передаются по каналу связи, не позволят преступнику сделать никаких выводов ни о ключе, ни о пароле.

3) Социальные преступления — мошеннические схемы, основанные на личных качествах людей, их способности имитировать других, вводить в заблуждение, подделывать документы. Подобные нарушения в большинстве своем сложно предупредить, но всем действующим и потенциальным владельцам ЭП нужно знать, что рынок нашел способ борьбы и с подобными преступлениями.

3.1. Получение электронной подписи другим человеком — преступник может завладеть документами нужного лица (найти, украсть) и, используя максимально похожего на него соучастника, получить ЭП.

UPD: Теперь можно проверить, выпущены ли на вас КЭП. С инструкцией «Как узнать о выпущенных на вас электронных подписях» можно ознакомиться по ссылке.

Нейтрализация:

— ответственное отношение к документам — необходимо хранить документы в надежных местах, а в случае их кражи незамедлительно сообщать в правоохранительные органы. Наличие заявления о потере или о краже будет дополнительным аргументов в случае судебного разбирательства по неправомерному выпуску ЭП и совершению значимых действий с ней. Доказательством того, что пострадавшее лицо не заполняло заявки на получение электронной подписи, будет графологическая экспертиза подписи.

3.2. Получение электронной подписи по поддельным документам и доверенности — регламент рынка электронной подписи подразумевает обязательную личную явку при первичном получении ЭП, а при повторном выпуске забрать ее можно, предоставив копии необходимых документов и доверенность. Этим и могут воспользоваться мошенники, подделав бумаги.  

3.3. Недобросовестность сотрудников удостоверяющих центров — как и в любой системе, будь то правоохранительная, судебная или любая другая, ее рядовые пользователи зависят от тех, кто наделен полномочиями. Вот он наиболее негативный человеческий фактор — беззащитность перед находящимся «внутри» преступником. При подобных проникновениях любая система выходит из равновесия, и одна из самых надежных и легко приводимых в норму — это система выпуска электронной подписи.

Нейтрализация схем 3.2. и 3.3.:

— ответственное выполнение сотрудниками УЦ своих обязанностей — в этих случаях предотвращение возможно только внутри удостоверяющих центров при помощи слаженной работы менеджеров, выпускающих ЭП, служб информационной безопасности, подбора персонала и коллег потенциального злоумышленника, что и происходит на современном рынке ЭП. Но это по-прежнему не исключает человеческого фактора на 100%.

Но почему же эта система одна из самых надежных и легко приводимых в норму?

Во-первых, потому что удостоверяющие центры ввиду своей материальной ответственности крайне внимательно относятся к проверке документов заявителей, таким образом, минимизируя риски.

Во-вторых, существует внешняя система контроля деятельности удостоверяющих центров, выстроенная государственными структурами. Для начала деятельности УЦ должны получить лицензию ФСБ России, которая подтвердит их соответствие строгим требованиям службы. В случае если удостоверяющие центры планируют выпускать квалифицированную электронную подпись, то они также обязаны пройти аккредитацию при Минкомсвязи. УЦ, которые заинтересованы в работоспособности выпущенных ЭП во всем информационном пространстве страны, также проходят процесс авторизации при Ассоциации Электронных Торговых Площадок. Помимо этих стартовых процедур ФСБ, Минкомсвязи и АЭТП проводят ежегодные проверки деятельности удостоверяющих центров.

В-третьих, высокое качество персонала УЦ, например, чтобы получить лицензию ФСБ, в штате обязательно должны быть специалисты с  профильным высшим образованием или окончившие 500-часовые курсы дополнительной подготовки. Отбор сотрудников удостоверяющих центров строгий, требуется специализация на соответствующем виде деятельности, заработные платы конкурентоспособны. Все это также является сдерживающими факторами, ведь решение поставить все на кон ради однократного преступного обогащения, которое в любом случае будет раскрыто, совсем не соответствует психологическому портрету высококлассного специалиста.

Предложение по улучшению системы выдачи ЭП от портала ecpexpert.ru: на текущий момент проверка предоставляемых заявителями документов проводится силами сотрудников УЦ. СМЭВ и ЕСИА могут оптимизировать эту работу. Напомним, что СМЭВ — это система межведомственного взаимодействия, в которой циркулируют документы россиян между государственными структурами (МВД, ФНС и т.д.); ЕСИА — это единая система идентификации и аутентификации, которая является частью СМЭВ, с ее помощью можно подтверждать свою личность в различных структурах (банки, удостоверяющие центры и т.д.). Таким образом, предоставление удостоверяющим центрам расширенного доступа к ЕСИА позволит еще быстрее и точнее подтверждать личность заявителей и проверять документы.

Бонус: Схемы-«единороги»

Мошеннические схемы-"единороги"

Добавим пару слов о несуществующих схемах, которыми могут пугать новичков мира электронной подписи.

1) ЭП могут скопировать с подписанного электронного документа.

Комментарий редакции портала ecpexpert.ru: нет, не могут.

2) Теория заговора удостоверяющих центров, которые используют электронные подписи своих клиентов.

Комментарий редакции портала ecpexpert.ru: выше уже была приведена аргументация, почему это не так.

3) Закрытый ключ ЭП могут подобрать с помощью открытого, что позволит мошенникам использовать подпись.

Комментарий редакции портала ecpexpert.ru: длинна ключа составляет 256 бит и, на самом деле, закрытый ключ можно рассекретить методом подбора, используя открытый ключ, но мощности современной вычислительной техники, включая суперкомпьютеры, не позволят этого сделать раньше, чем закончится срок действия ЭП.

Комфортной Вам работы с электронной подписью. А если остались вопросы, то специалисты портала ecpexpert.ru готовы на них ответить в соответствующей рубрике.


Upd. от 08.07.2021: Рекомендуем также ознакомиться со статьей портала ecpexpert.ru ««Самооборона» на рынке электронной подписи: как противостоять мошенникам«. 

Выбор электронной подписи по степени надежности

Российским законодательством разрешено использовать три типа электронных цифровых подписей (ЭЦП):

Простая — используется для подтверждения факта формирования подписи конкретным гражданином. Для этого на руки передаются коды и пароли. Это наименее надежная подпись, которая сгодится для подписания документов, не вязанных с финансами, например, для идентификации на портале, регистрации в электронной очереди и т.п.

Читайте также:  Как нужно хранить электронную цифровую подпись

Усиленная неквалифицированная — более надежная, по сравнению с простой. Чтобы ее получить потребуется пройти более сложный путь для зашифровки цифровой информации. Подпись генерируется путем криптографического преобразования с использованием ключа — для этого потребуется специальное программное обеспечение.

Усиленная квалифицированная — ее легальность обязательно подтверждается аккредитованным центром. Это означает, что для шифрования использовались средства криптозащиты, одобренные российской ФСБ. Факт удостоверения квалифицированной электронной подписи для ИП подтверждается соответствующим сертификатом. Эта ЭЦП для ИП для налоговой просто необходима — с ее помощью подписываются отчеты и другие важные документы.

Где используется эп

Физическим лицам ЭП может понадобиться для:

  • оформления заграничного паспорта;
  • записи в поликлинику;
  • подачи заявки на землю;
  • регистрации транспортного средства;
  • работы в личном кабинете налогоплательщика;
  • подачи налоговой отчетности, документов в фонд социального страхования и пенсионный;
  • получения сведений из органов Росреестра;
  • других государственных услуг.

Юридические лица используют ЭП в следующих целях:

  1. Электронные торги.

Цифровой автограф необходим для аккредитации на специализированных электронных торговых площадках, для заверения документов на участие в тендерах, подачи ценового предложения, подписания контракта.

  1. Электронный документооборот.

ЭП позволяет обмениваться по интернету с контрагентами юридически значимыми документами – актами, договорами, счетами-фактурами. Ее также используют внутри компании для отправки информации сотрудникам.

  1. Электронная отчетность.

Использование ЭП в ежеквартальных отчетах для контролирующих органов позволяет отправлять документы по интернету. Такая схема гарантирует конфиденциальность данных и экономит время.

Где получить электронную подпись

ЭП выдают удостоверяющие центры, имеющие специальную лицензию от отдела ФСБ. В их компетенции – изготовление сертификата и ключа проверки ЭП, их аннулирование, приостановление, возобновление по запросу владельца, проверка уникальности и другие задачи, связанные с использованием электронной подписи.

Прежде чем выдать ключ и сертификат, удостоверяющий центр проверяет подлинность данных о заявителе и его полномочия. Если документы в порядке и предоставленная информация достоверна, обратившийся получает сертификат – своеобразный паспорт участника документооборота. Именно он подтверждает право юридического или физического лица на закрытый ключ и электронную подпись.

Информационный шум: «хайп» сми или реальная проблема рынка?

Ряд громких заголовков на тему того, что из-за цифровизации люди лишаются жилья — это прием, при помощи которого средства массовой информации за счет якобы шок-контента пытаются привлечь к себе внимание. Ведь перекос в сторону повышенной опасности электронных методов взаимодействия наряду с «бумажными сделками» искусственный, вызванный новизной темы.

Вместе с  этим не стоит умалять важность обозначенной проблемы: выпуск электронной подписи в результате развертывания мошеннической схемы и дальнейшее ее использование преступниками может повлечь за собой серьезные последствия для «владельца ЭП».

Как ип обезопасить себя при получении или передаче электронной подписи

В эру бешеного развития технологий и немедленного претворения их в жизнь может случиться и такое, что в погоне за скоростью теряется бдительность. Так, некоторые сертификационные центры начали практиковать выдачу сертификата электронной подписи для ИП другим лицам.

Бывает, что заявление на получение электронной цифровой подписи поступает в такой центр по интернету, заверенное ЭЦП стороннего лица (к примеру — директора или главного бухгалтера предприятия). Таким же способом может передаваться уже сформированный пароль и сертификат электронной подписи. В этом случае очень высоки риски появления мошеннических схем.

А самым распространенным случаем неправомерного использования ЭЦП является ее передача стороннему лицу для заверения сделки, оформления документации, передачи отчетности в налоговую, использования клиент-банка. Этим грешит большинство предпринимателей, которые доверяют право подписи бухгалтерам, юристам.

Как от этого защититься?

Защиты во всех сферах, к сожалению, нет, т. к. с внедрением «электронного правительства» появляется всё больше мест, где можно осуществить операции с помощью ЭЦП. Но, в частности, защититься от регистрации юридических лиц по ЭЦП можно. Есть так называемая «38-я форма», а если быть точнее форма 38001, заполнив которую, можно запретить регистрацию юр. лиц, без личного присутствия.

К сожалению, налицо — законодательная дыра, которой пользуются мошенники, и пока не ужесточат контроль за выпуском ЭЦП, такие ситуации будут случаться только чаще.

Как уберечься от мошенников при использовании протокола безопасности

Как получить электронную подпись для ИП без риска? Только лично. Не доверяйте никому оформлять ЭЦП в сертификационных центрах, не разрешайте подписывать документы, используя вашу подпись. Даже если этот человек — ваш бухгалтер, не стоит доверять так безгранично, ведь существует еще и человеческий фактор.

Пароль может подсмотреть чужой человек, он может скопировать и ключ, данные могут быть перехвачены при пользовании общественными сетями или при заражении оргтехники вирусами. Учтите все эти нюансы и установите для себя правила — так называемый протокол безопасности, придерживайтесь их.

Личная защита

Обезопасить от таких преступлений могут не только новые поправки, но и внимательность самих  граждан. Во-первых, нужно бережно хранить документы с персональными данными и не передавать их посторонним. Во-вторых, обратиться в налоговую с заявлением о запрете регистрировать юридические лица на свое имя без личного присутствия.

Внимательно нужно относиться и ко всем электронным платежам: ограничить их суммы и подключить СМС-информирование обо всех операциях по счету. Кроме того, получать ЭЦП лучше в крупных удостоверяющих центрах, которые имеют положительную репутацию. Управляющий партнер АБ «Павел Хлюстов и партнеры» Павел Хлюстов советует постоянно проверять сведения из реестров, в которых зарегистрированы права на имущество.

Если без вашего ведома все же провели какую-то операцию с помощью электронной подписи, то на практике это можно доказать с помощью интернет-трафика. Он покажет, что в конкретный день и час пользователь не выходил в сеть со своего устройства, которое обычно использует для проведения таких операций, говорит Новиков.

А главное – чтобы уменьшить число подобных махинаций, надо совершенствовать законодательство, констатирует управляющий партнер Федеральный рейтинг.группаСемейное и наследственное правогруппаТрудовое и миграционное право (включая споры)группаУголовное право Дмитрий Солдаткин.

Он считает необходимым установить требование об обязательном личном присутствии заявителя или его представителя при оформлении ЭЦП. Пока же ирония заключается в том, что использование электронной подписи настолько же упрощает жизнь, насколько усложняет процесс доказывания того факта, что отчуждение имущества совершил не ее владелец, резюмирует Виктор Ушакевич из Региональный рейтинг..

Ненадежные центры выдачи подписей и опасные вирусы

По статистике СРО «Микрофинансирование и развитие», в первой половине 2021 года каждая седьмая жалоба (15,4%) на работу микрофинансовых организаций касалась выдачи займов на третье лицо с помощью электронных подписей. За аналогичный период прошлого года цифра составляла всего 4,7%.

Число подобных преступлений растет в том числе и по вине сотрудников удостоверяющих центров, которые выдают подписи. Директор правового департамента Минкомсвязи Роман Кузнецов рассказывал «Известиям», что их ведомство регулярно проверяет такие компании и штрафует либо лишает аккредитации за выявленные нарушения.

Более того, есть удостоверяющие центры, которые специально созданы для мошеннических схем, уверяет Алексей Лукацкий, консультант по безопасности Cisco Systems: «Вы вообще не в курсе, что кто-то оформляет за вас что-то. Мошенник и номер свой укажет, чтобы ему приходили уведомления, а не вам».

Минкомсвязь требует сократить число таких центров до 10–15 организаций и ввести для их работников уголовное наказание за ряд нарушений. Сейчас предусмотрена лишь административная ответственность для удостоверяющих центров. Если специализированная компания нарушила порядок выдачи электронной подписи, то ее могут оштрафовать на 10 000–30 000 руб. (ст. 13.33 КоАП).

Другой популярный способ, который используют мошенники, – воспользоваться уже выпущенными электронными подписями, принадлежащими добросовестным пользователям. Самая простая схема, когда сотрудник предприятия использует ЭЦП фирмы, чтобы похитить деньги организации.

В практике адвоката Алексея Сердюка из Федеральный рейтинг.группаУголовное право был кейс, где подобное преступление совершила главный бухгалтер компании, проработавшая там более 10 лет.

Сотрудница, никогда не имевшая нареканий, через «банк-клиент» перевела средства фирмы на подконтрольные ей счета других обществ. Расследование этого дела заняло 2,5 года, говорит юрист. Хотя злоумышленница получила четыре года лишения свободы, но похищенные деньги вернуть так и не удалось.

Есть и более хитрые схемы, когда создают программы-вирусы, которые заражают компьютеры пользователей. Это происходит, когда те при посещении сайтов нажимают на всплывающие «окна» либо открывают письма от подозрительных отправителей. Вредоносное приложение может загрузиться и на компьютер главного бухгалтера фирмы, предупреждает старший юрист Федеральный рейтинг.группаУголовное право Дмитрий Алексашин.

Когда финансист будет отправлять очередную платежку в банк, вирус автоматически изменит реквизиты получателя платежа на счета мошенников. И подписанный электронной подписью документ подтвердит отправку денег фирмам-однодневкам, которые контролируются злоумышленниками, объясняет эксперт.

Потерять квартиру или стать собственником «однодневки»

Получить такую подпись можно в одном из 500 удостоверяющих центров. В некоторых организациях процедуру проведут через интернет без личного присутствия. Как выяснило издание 47News, оформить ЭЦП на другого человека очень просто.

Если известны СНИЛС и данные паспорта, то достаточно нескольких тысяч рублей и фотошопа. Журналист Юлия Гильмшина приобрела подпись за генерального директора издания. Третья фирма, куда она обратилась, пошла навстречу сотруднику, чей шеф «не хочет заниматься бюрократией». В итоге журналисту выдали ЭЦП на человека, который сам никуда не обращался и по легенде ничего не знал.

Подобные ситуации оказались возможны из-за пробела в законодательстве, объясняет Никита Роженцов из Федеральный рейтинг.группаГЧП/Инфраструктурные проектыгруппаРазрешение споров в судах общей юрисдикциигруппаУголовное правогруппаБанкротство (включая споры)Профайл компании:

Читайте также:  ЭЦП заказчика для коммерческих торгов

«Удостоверяющий центр обязан установить личность получателя сертификата, но способ такой процедуры не регламентирован». Эта правовая неопределенность не позволяет однозначно определить, кто именно обращался в аккредитованную компанию за подписью – реальный владелец паспорта или злоумышленник с украденной ксерокопией.

О смене собственника пострадавший узнал лишь после того, как получил очередную квитанцию с неизвестной фамилией. Теперь Салтовский возвращает квартиру в судебном порядке, он требует признать спорный договор дарения недействительной сделкой (дело № 02-3237/2021).

Параллельно полиция ищет злоумышленников, которые провернули такое мошенничество. С помощью таких схем на гражданина могут зарегистрировать и целые компании. На Павла Зимакова и его супругу оформили три фирмы в разных российских регионах, а также взяли кредиты в микрофинансовых организациях. В этом деле сейчас тоже разбираются сотрудники правоохранительных органов.

Предотвратить

Редакция Единого портала Электронной подписи обратилась в ФНС России за официальными разъяснениями. Рекомендации ведомства, касательно того, как обезопасить себя от мошеннических схем, в том числе с использованием электронной подписи, представлены ниже.

В случае, если гражданин России опасается незаконного использования своих паспортных данных третьими лицами, он вправе (п.6 ст.9 129-ФЗ) направить в регистрирующий орган письменное Возражение относительно предстоящей государственной регистрации изменений устава юридического лица или предстоящего внесения сведений в единый государственный реестр юридических лиц (ЕГРЮЛ) по форме, утвержденной уполномоченным Правительством РФ федеральным органом исполнительной власти.

Форма Возражения утверждена Приказом № ММВ-7-14/72@ и доступна на официальном сайте ФНС и в правовых системах «Гарант» и «Консультант Плюс» (Приложение №2 к Приказу, форма № 38001).

Заполненное письменное Возражение можно направить в регистрирующий орган 3 способами:

1 — почтой — почтовым отправлением с объявленной ценностью при пересылке с описью вложения, в котором подлинность подпись заинтересованного физического лица должна быть засвидетельствована в нотариальном порядке;

2 — лично через регистрирующий орган или МФЦ — при непосредственном предъявлении физическим лицом заявления должен быть предъявлен документ, удостоверяющий его личность (паспорт);

3 — онлайн — электронный документ (в виде файла формата Excel, TIF, PDF), подписанный УКЭП, направляется через интернет с использованием специализированного бесплатного программного обеспечения, размещенного на официальном сайте ФНС в разделе «Подача документов в электронном виде на государственную регистрацию».

Порядок направления в регистрирующий орган при государственной регистрации юридических лиц, крестьянских (фермерских) хозяйств и физических лиц в качестве индивидуальных предпринимателей электронных документов с использованием информационно-телекоммуникационных сетей общего пользования, в том числе сети Интернет, включая единый портал государственных и муниципальных услуг утвержден Приказом ФНС России № ЯК-7-6/489@.

Профилактика от законодателя

Есть две основные причины, из-за которых происходят подобные преступления, считает Сердюк. Во-первых, недостаточная идентификация работниками удостоверяющих центров своих клиентов и безответственное отношение самих держателей ЭЦП к «ключам». С первой проблемой уже ведет борьбу законодатель.

В конце июля Госдума приняла закон, по которому собственнику жилья надо будет обратиться в Росреестр и лично одобрить переход права на квартиру в электронной форме (либо нотариальное заявление по почте). Тогда регистрирующий орган внесёт в реестр специальную отметку.

Как новый закон защитит от кражи квартир с ЭЦП

Но руководитель практики «Недвижимость. Земля. Строительство» Федеральный рейтинг.группаАрбитражное судопроизводство (средние и малые споры — mid market)группаКомплаенсгруппаСемейное и наследственное правогруппаИнтеллектуальная собственность (включая споры)группаРазрешение споров в судах общей юрисдикциигруппаТрудовое и миграционное право (включая споры)группаУголовное правогруппаАнтимонопольное право (включая споры)группаВЭД/Таможенное право и валютное регулированиегруппаЗемельное право/Коммерческая недвижимость/СтроительствогруппаКорпоративное право/Слияния и поглощениягруппаМеждународный арбитражгруппаТМТ (телекоммуникации, медиа и технологии)группаФинансовое/Банковское правогруппаБанкротство (включая споры)группаНалоговое консультирование и споры (Налоговое консультирование)Профайл компании Сергей Попов полагает, что эти поправки не смогут серьезно помешать похитителям квартир:

«Чтобы получить электронную подпись, надо пройти проверку личности получателя, то есть без подлога на этом этапе мошенникам также не обойтись. Что создает закон? Лишь один новый этап для подлога и мошенничества». Если у преступников хватает изобретательности получить электронную подпись собственника, то они могут подать в Росреестр и уведомление о возможности регистрации с помощью ЭЦП, предупреждает Попов.

Еще одна законодательная инициатива устанавливает требования к порядку аккредитации и деятельности удостоверяющих центров (УЦ). Для них хотят установить минимальный размер уставного капитала не менее 1 млрд руб., а если филиалы есть не менее чем в трех четвертях субъектов России, то 500 млн руб.

Кроме того, такие компании должны иметь высокий порог страховой ответственности своей деятельности. Срок аккредитации центра сократится до трех лет. При этом юридическим лицам электронные подписи будет выдавать УЦ Федеральной налоговой службы, а кредитным организациям – УЦ Центробанка.

Урок безопасности: наглядные схемы/случаи мошенничества с электронными подписями

Чтобы понять, насколько опасно игнорировать нормы безопасности при использовании ЭЦП, узнайте о громких случаях мошенничества с нею:

1. В Москве преступниками была переоформлена квартира, расположенная на улице Тверской. Хозяин квартиры узнал о незаконной сделке, когда начал получать коммунальные счета, выписанные на чужое имя.
2. Гражданин узнал, что возглавляет несколько фирм, обросших непомерными долгами. И при этом сам «бизнесмен» никогда не оформлял цифровую подпись.

Разберем подробнее один из случаев, чтобы вооружиться знаниями и не допустить подобного происшествия.

Владелец квартиры по имени Роман незадолго до случая с мошенничеством оформил на себя право собственности, получив квартиру в дар от собственного отца. При этом электронную подпись он не оформлял, а подписывал все документы лично. Но по документам квартира была передарена якобы самим Романом незнакомому ему человеку, сделка оформлялась с использованием ЭЦП.

Такой способ оформления дарственной (без участия нотариуса) не является запрещенным. Отсюда вопрос — как мошенники смогли получить электронную подпись Романа?

Они воспользовались порталом Госуслуги и взломали личный кабинет Романа. Тот заметил попытку взлома и сообщил администраторам ресурса, но те не нашли ничего подозрительного. Украденные из кабинета данные задействовали для оформления ЭЦП. Кроме того, возможно, что в схему был вовлечен и сотрудник одного из удостоверяющих центров.

Чтобы избежать участи, постигшей Романа, следует быть настойчивее при обнаружении взлома. Кроме того, чтобы обезопасить свою недвижимость, подайте в ближайший МФЦ заявление о запрете проведения удаленных операций со своим имуществом. Чтобы обезопасить себя от возможности «случайно» возглавить несколько сомнительных фирм, оставьте аналогичную заявку в налоговой (заполните форму Р38001).

Эпилог

Инфраструктура открытых ключей, которую необходимо разворачивать при использовании неквалифицированной и квалифицированной электронной подписи, сложна в практическом использовании для большинства людей, чьи интересы лежат вне сферы IT. Простая электронная подпись – это довольно удобная альтернатива инфраструктуре открытых ключей, главным образом, для физических лиц, а также во внутреннем электронном документообороте между сотрудниками организации.

Но, как и в любом процессе, в процедуре подписания ПЭП существуют некоторые нюансы. Надеюсь, эта статья поможет всем заинтересованным лицам увидеть эти подводные камни, и учесть их в проектировании инфраструктуры электронной подписи.

Памятка для ип: как без риска использовать электронную подпись

Помните, что существует вероятность компрометации подписи и на этапе ее получения, и потом при использовании. Всегда храните накопитель с ключом и пароль в надежном месте, не пользуйтесь ЭЦП в сети, подключенной через общественный Wi-Fi.

Чтобы защитить цифровую подпись ИП, необходимо разработать свод правил и неукоснительно им следовать:

1. Держите свои документы при себе (паспорт, документы о присвоении ИНН, СНИЛС) или в защищенном месте. Не давайте посторонним людям хотя бы временный доступ к ним, не разрешайте неустановленным лицам снимать с них копии.

2. Пользуйтесь ЭЦП для ИП персонально, не доверяйте бухгалтеру или другому лицу подписывать и отправлять документы от вашего имени.

3. Запарольте свой USB-токен, на котором хранится ключ, чтобы он блокировался после трех неудачных попыток.

4. Уведомляйте удостоверяющий центр о каждом случае компрометации ключа (по причине утери флешки с ключом, увольнения сотрудника, имевшего доступ к ключу, взлома компьютера и т.д.).

5. Если удостоверяющий центр игнорирует обращение, пишите жалобу в Минкомсвязи или ФСБ. И, если проблема так и не решилась, обращайтесь в суд.

Пользуйтесь благами цивилизации, развивайте свой бизнес. Но будьте крайне осторожными не только с бумажными документами, но и с цифровыми данными и носителями информации.

В качестве заключения

Призываем участников цифровой экономики не подвергаться панике. Как уже говорилось выше, мошеннические схемы были распространены и в старом «бумажном» мире, закономерно, что они пытаются укорениться и в электронном. Ввиду того, что цифровая экономика обладает большей прозрачностью, шансы вычислить преступников и предотвратить аналогичные действия стали выше.

Конечно, это слабое утешение для тех, кто стал жертвой онлайн мошенников и вынужден тратить свое время и нервы на то, чтобы добиться правды. В связи с этим выражаем надежду, что готовящиеся поправки к 63-ФЗ «Об электронной подписи» сделают цифровую среду более безопасной. Будем держать вас в курсе!

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Adblock
detector