Варианты мошенничества с электронной подписью — Единый портал ЭП

Что делать, если потеряли электронную подпись

Если вы потеряли ключ от подписи или его украли, сразу обратитесь в удостоверяющий центр или МФЦ, который выдавал вам сертификат. Центр отзовет ваш сертификат, чтобы его не могли использовать мошенники. Еще обязательно сообщите об этом контрагентам, чтобы они знали, что вашей утерянной подписью могут воспользоваться злоумышленники.

Восстановить утерянный сертификат или ключ ЭП невозможно. Нужно получать новый: собирать документы и идти в удостоверяющий центр.

Как мошенники могут получить электронную подпись и что могут с ней сделать

С электронной подписью физлица мошенники могут подписать любые документы от имени владельца подписи, похитить квартиру или оформить микрозайм, перечисляет Казаков.

Завладев электронной подписью юрлица, злоумышленники могут возместить НДС организации, получить микрозайм, ликвидировать компанию или вывести из неё средства.

«Чаще всего электронные подписи юрлица в корыстных целях используют бухгалтеры или бывшие сотрудники, чьи служебные подписи экс-работодатель не успел вовремя отозвать», — указывает Казаков.

По его словам, мошенники могут получить электронную подпись двумя способами:

  • По поддельной доверенности. Злоумышленник приходит в удостоверяющий центр как курьер с поддельной доверенностью и с заверенными копиями документов «будущего владельца» подписи. Сотрудники центра проверяют реквизиты документов и личность курьера: если документы реальные, а курьера нет в «чёрном списке», то мошенник получит ЭП на чужое имя.
  • По поддельному паспорту. Злоумышленник может подделать паспорт физлица или руководителя компании и принести его в удостоверяющий центр. Качественную подделку смогут распознать только эксперты-криминалисты, поэтому сотрудники центра могут выдать мошеннику электронную подпись на имя другого человека.

Кроме этого, злоумышленники могут похитить носитель с электронной подписью — флешку, предупреждает Сергейчук из юрфирмы «Клифф».

Что делает правительство

Выдачей электронных подписей физическим и юридическим лицам занимаются коммерческие удостоверяющие центры (УЦ). Сейчас в реестре Минкомсвязи 493 УЦ, из них 403 с актуальной аккредитацией.

Осенью 2021 года Госдума приступит к рассмотрению законопроекта, который должен ужесточить правила выдачи электронных подписей. Цель поправок — повышение качества работы УЦ и сокращение вероятности мошенничества с электронными подписями, написано в пояснительной записке.

Также законопроект вводит институт доверенных третьих сторон — это организации, которые будут проверять электронные подписи в документах. Аккредитацией таких организаций займётся Минкомсвязи.

Законопроект также ужесточает правила получения электронных подписей юрлицами. Квалифицированные электронные подписи (КЭП) юрлицам сможет выдавать только удостоверяющий центр ФНС, а кредитным организациям — удостоверяющий центр ЦБ.

Электронные подписи физлицам продолжат выдавать коммерческие удостоверяющие центры, но законопроект ужесточает требования и к ним: их обяжут иметь капитал не менее 1 млрд рублей или не менее 500 млн рублей, если у центра есть филиалы минимум в трёх четвертях регионов.

ФНС объясняет необходимость ужесточения правил многочисленными нарушениям: с начала 2021 года по второй квартал 2021 года налоговая служба зафиксировала больше 43 тысяч случаев неправомерного использования КЭП, рассказывал представитель ведомства «Ведомостям».

Самое распространённое нарушение — выдача КЭП по фиктивным документам для регистрации юрлиц и ИП.

Что делать, если вы стали жертвой махинаций с эп:

Советы подготовлены на основе рекомендаций СКБ «Контур», юрфирмы «Клифф» и пользователя «Хабра» PaulZi, столкнувшегося с такой проблемой.

#электроннаяподпись

Что такое электронная подпись

Электронная подпись гарантирует, что документ подписал владелец электронной подписи. А неквалифицированная и квалифицированная подписи покажут, изменился ли документ после подписания.

Варианты мошенничества с электронной подписью

03 августа 2021

Варианты мошенничества с электронной подписью

Цифровая экономика не только обеспечивает участников новыми возможностями, но и создает новые риски. Нестареющее правило «предупрежден — значит вооружен» здесь как никогда актуально.

Электронная подпись — это инструмент, снабженный максимальной «броней» от компрометации. Конечно, при условии ее корректного использования владельцем и недопущения злоумышленника к критическим точкам. Но даже это не мешает преступникам находить лазейки и использовать пресловутый человеческий фактор, позволяющий противоправно обогащаться за счет других.

***

Справочно:

Для понимания материала необходимо владеть базовой терминологией и понимать принципы работы электронной подписи. Если в этих знаниях имеются пробелы, то их легко восполнить с помощью статьи «Что такое электронная подпись — простым языком для новичков мира цифровой экономики».

***
Преступных схем огромное количество, иногда удивление вызывает фантазия мошенников, а иногда наивность владельцев ЭП.

Варианты мошенничества с электронной подписью:

1) Физические преступления для развертывания мошеннической схемы необходим контакт преступника с носителем.

1.1. Кража носителя — простая, как 5 копеек, схема, когда преступник похищает usb-токен, что позволяет ему свободно использовать чужую электронную подпись.

Нейтрализация:

— установка пользовательского пароля напомним, что носители выпускаются со стандартными заводскими паролями, которые находятся в свободном доступе в интернете и, соответственно, их важно заменить на числовую комбинацию, известную только владельцу. После 3 попыток злоумышленника подобрать пароль, usb-токен заблокируется.

Читайте также:  Электронная подпись для iPad #эп / эцп #СЭД #ECMJ

1.2. Добровольная передача своей ЭП другому лицу — исходя из безграничного доверия, а скорее всего из-за непонимания возможных последствий, уполномоченные лица вместо делегирования прав совершать определенные действия передают подчиненным свою электронную подпись. Случаи, когда главные бухгалтера приводили компании к грани банкротства, выводя капитал с помощью ЭП директоров, до сих пор происходят с завидной регулярностью. Мошенническая схема может быть развернута и одномоментно, и отложено. Одномоментно — злоумышленник может использовать электронную подпись непосредственно во время нахождения у него чужого usb-токена. Отложено — в случае если закрытый ключ ЭП является извлекаемым, преступник может скопировать его и использовать в дальнейшем, уже после возврата носителя владельцу.

Нейтрализация:

— никогда, никому и ни при каких обстоятельствах не передавать свою электронную подпись — наверное, самое простое правило, которым, к сожалению, часто пренебрегают. Обычно отговоркой служит желание сэкономить денежные средства в размере стоимости ЭП и время, необходимое на оформление доверенности. Но нельзя забывать насколько это малые величины в сравнении с рисками.

Примечание: в разделе «Статьи» доступен отдельный материал, посвященный недопустимости передачи электронной подписи другим лицам.

1.3. Наличие на токене недекларированных возможностей («закладок») — получение несертифицированных ключевых носителей из ненадежных источников чревато наличием в программном обеспечении не заявленных в документации включений. Через эти «кротовые норы» преступники могут похитить закрытый ключ электронной подписи.

Нейтрализация:

— приобретение сертифицированных ФСТЭК носителей — удостовериться в отсутствии «закладок» можно с помощью просвечивания usb-токена рентгеном, что осуществляется в лабораториях Федеральной службы технического и экспортного контроля. Если в результате исследования не было выявлено «закладок», то ключевой носитель признается безопасным и на него выпускают сертификат ФСТЭК.

2) Технологичные преступления — для реализации подобных противоправных схем от мошенников в первую очередь требуются навыки в области IT-технологий и информационной безопасности.

2.1. Внедрение злоумышленника в «машину» владельца электронной подписи — мошенник, получивший доступ к компьютеру или ноутбуку жертвы может похитить ключ, скопировав его, в случае если он извлекаемый, или использовать ЭП без ведома владельца. Например, шпионская программа (Remote Access Tool или сокращенно RAT — на слэнге некоторых IT-специалистов «крыса») может перехватывать параметры вызовов функций, данные, которыми обмениваются приложения и прочее. Соответственно, это позволит преступнику узнать пароль токена и получить доступ к электронной подписи, хранящейся на нем.

Нейтрализация:

— выполнение правил информационной гигиены — не переходить по подозрительным ссылкам (обратите внимание, что в письме может быть написан адрес надежного сайта, но при наведении курсором может высветиться совершенно другой адрес гиперссылки), не скачивать программы и файлы из ненадежных источников, не пользоваться потенциально зараженными флешками, установить на компьютер или ноутбук антивирусную программу и прочее. Кроме этого, следует упомянуть о важности корректной работы службы администрирования и информационной безопасности в компаниях.

2.2. Компрометация канала связи «токен-машина» — если злоумышленник проникает в канал передачи данных от usb-токена к компьютеру или ноутбуку, то это грозит, в зависимости от типа ключевого носителя, и компрометацией пароля, и компрометацией ключа.

Нейтрализация:

— выполнение правил информационной гигиены ФКН — способ предотвратить реализацию подобной схемы, аналогичен предыдущему. В качестве дополнительного средства обезопасить электронную подпись от компрометации можно упомянуть функциональный ключевой носитель (ФКН). ФКН отличается тем, что разделяет вычисления во время генерации ЭП между пользовательским приложением и токеном таким образом, что данные, которые передаются по каналу связи, не позволят преступнику сделать никаких выводов ни о ключе, ни о пароле.

3) Социальные преступления — мошеннические схемы, основанные на личных качествах людей, их способности имитировать других, вводить в заблуждение, подделывать документы. Подобные нарушения в большинстве своем сложно предупредить, но всем действующим и потенциальным владельцам ЭП нужно знать, что рынок нашел способ борьбы и с подобными преступлениями.

3.1. Получение электронной подписи другим человеком — преступник может завладеть документами нужного лица (найти, украсть) и, используя максимально похожего на него соучастника, получить ЭП.

UPD: Теперь можно проверить, выпущены ли на вас КЭП. С инструкцией «Как узнать о выпущенных на вас электронных подписях» можно ознакомиться по ссылке.

Нейтрализация:

— ответственное отношение к документам — необходимо хранить документы в надежных местах, а в случае их кражи незамедлительно сообщать в правоохранительные органы. Наличие заявления о потере или о краже будет дополнительным аргументов в случае судебного разбирательства по неправомерному выпуску ЭП и совершению значимых действий с ней. Доказательством того, что пострадавшее лицо не заполняло заявки на получение электронной подписи, будет графологическая экспертиза подписи.

Читайте также:  Приказ Минфина России от 10 ноября 2015 г. № 174н "Об утверждении Порядка выставления и получения счетов-фактур в электронной форме по телекоммуникационным каналам связи с применением усиленной квалифицированной электронной подписи"

3.2. Получение электронной подписи по поддельным документам и доверенности — регламент рынка электронной подписи подразумевает обязательную личную явку при первичном получении ЭП, а при повторном выпуске забрать ее можно, предоставив копии необходимых документов и доверенность. Этим и могут воспользоваться мошенники, подделав бумаги.  

3.3. Недобросовестность сотрудников удостоверяющих центров — как и в любой системе, будь то правоохранительная, судебная или любая другая, ее рядовые пользователи зависят от тех, кто наделен полномочиями. Вот он наиболее негативный человеческий фактор — беззащитность перед находящимся «внутри» преступником. При подобных проникновениях любая система выходит из равновесия, и одна из самых надежных и легко приводимых в норму — это система выпуска электронной подписи.

Нейтрализация схем 3.2. и 3.3.:

— ответственное выполнение сотрудниками УЦ своих обязанностей — в этих случаях предотвращение возможно только внутри удостоверяющих центров при помощи слаженной работы менеджеров, выпускающих ЭП, служб информационной безопасности, подбора персонала и коллег потенциального злоумышленника, что и происходит на современном рынке ЭП. Но это по-прежнему не исключает человеческого фактора на 100%.

Но почему же эта система одна из самых надежных и легко приводимых в норму?

Во-первых, потому что удостоверяющие центры ввиду своей материальной ответственности крайне внимательно относятся к проверке документов заявителей, таким образом, минимизируя риски.

Во-вторых, существует внешняя система контроля деятельности удостоверяющих центров, выстроенная государственными структурами. Для начала деятельности УЦ должны получить лицензию ФСБ России, которая подтвердит их соответствие строгим требованиям службы. В случае если удостоверяющие центры планируют выпускать квалифицированную электронную подпись, то они также обязаны пройти аккредитацию при Минкомсвязи. УЦ, которые заинтересованы в работоспособности выпущенных ЭП во всем информационном пространстве страны, также проходят процесс авторизации при Ассоциации Электронных Торговых Площадок. Помимо этих стартовых процедур ФСБ, Минкомсвязи и АЭТП проводят ежегодные проверки деятельности удостоверяющих центров.

В-третьих, высокое качество персонала УЦ, например, чтобы получить лицензию ФСБ, в штате обязательно должны быть специалисты с  профильным высшим образованием или окончившие 500-часовые курсы дополнительной подготовки. Отбор сотрудников удостоверяющих центров строгий, требуется специализация на соответствующем виде деятельности, заработные платы конкурентоспособны. Все это также является сдерживающими факторами, ведь решение поставить все на кон ради однократного преступного обогащения, которое в любом случае будет раскрыто, совсем не соответствует психологическому портрету высококлассного специалиста.

Предложение по улучшению системы выдачи ЭП от портала ecpexpert.ru: на текущий момент проверка предоставляемых заявителями документов проводится силами сотрудников УЦ. СМЭВ и ЕСИА могут оптимизировать эту работу. Напомним, что СМЭВ — это система межведомственного взаимодействия, в которой циркулируют документы россиян между государственными структурами (МВД, ФНС и т.д.); ЕСИА — это единая система идентификации и аутентификации, которая является частью СМЭВ, с ее помощью можно подтверждать свою личность в различных структурах (банки, удостоверяющие центры и т.д.). Таким образом, предоставление удостоверяющим центрам расширенного доступа к ЕСИА позволит еще быстрее и точнее подтверждать личность заявителей и проверять документы.

Бонус: Схемы-«единороги»

Мошеннические схемы-"единороги"

Добавим пару слов о несуществующих схемах, которыми могут пугать новичков мира электронной подписи.

1) ЭП могут скопировать с подписанного электронного документа.

Комментарий редакции портала ecpexpert.ru: нет, не могут.

2) Теория заговора удостоверяющих центров, которые используют электронные подписи своих клиентов.

Комментарий редакции портала ecpexpert.ru: выше уже была приведена аргументация, почему это не так.

3) Закрытый ключ ЭП могут подобрать с помощью открытого, что позволит мошенникам использовать подпись.

Комментарий редакции портала ecpexpert.ru: длинна ключа составляет 256 бит и, на самом деле, закрытый ключ можно рассекретить методом подбора, используя открытый ключ, но мощности современной вычислительной техники, включая суперкомпьютеры, не позволят этого сделать раньше, чем закончится срок действия ЭП.

Комфортной Вам работы с электронной подписью. А если остались вопросы, то специалисты портала ecpexpert.ru готовы на них ответить в соответствующей рубрике.


Upd. от 08.07.2021: Рекомендуем также ознакомиться со статьей портала ecpexpert.ru ««Самооборона» на рынке электронной подписи: как противостоять мошенникам«. 

Где можно использовать электронную подпись

ПростаяНеквалифицированнаяКвалифицированная
Внешние и внутренние электронные документы
Документооборот с физическими лицами
Госуслуги
Документы для ИФНС в личном кабинете налогоплательщика
ПФР и ФСС
Арбитражный суд

Зачем нужна электронная подпись

Электронная подпись понадобится тем, кто собирается использовать в работе электронные документы, сдавать отчетность и получать услуги в интернете.

Все эти операции призваны облегчить жизнь представителям бизнеса — экономить на документообороте, меньше бегать по инстанциям, получать государственные услуги удаленно и т. п.

Читайте также:  Способы удалить сертификат из Windows: В помошь пользователю ITHELP32

О том, как еще обычный человек может использовать электронную подпись на практике, мы рассказывали в другой статье.

Как начать работать с квалифицированной электронной подписью

Чтобы начать работать с электронной подписью, необходимо подготовить свое рабочее место и приобрести сертификат подписи. Сертификат выдают быстро — в течение часа.

Еще для работы с квалифицированной подписью надо будет установить программу для криптозащиты информации (СКЗИ). Самые распространенные средства криптозащиты в России — это «Криптопро CSP», Signal-com CSP, «Лисси CSP», Vipnet CSP. Все они примерно одинаковые.

Какое конкретно СКЗИ потребуется и какие настройки будут нужны, вам скажут в удостоверяющем центре или МФЦ.

Как от этого защититься?

Защиты во всех сферах, к сожалению, нет, т. к. с внедрением «электронного правительства» появляется всё больше мест, где можно осуществить операции с помощью ЭЦП. Но, в частности, защититься от регистрации юридических лиц по ЭЦП можно. Есть так называемая «38-я форма», а если быть точнее форма 38001, заполнив которую, можно запретить регистрацию юр. лиц, без личного присутствия.

К сожалению, налицо — законодательная дыра, которой пользуются мошенники, и пока не ужесточат контроль за выпуском ЭЦП, такие ситуации будут случаться только чаще.

Как перевыпустить сертификат

Срок действия сертификата электронной подписи — год. Когда он подойдет к концу, выпустите новый сертификат. Для этого обратитесь с заявлением в удостоверяющий центр или МФЦ. Если в документах ничего не изменилось, нести их снова не нужно. Если какие-то документы поменялись, нужно принести оригиналы только этих документов.

Как подписать документ электронной подписью

Ваше СКЗИ добавляет в контекстное меню вашей операционной системы — Виндоус или Мак-ос — свой специальный раздел. Таким образом, можно подписать любой документ просто нажатием правой кнопки мыши. На сайте каждого СКЗИ можно найти подробную инструкцию, как подписывать документ.

Например, так работает процесс подписания с помощью программы «Крипто-АРМ»:

  1. Кликните правой кнопкой мыши по документу.
  2. Найдите пункт меню «Крипто-АРМ» и нажмите «Подписать».
  3. После этого запускается мастер создания электронной подписи, который подробно объяснит все дальнейшие шаги.
  4. В итоге рядом с документом появится новый файл документ.doc.sig — это и есть файл электронной подписи.
Запуск мастера создания электронной подписи с помощью «Крипто-АРМ» в Виндоус
Запуск мастера создания электронной подписи с помощью «Крипто-АРМ» в Виндоус

В результате документ становится недоступным для изменения, а рядом с ним в папке появится файл подписи в формате документ.doc.sig.

Если у вас установлена СКЗИ и есть подпись, то подписать документ можно прямо в ворде
Если у вас установлена СКЗИ и есть подпись, то подписать документ можно прямо в ворде

В «Гугл-докс» плагины для электронной подписи можно найти во вкладке «Дополнения».

Чтобы подписать документ в «Гугл-докс» с помощью плагина eSignGSA, найдите плагин в разделе «Дополнения» и установите его. Затем нажмите Start
Чтобы подписать документ в «Гугл-докс» с помощью плагина eSignGSA, найдите плагин в разделе «Дополнения» и установите его. Затем нажмите Start

Как приобрести подпись физическому лицу

Физическим лицам проще всего получить подпись в ближайшем МФЦ: рядом может не быть удостоверяющих центров, а МФЦ найдется всегда. Для этого надо записаться на прием и подготовить следующие документы:

  1. Заявление на изготовление квалифицированного сертификата — шаблон дадут в МФЦ.
  2. Паспорт.
  3. СНИЛС.
  4. Свидетельство о присвоении ИНН.

В Москве электронная подпись для граждан стоит 900—950 рублей. Вместе с носителем цена составит 1500—1600 Р. Отдельно носитель будет стоить от 1500 рублей. Эта цена отличается в зависимости от тарифа удостоверяющего центра и того, насколько защищенную подпись вы хотите использовать.

Как приобрести подпись юридическому лицу и ип

Юридические лица получают квалифицированные сертификаты подписи в удостоверяющем центре или МФЦ.

Как проверить подлинность подписи

Чтобы проверить подлинность подписи и неизменность документа, воспользуйтесь любым из бесплатных сервисов:

  1. Портал «Криптопро».
  2. Сайт госуслуг.
  3. Сервис «Контур-крипто».
На сайте «Криптопро» укажите путь к подписанному документу и подписи в специальном окне, и программа выдаст результат
На сайте «Криптопро» укажите путь к подписанному документу и подписи в специальном окне, и программа выдаст результат

Как устроена эп

Файл электронной подписи генерирует специальная программа — средство криптографической защиты информации (СКЗИ). Когда вы подпишете документ электронной подписью, эта программа просканирует документ. В итоге она создаст уникальное сочетание данных документа — хэш-сумму.

Сертификат закрытого ключа хранится у владельца на любом удобном носителе: на компьютере, внешнем диске или токене — специальной защищенной флешке, которую можно носить с собой. Еще подпись может быть на диске, смарт-карте, симке, в облачном хранилище и т. д.

Просмотреть подпись можно с помощью сертификата открытого ключа — электронного документа, в котором есть следующая информация:

  1. Кто владеет подписью.
  2. Какие у него полномочия.
  3. Какая организация выдала подпись и какие у нее полномочия.

Программа СКЗИ проверяет хэш-сумму и сравнивает ее с содержанием документа. Если все совпало, документ не меняли и подпись цела. Несовпадения означают, что документ изменили после того, как подписали. Тогда подпись автоматически считается недействительной и документ теряет юридическую силу.

Немного сухих фактов

  1. Утекли старые сканы паспортов — везде фигурируют старые адреса прописки.
  2. Скан паспорта жены в процессе переоформления хранился только в зелёном банке, и больше нигде не предоставлялся, а это значит, что утечка была либо через сотрудника этого банка, либо через человека снимавшего обременение в росреестре, либо через человека принимавшего документы в МФЦ.
  3. Госпошлину за регистрацию ОООшек заплатил некий господин с нерусской фамилией.

Советы для физлиц:

Дополнительный совет для юрлиц: не забывать отзывать сертификат электронной подписи при увольнении сотрудника, который мог подписывать документы от имени компании.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Adblock
detector