А кредит оформить могут?
В мае появились первые случаи мошенничества с оформлением кредита при помощи простой ЭП. Кредит оформляли сами владельцы подписей, а сотрудники банков добавляли к договору дополнительные услуги, о которых люди не знали. Из-за этого существенно вырастал долг по кредиту.
Остановить прогресс невозможно, поэтому держите руку на пульсе. Чем раньше вы обнаружите обман, тем быстрее сможете наказать мошенников и исправить ситуацию.
Пришла беда — отворяй наш канал на Дзене.
Варианты мошенничества с электронной подписью
03 августа 2021
Цифровая экономика не только обеспечивает участников новыми возможностями, но и создает новые риски. Нестареющее правило «предупрежден — значит вооружен» здесь как никогда актуально.
Электронная подпись — это инструмент, снабженный максимальной «броней» от компрометации. Конечно, при условии ее корректного использования владельцем и недопущения злоумышленника к критическим точкам. Но даже это не мешает преступникам находить лазейки и использовать пресловутый человеческий фактор, позволяющий противоправно обогащаться за счет других.
***
Справочно:
Для понимания материала необходимо владеть базовой терминологией и понимать принципы работы электронной подписи. Если в этих знаниях имеются пробелы, то их легко восполнить с помощью статьи «Что такое электронная подпись — простым языком для новичков мира цифровой экономики».
***
Преступных схем огромное количество, иногда удивление вызывает фантазия мошенников, а иногда наивность владельцев ЭП.
Варианты мошенничества с электронной подписью:
1) Физические преступления— для развертывания мошеннической схемы необходим контакт преступника с носителем.
1.1. Кража носителя — простая, как 5 копеек, схема, когда преступник похищает usb-токен, что позволяет ему свободно использовать чужую электронную подпись.
Нейтрализация:
— установка пользовательского пароля— напомним, что носители выпускаются со стандартными заводскими паролями, которые находятся в свободном доступе в интернете и, соответственно, их важно заменить на числовую комбинацию, известную только владельцу. После 3 попыток злоумышленника подобрать пароль, usb-токен заблокируется.
1.2. Добровольная передача своей ЭП другому лицу — исходя из безграничного доверия, а скорее всего из-за непонимания возможных последствий, уполномоченные лица вместо делегирования прав совершать определенные действия передают подчиненным свою электронную подпись. Случаи, когда главные бухгалтера приводили компании к грани банкротства, выводя капитал с помощью ЭП директоров, до сих пор происходят с завидной регулярностью. Мошенническая схема может быть развернута и одномоментно, и отложено. Одномоментно — злоумышленник может использовать электронную подпись непосредственно во время нахождения у него чужого usb-токена. Отложено — в случае если закрытый ключ ЭП является извлекаемым, преступник может скопировать его и использовать в дальнейшем, уже после возврата носителя владельцу.
Нейтрализация:
— никогда, никому и ни при каких обстоятельствах не передавать свою электронную подпись — наверное, самое простое правило, которым, к сожалению, часто пренебрегают. Обычно отговоркой служит желание сэкономить денежные средства в размере стоимости ЭП и время, необходимое на оформление доверенности. Но нельзя забывать насколько это малые величины в сравнении с рисками.
Примечание: в разделе «Статьи» доступен отдельный материал, посвященный недопустимости передачи электронной подписи другим лицам.
1.3. Наличие на токене недекларированных возможностей («закладок») — получение несертифицированных ключевых носителей из ненадежных источников чревато наличием в программном обеспечении не заявленных в документации включений. Через эти «кротовые норы» преступники могут похитить закрытый ключ электронной подписи.
Нейтрализация:
— приобретение сертифицированных ФСТЭК носителей — удостовериться в отсутствии «закладок» можно с помощью просвечивания usb-токена рентгеном, что осуществляется в лабораториях Федеральной службы технического и экспортного контроля. Если в результате исследования не было выявлено «закладок», то ключевой носитель признается безопасным и на него выпускают сертификат ФСТЭК.
2) Технологичные преступления — для реализации подобных противоправных схем от мошенников в первую очередь требуются навыки в области IT-технологий и информационной безопасности.
2.1. Внедрение злоумышленника в «машину» владельца электронной подписи — мошенник, получивший доступ к компьютеру или ноутбуку жертвы может похитить ключ, скопировав его, в случае если он извлекаемый, или использовать ЭП без ведома владельца. Например, шпионская программа (Remote Access Tool или сокращенно RAT — на слэнге некоторых IT-специалистов «крыса») может перехватывать параметры вызовов функций, данные, которыми обмениваются приложения и прочее. Соответственно, это позволит преступнику узнать пароль токена и получить доступ к электронной подписи, хранящейся на нем.
Нейтрализация:
— выполнение правил информационной гигиены — не переходить по подозрительным ссылкам (обратите внимание, что в письме может быть написан адрес надежного сайта, но при наведении курсором может высветиться совершенно другой адрес гиперссылки), не скачивать программы и файлы из ненадежных источников, не пользоваться потенциально зараженными флешками, установить на компьютер или ноутбук антивирусную программу и прочее. Кроме этого, следует упомянуть о важности корректной работы службы администрирования и информационной безопасности в компаниях.
2.2. Компрометация канала связи «токен-машина» — если злоумышленник проникает в канал передачи данных от usb-токена к компьютеру или ноутбуку, то это грозит, в зависимости от типа ключевого носителя, и компрометацией пароля, и компрометацией ключа.
Нейтрализация:
— выполнение правил информационной гигиены ФКН — способ предотвратить реализацию подобной схемы, аналогичен предыдущему. В качестве дополнительного средства обезопасить электронную подпись от компрометации можно упомянуть функциональный ключевой носитель (ФКН). ФКН отличается тем, что разделяет вычисления во время генерации ЭП между пользовательским приложением и токеном таким образом, что данные, которые передаются по каналу связи, не позволят преступнику сделать никаких выводов ни о ключе, ни о пароле.
3) Социальные преступления — мошеннические схемы, основанные на личных качествах людей, их способности имитировать других, вводить в заблуждение, подделывать документы. Подобные нарушения в большинстве своем сложно предупредить, но всем действующим и потенциальным владельцам ЭП нужно знать, что рынок нашел способ борьбы и с подобными преступлениями.
3.1. Получение электронной подписи другим человеком — преступник может завладеть документами нужного лица (найти, украсть) и, используя максимально похожего на него соучастника, получить ЭП.
UPD: Теперь можно проверить, выпущены ли на вас КЭП. С инструкцией «Как узнать о выпущенных на вас электронных подписях» можно ознакомиться по ссылке.
Нейтрализация:
— ответственное отношение к документам — необходимо хранить документы в надежных местах, а в случае их кражи незамедлительно сообщать в правоохранительные органы. Наличие заявления о потере или о краже будет дополнительным аргументов в случае судебного разбирательства по неправомерному выпуску ЭП и совершению значимых действий с ней. Доказательством того, что пострадавшее лицо не заполняло заявки на получение электронной подписи, будет графологическая экспертиза подписи.
3.2. Получение электронной подписи по поддельным документам и доверенности — регламент рынка электронной подписи подразумевает обязательную личную явку при первичном получении ЭП, а при повторном выпуске забрать ее можно, предоставив копии необходимых документов и доверенность. Этим и могут воспользоваться мошенники, подделав бумаги.
3.3. Недобросовестность сотрудников удостоверяющих центров — как и в любой системе, будь то правоохранительная, судебная или любая другая, ее рядовые пользователи зависят от тех, кто наделен полномочиями. Вот он наиболее негативный человеческий фактор — беззащитность перед находящимся «внутри» преступником. При подобных проникновениях любая система выходит из равновесия, и одна из самых надежных и легко приводимых в норму — это система выпуска электронной подписи.
Нейтрализация схем 3.2. и 3.3.:
— ответственное выполнение сотрудниками УЦ своих обязанностей — в этих случаях предотвращение возможно только внутри удостоверяющих центров при помощи слаженной работы менеджеров, выпускающих ЭП, служб информационной безопасности, подбора персонала и коллег потенциального злоумышленника, что и происходит на современном рынке ЭП. Но это по-прежнему не исключает человеческого фактора на 100%.
Но почему же эта система одна из самых надежных и легко приводимых в норму?
Во-первых, потому что удостоверяющие центры ввиду своей материальной ответственности крайне внимательно относятся к проверке документов заявителей, таким образом, минимизируя риски.
Во-вторых, существует внешняя система контроля деятельности удостоверяющих центров, выстроенная государственными структурами. Для начала деятельности УЦ должны получить лицензию ФСБ России, которая подтвердит их соответствие строгим требованиям службы. В случае если удостоверяющие центры планируют выпускать квалифицированную электронную подпись, то они также обязаны пройти аккредитацию при Минкомсвязи. УЦ, которые заинтересованы в работоспособности выпущенных ЭП во всем информационном пространстве страны, также проходят процесс авторизации при Ассоциации Электронных Торговых Площадок. Помимо этих стартовых процедур ФСБ, Минкомсвязи и АЭТП проводят ежегодные проверки деятельности удостоверяющих центров.
В-третьих, высокое качество персонала УЦ, например, чтобы получить лицензию ФСБ, в штате обязательно должны быть специалисты с профильным высшим образованием или окончившие 500-часовые курсы дополнительной подготовки. Отбор сотрудников удостоверяющих центров строгий, требуется специализация на соответствующем виде деятельности, заработные платы конкурентоспособны. Все это также является сдерживающими факторами, ведь решение поставить все на кон ради однократного преступного обогащения, которое в любом случае будет раскрыто, совсем не соответствует психологическому портрету высококлассного специалиста.
Предложение по улучшению системы выдачи ЭП от портала ecpexpert.ru: на текущий момент проверка предоставляемых заявителями документов проводится силами сотрудников УЦ. СМЭВ и ЕСИА могут оптимизировать эту работу. Напомним, что СМЭВ — это система межведомственного взаимодействия, в которой циркулируют документы россиян между государственными структурами (МВД, ФНС и т.д.); ЕСИА — это единая система идентификации и аутентификации, которая является частью СМЭВ, с ее помощью можно подтверждать свою личность в различных структурах (банки, удостоверяющие центры и т.д.). Таким образом, предоставление удостоверяющим центрам расширенного доступа к ЕСИА позволит еще быстрее и точнее подтверждать личность заявителей и проверять документы.
Бонус: Схемы-«единороги»
Добавим пару слов о несуществующих схемах, которыми могут пугать новичков мира электронной подписи.
1) ЭП могут скопировать с подписанного электронного документа.
Комментарий редакции портала ecpexpert.ru: нет, не могут.
2) Теория заговора удостоверяющих центров, которые используют электронные подписи своих клиентов.
Комментарий редакции портала ecpexpert.ru: выше уже была приведена аргументация, почему это не так.
3) Закрытый ключ ЭП могут подобрать с помощью открытого, что позволит мошенникам использовать подпись.
Комментарий редакции портала ecpexpert.ru: длинна ключа составляет 256 бит и, на самом деле, закрытый ключ можно рассекретить методом подбора, используя открытый ключ, но мощности современной вычислительной техники, включая суперкомпьютеры, не позволят этого сделать раньше, чем закончится срок действия ЭП.
Комфортной Вам работы с электронной подписью. А если остались вопросы, то специалисты портала ecpexpert.ru готовы на них ответить в соответствующей рубрике.
Upd. от 08.07.2021: Рекомендуем также ознакомиться со статьей портала ecpexpert.ru “«Самооборона» на рынке электронной подписи: как противостоять мошенникам“.
Жертва подписи
В большинстве случаев банк получил согласие клиента на присоединение к коллективному договору страхования путем простой электронной подписи — это тот самый код из СМС, который клиент называет операционисту во время визита в банк. Один из пользователей показал корреспонденту Банки.ру заявление о присоединении к коллективному договору страхования жизни и здоровья.
Внизу действительно стоит отметка «Документ подписан простой электронной подписью — код из СМС 20.11.2021». Только клиент, по его словам, в тот день про страховку ничего не слышал. Сам документ он увидел впервые спустя несколько месяцев — получил из архива, когда пришел разбираться, кто и каким образом подключил ему платную услугу.
Банки.ру удалось связаться с девятью клиентами, которые столкнулись с «тайной» страховкой. Большинство из них утверждают, что получали стандартные СМС во время визита в банк: расписка в получении банковской карты, активация карты, подписание отчета о сессии и так далее.
Информации о подключении к услуге страхования и ее стоимости, по их словам, в этих сообщениях не было. Лишь один из пользователей, который получал кредитку еще в декабре 2021 года, нашел соответствующее сообщение: «Сообщите номер **** сотруднику банка для подписания заявления на включение в коллективный договор страхования». Однако на содержание СМС клиент внимания не обратил — по привычке назвал код, не читая текста.
«В банке тестировали новый сервис, который позволял клиенту подписать договор с помощью электронной подписи при личном присутствии клиента, при этом в СМС-сообщении указывалась полная информация о предоставляемой услуге и ее стоимости», — утверждают в пресс-службе Альфа-Банка.
Как защитить себя и электронную подпись?
Чтобы выжить в «цифровом мире», придётся играть по его правилам.
a. Относитесь к флэшке ответственно, храните её в надёжном месте.
b. Оставляйте сканы документов только в государственных органах, просите не снимать копии с паспорта частных охранников для пропуска.
c. Проверяйте записи о собственниках юрлиц на ФНС, воспользуйтесь разделом «Электронные сервисы», страница «Риски бизнеса: проверь себя и контрагентов».
d. Внимательно проверяйте ФИО на квитанциях ЖКХ.
e. Проверяйте кредитную историю хотя бы раз в полгода: два раза в год это можно сделать бесплатно.
f. Отслеживайте информацию на портале Госуслуг о своей собственности. Если кто-то попытался взломать ваш аккаунт и пришло уведомление — бейте тревогу и пишите службе безопасности.
j. Возникли подозрения — берите выписку из ЕГРН.
Какие преимущества у эп?
В первую очередь — это экономия вашего времени. Вы можете легко подписать любые бумаги и направить их по электронной почте в официальные ведомства. Например, вы можете подписать ЭП договор дарения и передать квартиру детям. Но одаряемые должны быть совершеннолетними и для сделки им понадобится свой ключ.
Каждый ключ уникален, он определяет авторство владельца. Криптозащиту квалифицированных ЭП сертифицирует ФСБ, их невозможно подделать. В основе подписи лежат сложные алгоритмы, ключ очень сложно вскрыть и он становится недействительным, если его взломал нерадивый злоумышленник.
Меня обманут с помощью эп?
Проблемы с ЭП действительно могут быть. Во-первых, если ключ-флэшку украдут. Тогда мошенники могут подписать любые документы от имени владельца ЭП. Например, тот же кредитный договор, если заём получают удалённо.
Первая электронная цифровая подпись в России появилась в 1994 году, но использовали её только госструктуры. А первая в истории «кража» квартиры с её помощью произошла в 2021 году. Москвич едва не остался без жилья из-за пробелов в законе об электронной подписи.
Мошенники получили доступ к персональным данным собственника и оформили по «липовой» нотариальной доверенности неквалицифицированную подпись в удостоверяющем центре. С помощью подписи злоумышленники через сайт Росреестра «передарили» квартиру жителя столицы некоему жителю Уфы.
Об эцп замолвите слово…
Электронная подпись — не росчерк на бумаге и не штрих-код. Это особый и уникальный набор символов, который защищён криптографиечскими механизмами. Набор знаков не повторим и хранит информацию о владельце. По сути, ЭП — это флэшка, на которой хранится код.
Подписью вы закрепляете любой электронный документ, ключ подтверждает, что бланк подписали именно вы. Исправить или отредактировать документ с ЭП нельзя. Самый надёжный вид, усиленная квалификационная подпись, приравнивается к ручной подписи и имеет 100% юридическую силу. Именно поэтому опасаются электронного ключа.
Пэп дает возможность злоупотребить
Практика использования цифровых способов подписания документов входит в моду на финансовом рынке. Все больше банков при оформлении продуктов в офисе предлагают подписание договора не на бумаге, а с помощью ПЭП. Однако такой способ не впервые выливается в проблемы для клиентов.
В мае Коммерсант обратил внимание на похожую ситуацию с кредитными заемщиками Почта Банка. При оформлении кредита с помощью ПЭП в офисе банка клиенты получали СМС-сообщения примерно следующего содержания: «Код подтверждения 1234. Платеж «С заботой о Вас!», 3000 руб.
В Почта Банке простую электронную подпись в виде кода из СМС считают безопасной для клиента. «Подобные операции производятся только при входящем обращении клиента (звонке, визите в отделение или в банковском чате), поэтому он может быть уверен, что общается именно с сотрудником банка и данные надежно защищены», — отмечают в пресс-службе кредитной организации.
Банк России, напротив, признает недостатки использования ПЭП. «Такой способ не противоречит нормам закона, но подписание кредитного договора с использованием ПЭП не исключает рисков злоупотребления сотрудниками банка своими полномочиями», — сообщает пресс-служба ЦБ.
Регулятор уже получает подобные жалобы: потребители не понимают, какие услуги они приобретают, сообщая электронный код сотруднику банка. «В случае выявления подобных практик Банк России проводит соответствующую надзорную работу с банками. В рамках осуществления превентивных мероприятий Банк России анализирует в том числе бизнес-процессы банков в целях их корректировки для предупреждения причин возможных злоупотреблений», — отмечают в пресс-службе ЦБ.
Клиентам банков ЦБ советует не называть код из СМС операционисту, пока тот не объяснит, к чему этот код относится и какой документ таким образом подписывается. «Независимо от способа заключения договора — с использованием ПЭП или без использования — потребитель вправе ознакомиться с условиями договора до подписания документов», — поясняет регулятор.
Так ли страшна эп?
Для бизнеса и предпринимателей подпись-ключ жизненно необходима. Она заверяет все документы, которые в электронном виде организация направляет в налоговую, Пенсионный фонд и другие ведомства. Для «физика» оформление подписи — добровольное. Но ключ практически на 100% сведет ваше общение с госструктурами в онлайн-формат. Вам не придётся даже документы лично подписывать — для этого есть ключ.
Боятся ЭП из-за незнания: многие думают, что электронную подпись кто-то скопирует или взломает. И тогда на обладателя ключа посыплются тоннами кредиты, долги и прочие неприятности. Это не так: ключ невозможно взломать, он создан на основе сложнейшего математического алгоритма.
