Мошенники оформили на меня ЭЦП

Варианты мошенничества с электронной подписью

Мошенники оформили на меня ЭЦП

Цифровая экономика не только обеспечивает участников новыми возможностями, но и создает новые риски. Нестареющее правило «предупрежден — значит вооружен» здесь как никогда актуально.

Электронная подпись — это инструмент, снабженный максимальной «броней» от компрометации. Конечно, при условии ее корректного использования владельцем и недопущения злоумышленника к критическим точкам. Но даже это не мешает преступникам находить лазейки и использовать пресловутый человеческий фактор, позволяющий противоправно обогащаться за счет других.

***

Справочно:

Для понимания материала необходимо владеть базовой терминологией и понимать принципы работы электронной подписи. Если в этих знаниях имеются пробелы, то их легко восполнить с помощью статьи «Что такое электронная подпись — простым языком для новичков мира цифровой экономики».

***
Преступных схем огромное количество, иногда удивление вызывает фантазия мошенников, а иногда наивность владельцев ЭП.

Варианты мошенничества с электронной подписью:

1) Физические преступления для развертывания мошеннической схемы необходим контакт преступника с носителем.

1.1. Кража носителя — простая, как 5 копеек, схема, когда преступник похищает usb-токен, что позволяет ему свободно использовать чужую электронную подпись.

Нейтрализация:

— установка пользовательского пароля напомним, что носители выпускаются со стандартными заводскими паролями, которые находятся в свободном доступе в интернете и, соответственно, их важно заменить на числовую комбинацию, известную только владельцу. После 3 попыток злоумышленника подобрать пароль, usb-токен заблокируется.

1.2.

Добровольная передача своей ЭП другому лицу — исходя из безграничного доверия, а скорее всего из-за непонимания возможных последствий, уполномоченные лица вместо делегирования прав совершать определенные действия передают подчиненным свою электронную подпись.

Случаи, когда главные бухгалтера приводили компании к грани банкротства, выводя капитал с помощью ЭП директоров, до сих пор происходят с завидной регулярностью. Мошенническая схема может быть развернута и одномоментно, и отложено.

Одномоментно — злоумышленник может использовать электронную подпись непосредственно во время нахождения у него чужого usb-токена. Отложено — в случае если закрытый ключ ЭП является извлекаемым, преступник может скопировать его и использовать в дальнейшем, уже после возврата носителя владельцу.

Нейтрализация:

— никогда, никому и ни при каких обстоятельствах не передавать свою электронную подпись — наверное, самое простое правило, которым, к сожалению, часто пренебрегают. Обычно отговоркой служит желание сэкономить денежные средства в размере стоимости ЭП и время, необходимое на оформление доверенности. Но нельзя забывать насколько это малые величины в сравнении с рисками.

Примечание: в разделе «Статьи» доступен отдельный материал, посвященный недопустимости передачи электронной подписи другим лицам.

1.3. Наличие на токене недекларированных возможностей («закладок») — получение несертифицированных ключевых носителей из ненадежных источников чревато наличием в программном обеспечении не заявленных в документации включений. Через эти «кротовые норы» преступники могут похитить закрытый ключ электронной подписи.

Нейтрализация:

— приобретение сертифицированных ФСТЭК носителей — удостовериться в отсутствии «закладок» можно с помощью просвечивания usb-токена рентгеном, что осуществляется в лабораториях Федеральной службы технического и экспортного контроля. Если в результате исследования не было выявлено «закладок», то ключевой носитель признается безопасным и на него выпускают сертификат ФСТЭК.

2) Технологичные преступления — для реализации подобных противоправных схем от мошенников в первую очередь требуются навыки в области IT-технологий и информационной безопасности.

2.1. Внедрение злоумышленника в «машину» владельца электронной подписи — мошенник, получивший доступ к компьютеру или ноутбуку жертвы может похитить ключ, скопировав его, в случае если он извлекаемый, или использовать ЭП без ведома владельца.

Например, шпионская программа (Remote Access Tool или сокращенно RAT — на слэнге некоторых IT-специалистов «крыса») может перехватывать параметры вызовов функций, данные, которыми обмениваются приложения и прочее.

Соответственно, это позволит преступнику узнать пароль токена и получить доступ к электронной подписи, хранящейся на нем.

Нейтрализация:

— выполнение правил информационной гигиены — не переходить по подозрительным ссылкам (обратите внимание, что в письме может быть написан адрес надежного сайта, но при наведении курсором может высветиться совершенно другой адрес гиперссылки), не скачивать программы и файлы из ненадежных источников, не пользоваться потенциально зараженными флешками, установить на компьютер или ноутбук антивирусную программу и прочее. Кроме этого, следует упомянуть о важности корректной работы службы администрирования и информационной безопасности в компаниях.

2.2. Компрометация канала связи «токен-машина» — если злоумышленник проникает в канал передачи данных от usb-токена к компьютеру или ноутбуку, то это грозит, в зависимости от типа ключевого носителя, и компрометацией пароля, и компрометацией ключа.

Нейтрализация:

— выполнение правил информационной гигиены + ФКН — способ предотвратить реализацию подобной схемы, аналогичен предыдущему.

В качестве дополнительного средства обезопасить электронную подпись от компрометации можно упомянуть функциональный ключевой носитель (ФКН).

ФКН отличается тем, что разделяет вычисления во время генерации ЭП между пользовательским приложением и токеном таким образом, что данные, которые передаются по каналу связи, не позволят преступнику сделать никаких выводов ни о ключе, ни о пароле.

3) Социальные преступления — мошеннические схемы, основанные на личных качествах людей, их способности имитировать других, вводить в заблуждение, подделывать документы. Подобные нарушения в большинстве своем сложно предупредить, но всем действующим и потенциальным владельцам ЭП нужно знать, что рынок нашел способ борьбы и с подобными преступлениями.

3.1. Получение электронной подписи другим человеком — преступник может завладеть документами нужного лица (найти, украсть) и, используя максимально похожего на него соучастника, получить ЭП.

Нейтрализация:

— ответственное отношение к документам — необходимо хранить документы в надежных местах, а в случае их кражи незамедлительно сообщать в правоохранительные органы.

Наличие заявления о потере или о краже будет дополнительным аргументов в случае судебного разбирательства по неправомерному выпуску ЭП и совершению значимых действий с ней.

Доказательством того, что пострадавшее лицо не заполняло заявки на получение электронной подписи, будет графологическая экспертиза подписи.

3.2. Получение электронной подписи по поддельным документам и доверенности — регламент рынка электронной подписи подразумевает обязательную личную явку при первичном получении ЭП, а при повторном выпуске забрать ее можно, предоставив копии необходимых документов и доверенность. Этим и могут воспользоваться мошенники, подделав бумаги.  

3.3. Недобросовестность сотрудников удостоверяющих центров — как и в любой системе, будь то правоохранительная, судебная или любая другая, ее рядовые пользователи зависят от тех, кто наделен полномочиями.

Вот он наиболее негативный человеческий фактор — беззащитность перед находящимся «внутри» преступником.

При подобных проникновениях любая система выходит из равновесия, и одна из самых надежных и легко приводимых в норму — это система выпуска электронной подписи.

Нейтрализация схем 3.2. и 3.3.:

— ответственное выполнение сотрудниками УЦ своих обязанностей — в этих случаях предотвращение возможно только внутри удостоверяющих центров при помощи слаженной работы менеджеров, выпускающих ЭП, служб информационной безопасности, подбора персонала и коллег потенциального злоумышленника, что и происходит на современном рынке ЭП. Но это по-прежнему не исключает человеческого фактора на 100%.

Но почему же эта система одна из самых надежных и легко приводимых в норму?

Во-первых, потому что удостоверяющие центры ввиду своей материальной ответственности крайне внимательно относятся к проверке документов заявителей, таким образом, минимизируя риски.

Во-вторых, существует внешняя система контроля деятельности удостоверяющих центров, выстроенная государственными структурами. Для начала деятельности УЦ должны получить лицензию ФСБ России, которая подтвердит их соответствие строгим требованиям службы.

В случае если удостоверяющие центры планируют выпускать квалифицированную электронную подпись, то они также обязаны пройти аккредитацию при Минкомсвязи. УЦ, которые заинтересованы в работоспособности выпущенных ЭП во всем информационном пространстве страны, также проходят процесс авторизации при Ассоциации Электронных Торговых Площадок.

Помимо этих стартовых процедур ФСБ, Минкомсвязи и АЭТП проводят ежегодные проверки деятельности удостоверяющих центров.

В-третьих, высокое качество персонала УЦ, например, чтобы получить лицензию ФСБ, в штате обязательно должны быть специалисты с  профильным высшим образованием или окончившие 500-часовые курсы дополнительной подготовки.

Отбор сотрудников удостоверяющих центров строгий, требуется специализация на соответствующем виде деятельности, заработные платы конкурентоспособны.

Все это также является сдерживающими факторами, ведь решение поставить все на кон ради однократного преступного обогащения, которое в любом случае будет раскрыто, совсем не соответствует психологическому портрету высококлассного специалиста.

Предложение по улучшению системы выдачи ЭП от портала iEcp.ru: на текущий момент проверка предоставляемых заявителями документов проводится силами сотрудников УЦ. СМЭВ и ЕСИА могут оптимизировать эту работу. Напомним, что СМЭВ — это система межведомственного взаимодействия, в которой циркулируют документы россиян между государственными структурами (МВД, ФНС и т.д.

); ЕСИА — это единая система идентификации и аутентификации, которая является частью СМЭВ, с ее помощью можно подтверждать свою личность в различных структурах (банки, удостоверяющие центры и т.д.). Таким образом, предоставление удостоверяющим центрам расширенного доступа к ЕСИА позволит еще быстрее и точнее подтверждать личность заявителей и проверять документы.

Бонус: Схемы-«единороги»

Добавим пару слов о несуществующих схемах, которыми могут пугать новичков мира электронной подписи.

1) ЭП могут скопировать с подписанного электронного документа.

Источник: //iecp.ru/articles/item/418190-varianty-moshennichestva-s-EP

Мошенники и ЭЦП — всё очень плохо

Мошенники оформили на меня ЭЦП

Недавно общественность облетела новость о первом случае продажи квартиры мошенниками с помощью ЭЦП и подделки документов. Когда я раньше читал подобные новости, всегда воспринимал отстранённо, как будто со мной этого не может произойти, но я ошибался. И теперь могу заявить, в зоне риска мошенников — каждый, увы, даже хабровчане.

Хотя в моём случае ситуация попроще, квартиру у меня не переписывали, зато куда более распространена — я и моя супруга без нашего ведома стали директорами нескольких ООО. Как нам сообщали в МВД, таких дел у них «только на этой неделе 17 шт». Напоминаю, что подписание документов с помощью ЭЦП равносильно подписанию собственноручной подписью юр. или физ.

лица, поэтому, казалось бы, вопрос выпуска таких ЭЦП должен быть максимально безопасен, но к сожалению сейчас в России такие подписи выдают обычные коммерческие организации, действие которых контролируется только путём выдачи лицензий МинКомСвязи.

И как показала практика, часто для этого нужна только картинка паспорта и номер СНИЛС, что есть у любого работодателя, банка, и других организаций, куда вынуждено даются такие документы.

Итак, как дело было. Была у меня ипотека в одном зелёном банке. По случаю рождения второго ребёнка, я решил воспользоваться новой субсидией на ипотечную ставку в 6%, тем более что давно уже хотел рефинансироваться с 12% под более низкий процент.

К слову, изначально ипотека была оформлена на меня как основного заёмщика, и на супругу как созаёмщика, то есть весь пакет документов был у банка. В новом банке супруга уже не фигурирует, и документы она не предоставляла. Собственно, 2 месяца это примерно длилось, и вот я довольный сижу на работе, пушу коммиты в репу, и тут звонок.

«Здравствуйте, вы директор такой-то фирмы? Хотим предложить вам открыть расчётный счёт у нас» Я сразу заподозорил неладное, и полез в ЕГРЮЛ, и, к сожалению, тут понеслось. Как оказалось, на мне висят две ОООшки 2-недельной и 3-дневной свежести, а я их гендиректор и учредитель.

Я поехал разбираться, написал заявление в ОМВД, написал заявления в налоговую, откуда потом узнал, что фирмы зарегистрированы с помощью ЭЦП.

Сначала я очень испугался, что мне где-нибудь, да в процессе переоформления подсунули какие-нибудь бумаги, и я возможно что-то по невнимательности подписал.

Но когда ситуация повторилась с моей женой, которая нигде ничего не подписывает, а сидит с ребёнком дома, стало понятно, что тут дело в утечке персональных данных, и незаконном изготовлении ЭЦП.

А дальше началась чреда отбивания порогов различных инстанций — МВД, Прокуратура, ОБЭП, Налоговая, Роскомнадзор, Администрация Президента, суд:

  1. По линии полиции — многочисленные отказы в возбуждении уголовного дела, из-за отсутствия события преступления. Т. е. если кратко, то «когда вас убьют, тогда и приходите». Так как пока ко мне никто не выдвинул финансовых требований, события преступления нет.
  2. По линии налоговой — они сделали всё согласно регламенту, вот есть заявление, вот оно подписано подписью «у нас нет оснований для отказа в регистрации ООО». Они внесли лишь пометку, что «По данным ФНС сведения недостоверны», но фирмы по-прежнему действуют. Также по запросу нам дали информацию об удостоверяющем центре — и у меня, и у супруги это был один и тот же УЦ находящийся в Томске (естественно мы там даже близко не были никогда).
  3. По линии Роскомнадзора — они запросили информацию от удостоверяющего центра, они им предоставили ответ, что вот есть якобы документы от меня, а так как подлинность документов они не выявляют — обращайтесь в суд.

Документы

Собственно, сейчас суд, и тут тоже не всё так просто. Но беда, как говорится, не приходит одна, на свой старый адрес мне пришло два письма, от коллекторского агентства, с требованием вернуть деньги, которые были взяты в двух микрофинансовых организациях. Тут пришлось тоже писать заявление в полицию, пока по ним тишина.

Немного сухих фактов

  1. Утекли старые сканы паспортов — везде фигурируют старые адреса прописки.
  2. Скан паспорта жены в процессе переоформления хранился только в зелёном банке, и больше нигде не предоставлялся, а это значит, что утечка была либо через сотрудника этого банка, либо через человека снимавшего обременение в росреестре, либо через человека принимавшего документы в МФЦ.
  3. Госпошлину за регистрацию ОООшек заплатил некий господин с нерусской фамилией.

Как от этого защититься?

Защиты во всех сферах, к сожалению, нет, т. к. с внедрением «электронного правительства» появляется всё больше мест, где можно осуществить операции с помощью ЭЦП. Но, в частности, защититься от регистрации юридических лиц по ЭЦП можно.

Есть так называемая «38-я форма», а если быть точнее форма 38001, заполнив которую, можно запретить регистрацию юр. лиц, без личного присутствия.

Правда заполнять и везти её придётся лично в регистрирующий орган (в Москве это 46 налоговая), и как я понимаю, она ограничивает это только в данном регионе, хотя могу ошибаться.

К сожалению, налицо — законодательная дыра, которой пользуются мошенники, и пока не ужесточат контроль за выпуском ЭЦП, такие ситуации будут случаться только чаще.

UPD1. Форма 38001
Для заполнения формы PЗ8001, можно воспользоваться либо программой, либо скачать бланк. Заполняются для физ лица только первый лист и раздел Д (кроме адреса). Пример заполнения.

UPD2. Примерный алгоритм действий

алгоритм действий

Первые два пункта как можно быстрее
1) В налоговую подаём заявления по формам 34001 по каждой фирме, форму 38001 и жалобу, где описываете, что фирмы такие-то не регистрировал, ЭЦП не оформлял. Прошу признать регистрацию недействительной и отозвать ЭЦП.

Подаём лично в налоговую занимающуюся регистрацией юр. лиц (в Москве 46 налоговая), обязательно берём себе отметку о принятии. 2) Подаём заявление в полицию по месту нахождения налоговой.

3) Пишем заявление в МИ ФНС по ЦОД заявление о предоставлении информации по УЦ, который выпустил ЭЦП, с помощью которых были зарегистрированы фирмы.

4) Пишем в МинКомСвязи с описанием ситуации, требованием провести расследование, и признать ЭЦП недействительной.

5) В случае отказа возбуждения дела в полиции, пишем в прокуратуру.

6) Ждём ответов от налоговой, в случае отказов подаём в суд на УЦ.

UPD3 Спустя год
Почти спустя год, наконец, через суд добились признания выданной ЭП недействительной. Параллельно налоговая сама начала процедуру исключения фирм из ЕГРЮЛ, и на данный момент 2 из 3 фирм уже ликвидированы, ещё одна в процессе. Но нам с супругой повезло, что быстро среагировали.

Мне уже написало несколько людей с подобной проблемой (у нас даже есть чат в телеграмме), но уже у которых налоговая требует выплатить несколько миллионов налогов, и уже списывают штрафы со счетов — в их случае налоговая сама всё не сделает. Сейчас готовим ещё один иск к УЦ на компенсацию юридических расходов, но в целом история у нас практически завершена.

Если вы попали в такую же ситуация и у вас есть вопросы — пишите в телеграм, мой ник PaulZi.

  • эцп
  • цифровая подпись
  • мошенничество
  • 18 марта 2011 в 13:32
  • 6 июля 2010 в 14:26
  • 22 июня 2010 в 02:10

Источник: //habr.com/ru/post/453596/

Мошенники переоформили квартиру в Москве с помощью поддельной цифровой подписи

Мошенники оформили на меня ЭЦП

В России зафиксирован первый известный случай отъёма квартиры путём фальсификации электронной цифровой подписи.

Владелец квартиры на Тверской улице г.

 Москва по имени Роман обнаружил, что в очередной квитанции за коммунальные услуги у квартиры указан уже новый владелец. Гражданин обратился в Росреестр и выяснил, что осенью он подарил свою квартиру некоему жителю Уфы.

Причём сделал это дистанционно, подписав документы своей электронной цифровой подписью.

Электронная подпись

Согласно Гражданскому кодексу РФ, квалифицированная электронная подпись является аналогом собственноручной подписи в случаях, предусмотренных законом. По статье 434 ГК РФ, договор может быть заключён в любой форме, предусмотренной для совершения сделок, если законом для договоров данного вида не установлена определённая форма.

Алгоритмы формирования и проверки электронной цифровой подписи описывает российский стандарт «ГОСТ Р 34.10-2012. Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи», вступивший в действие в 2012 году. Сертификат электронной подписи выдаёт удостоверяющий центр.

Правовые условия использования электронной цифровой подписи в электронных документах регламентирует Федеральный закон Российской Федерации от 6 апреля 2011 года № 63-ФЗ «Об электронной подписи». Он определяет три вида электронных подписей: простая, усиленная неквалифицированная и усиленная квалифицированная.

С 1 января 2013 года гражданам выдавалась универсальная электронная карта, в которую была встроена усиленная квалифицированная электронная подпись, но выпуск таких карт прекращён с 1 января 2017 года.

Схема с квартирой

Москвич Роман говорит, что сам недавно оформил квартиру в свою собственность по дарственной от отца, который там и проживает. Но он никогда не оформлял электронную подпись и не получал физический носитель (флэшка с пин-кодом).

Однако это не помешало мошеннику каким-то образом официально зарегистрировать сделку: «Он может теперь (он или кто-то другой), как мне сказали, сейчас опять продавать мою квартиру через интернет.

Заказал справки, вот эта выписка из ЕГРН, в которой указано, что 22 октября 2018 года я подарил квартиру этому господину», — говорит Роман. В Росреестре официально подтвердили: квартиру действительно подарили в октябре прошлого года. Документы подавались в электронном виде с цифровой подписью.

Это полностью законно.

Более подробно схему с мошенничеством описала коллега пострадавшего, журналист Светлана Колосова в сообществе «Соседи. Белорусская-Новослободская-Маяковская» на .

Она пишет, что электронная подпись «была получена через личный кабинет» на портале «Госуслуги». Роман помнит, что осенью его личный кабинет пытались взломать, он написал в техподдержку, и ему ответили, что у них не зафиксировано никаких «аномальных действий». Переход собственности осуществлён не как купля-продажа, а как «дар» без участия нотариуса. Договор дарения подписан с двух сторон электронными подписями. Что интересно, участник сделки из Уфы утверждает, что тоже не получал ЭЦП и ничего не знает о «подаренной» ему московской квартире. В полицию подано заявление о мошенничестве. Делом занимается отдел по квартирным мошенничествам московской полиции. Чтобы не попасть в такую ситуацию, Светлана советует всем сходить в МФЦ и написать заявление, что они запрещают любые действия с их недвижимостью без личного присутствия.

Манипуляции с электронными подписями

За те годы, что в России действует законодательство по электронной цифровой подписи, зарегистрировано несколько способов мошенничества:

  1. Незаконные действия через центры сертификации РФ, в том числе оформление документов без участия гражданина. Выявлены случаи массовой фальсификации ЭЦП путём повторного использования удостоверяющим центром электронной подписи клиента.

  2. Дистанционный выпуск квалифицированного сертификата без личного контакта заявителя и сотрудника регистрационного отдела удостоверяющего центра. В этом случае оформление электронной подписи производится на основании документов заявителя, представленных центру сертификации через интернет.

    По мнению специалистов правовой системы «Гарант», в этом случае «IT-функции в деятельности УЦ преобладают над его юридической сущностью», а электронная подпись может быть использована недобросовестными третьими лицами.

Возможно, в истории с московской квартирой как раз имел место дистанционный выпуск квалифицированного сертификата, хотя юристы «Гаранта» подчёркивают незаконность такой процедуры. Они пишут, что согласно Закону № 63-ФЗ при выдаче квалифицированного сертификата УЦ обязан (ст.

18 Закона № 63-ФЗ):

  1. Установить личность заявителя — физического лица, обратившегося за получением квалифицированного сертификата.
  2. Получить от заявителя, обратившегося в УЦ от имени другого лица, подтверждение права действовать от его имени.

Для этого заявитель представляет основной документ, удостоверяющий его личность — паспорт гражданина РФ (надлежащим образом заверенную копию), а также доверенность (иной документ), если он действует от имени других физических или юридических лиц. Поскольку ЭЦП можно получить по доверенности, то мошенник мог использовать и такой вариант.

«Теоретически можно допустить, что там произошёл какой-то сговор с сотрудниками какого-то удостоверяющего центра, их достаточно много, их сотни по России, и что они мошенническим путем как-то завладели копией паспорта на его имя, выдали документы, то тогда эта сделка могла бы произойти», — считает Максим Эмм, эксперт в области информационной безопасности и технологий.

Но если ЭЦП получена, то провести сделку уже не составляет труда: «При электронной регистрации в Росреестр сдаются документы в отсканированном виде, причём скан не содержит фотографии синей подписи, которая ставится рукой. Сканированный файл выглядит как вордовский файл, просто в PDF. То есть подписи там не видно.

При этом в Росреестр отправляется ещё электронная цифровая подпись», — прокомментировала ситуацию Мариана Чилиндришвили, руководитель юридического департамента компании «Метриум».

Поскольку сейчас квартира официально принадлежит другому лицу, тот может её легально продать.

Судя по всему, в случае рассмотрения в суде такая сделка может быть признана «добросовестной покупкой», то есть к покупателю нельзя будет предъявить претензий, потому что он не знал о мошенничестве. Впрочем, старший партнёр московской коллегии адвокатов «Легис Групп» Сергей Никитенков считает, что шансы вернуть квартиру велики: «Сроки не прошли, обнаружено это практически сразу. Если мы говорим о том, что он не выдавал никаких доверенностей, не совершал действий при покупке, то есть нарушена была воля, квартира будет возвращена. Да, может быть, перепродадут, может быть, будут оспорены последующие сделки, но это просто судебная деятельность. Что касается уголовного дела, это будет ускорять судебный процесс, поскольку там схожие предметы доказывания будут, экспертизы».

На сегодняшний день в России работает около 500 удостоверяющих центров. Некоторые из них действительно готовы за определённую плату оформить электронную подпись через интернет, без личного присутствия, на что ранее обращали внимание специалисты правовой системы «Гарант». Например, в своей рекламе удостоверяющие центры обещают оформить квалифицированную цифровую подпись за 30 минут. Мы обратились в один из таких УЦ с вопросом, как можно оформить цифровую подпись за 30 минут: «На самом деле, выпустить электронную подпись можно не за 30, а за 5 минут, если вы зарегистрированы в нашей системе, — ответил представитель компании. — В среднем, для новичка, регистрация занимает около 30 минут, поэтому и указана данная временная шкала. Это первый этап получения подписи. Вторым этапом является удостоверение личности гражданина или полномочий для юридического лица. Третьим — оплата, четвёртой ступенькой — непосредственно выпуск сертификата электронной подписи. Никто не может получить электронную подпись, не пройдя этих шагов». Удостоверяющие центры пользуются лазейкой в законодательстве. Хотя в 63-ФЗ указано, что для оформления ЭЦП гражданин обязан предъявить паспорт, но там не указан способ представления заявителем в УЦ документов: «Возникает неясность, которую можно толковать как отсутствие законодательного запрета на выпуск и выдачу квалифицированного сертификата дистанционно, — пишет «Гарант». — Электронная подпись может попасть к лицу, которое на самом деле заявителем не является, что повлечет для заявителя – номинального владельца юридические, финансовые, налоговые риски и другие негативные последствия… К сожалению, зачастую люди сами небрежно относятся к своим персональным данным. Ну и конечно никто не отменяет вину УЦ, выдавшего данную подпись. Проверить сертификат (кем и когда выдан) герой репортажа может, обратившись в полицию».

Что самое печальное для Романа, «использование электронной подписи другими лицами без ведома номинального владельца не освобождает его от ответственности за неблагоприятные последствия, наступившие в результате такого использования» (постановление Пятого арбитражного апелляционного суда от 14 марта 2016 г. № 05АП-1119/16; постановление Пятнадцатого арбитражного апелляционного суда от 1 марта 2016 г. № 15АП-1132/16; постановление Ленинского районного суда г. Владивостока Приморского края от 8 декабря 2014 г. по делу № 5-1087/2014).

  • ЭЦП
  • цифровая подпись
  • УЦ
  • удостоверяющий центр
  • паспорт
  • Росреестр
  • 21 марта 2015 в 15:58
  • 18 марта 2011 в 13:32
  • 4 ноября 2010 в 19:56
  • 6 июля 2010 в 14:26

Источник: //habr.com/ru/news/t/452292/

Электронная подпись – идеальное оружие для мошенников

Мошенники оформили на меня ЭЦП

27 мая 2019, 21:002019-05-27T21:00:00Z2019-05-27T21:00:00Z
пензаюринформ.рфЭлектронная цифровая подпись – это аналог собственноручной подписи, с помощью которого можно, например, открыть фирму или переоформить права на собственность.

В России она действует с 2012 года и получить ее очень просто – для этого достаточно обратиться в один из 500 удостоверяющих центров, которые делают все за 30 минут. Причем некоторые из них готовы оформить электронную подпись через интернет, без личного присутствия. Естественно, этой простотой с удовольствием пользуются мошенники.

До сих пор случаи мошенничества с использованием ЭЦП были мелкими и о них особо не говорили, но теперь то точно пришла пора бить тревогу: в Москве зафиксировали первый случай отъёма квартиры с помощью фальсификации электронной подписи.Мой коллега сегодня написал заявление в полицию и ещё неизвестно, чем все закончится.

Года три назад у него внезапно умерла мама, сын, единственный наследник, попросил папу оформить дарственную на квартиру. Папа не возражал, сам опасался, как пожилой человек, в одиночку прописанный в квартире. Все оформили, документы положили в сейф. Вчера папа позвонил ему в некоторой панике: на очередной платёжке за квартиру значилась чужая фамилия.

Коллега решил, что ошибка, но отправил, на всякий случай, папу в МФЦ. В МФЦ пожилому папе по доброму сказали: да, этот человек – владелец квартиры по указанному вами адресу, наверное, ваш сын продал квартиру, а вам просто не сказал. Папа был близок к сердечному приступу.

Сегодня коллега, взяв документы из сейфа, поехал в Росреестр, где ему сказали: так вы сами и продали эту квартиру, в октябре 2018. Как, удивился он, вот же все документы о собственности у меня на руках – А у нас теперь все в электронном виде и вы подписали сделку электронной подписью, полученной через личный кабинет на «госуслугах».

Коллега при этом «электронной подписи» даже НЕ получал, но помнит, что осенью его личный кабинет пытались взломать, он написал в техподдержку и ему ответили, что у них не зафиксировано никаких «аномальных действий». Он попытался в Росреестре уточнить, кто был нотариусом при совершении сделки, и получил в ответ: а кто нотариус, у нас в системе не видно.

Квартира мошеннически приобретена человеком, постоянно проживающим в Уфе. Переход собственности осуществлен не как купля-продажа, а как «дар» без участия нотариуса, договор дарения «подписан» с двух сторон электронными подписями. Делом занимается отдел по квартирным мошенничествам московской полиции, заявления все поданы и приняты. Второй участник сделки из Уфы, также утверждает, что не получал ЭЦП и ничего не знал о «подаренной» московской квартире.

Из Светланы Колосовой

И этот случай далеко не исключение из правил. Издание 47news провело собственный эксперимент, чтобы выяснить, действительно ли можно получить электронную подпись на другого человека. Вы даже представить себе не можете, насколько это легко! Достаточно минимальных навыков владения фотошопом и несколько тысяч рублей.

Журналистка Юлия Гильмшина обратилась в несколько городских контор с целью получить электронную подпись за генерального директора издания. В случае с первыми двумя конторами все закончилось обломом: журналистке ответили, что оформить документ может и помощник руководителя, но вот оплачивать услуги требуется лишь со счета организации, на которую нужно получить ЭЦП.

Зато третья контора после жалоб на то, что гендиректор очень занят, пошла навстречу: сказали, что и заполнить все бланки может любой сотрудник фирмы, и заплатить можно со своего личного счета или любого другого.В заявке требовалось указать установочные данные организации, включающие ИНН, ОГРН, а также ФИО и ИНН директора.

Вся эта информация есть как в открытых источниках, так и в специализированных системах вроде “СПАРК”. Далее журналистке прислали счет-оферту на 6 тысяч рублей, которую она оплатила от своего имени. Почему заказывается электронная подпись на одну фамилию, а в чеке указана другая, не задавали ни устно, ни письменно.

СНИЛС был нарисован в графическом редакторе, это тоже не сложно, поскольку можно наложить чужие цифры и буквы на любой имеющийся. Для чистоты эксперимента приложили отсканированную копию паспорта, ведь обязательно нужна цветная. Только вот фотографию гендиректора заменили на фото журналиста Смирнова, добавили к его лицу щёчки и мерцающий водяной знак на лоб.

Все это было сделано в фотошопе и заняло всего полчаса.
47news.ruНикаких претензий к документам у конторы не возникло. Вскоре в офис приехал специалист с документами, липовый гендиректор поставил живую подпись на заявлении о выдаче ЭЦП и спокойно забрал себе флешку с электронным ключом.

Судя по сообщениям на форумах и в СМИ, махинации с электронными подписями уже стали массовым явлением. Например, жителю Хабаровска Павлу, который без собственного ведома стал директором нескольких ООО, в МВД сказали, что таких дел у них «только на этой неделе 17 штук».

Как дело было. Была у меня ипотека в одном зелёном банке. По случаю рождения второго ребёнка, я решил воспользоваться новой субсидией на ипотечную ставку в 6%, тем более что давно уже хотел рефинансироваться с 12% под более низкий процент.

К слову, изначально ипотека была оформлена на меня как основного заёмщика, и на супругу как созаёмщика, то есть весь пакет документов был у банка. В новом банке супруга уже не фигурирует, и документы она не предоставляла. Собственно, 2 месяца это примерно длилось, и вот я довольный сижу на работе, пушу коммиты в репу, и тут звонок.

«Здравствуйте, вы директор такой-то фирмы? Хотим предложить вам открыть расчётный счёт у нас» Я сразу заподозорил неладное, и полез в ЕГРЮЛ, и, к сожалению, тут понеслось. Как оказалось, на мне висят две ОООшки 2-недельной и 3-дневной свежести, а я их гендиректор и учредитель.

Я поехал разбираться, написал заявление в ОМВД, написал заявления в налоговую, откуда потом узнал, что фирмы зарегистрированы с помощью ЭЦП.

Сначала я очень испугался, что мне где-нибудь, да в процессе переоформления подсунули какие-нибудь бумаги, и я возможно что-то по невнимательности подписал.

Но когда ситуация повторилась с моей женой, которая нигде ничего не подписывает, а сидит с ребёнком дома, стало понятно, что тут дело в утечке персональных данных, и незаконном изготовлении ЭЦП, – рассказывает Павел.

А дальше Павлу пришлось обивать пороги различных инстанций, но все безрезультатно: в полиции отказывают в возбуждении уголовного дела, мол, пока никто финансовых требований не выдвинул, события преступления нет; в налоговой говорят, что сделали всё согласно регламенту и оснований для отказа в регистрации ООО нет.

Пришлось идти в суд, а тем временем на старый адрес начали приходить письма от коллекторского агентства с требованием вернуть деньги, которые были взяты в двух микрофинансовых организациях. Можно ли защититься от мошенников? Теоретически можно.

Но для этого придется ехать в МФЦ и писать заявление о том, что запрещаешь любые действия с недвижимостью без личного присутствия, потом ехать в налоговую и заполнять форму, согласно который запрещаешь регистрацию юридического лица на свое имя без личного присутствия и так далее.

А тем временем операций, которые можно осуществлять с помощью электронной подписью, становится все больше.

  • Валентин Огиренко/Reuters В покинутом городе Припять впервые после аварии на Чернобыльской атомной электростанции установили новогоднюю…
  • В офис Фонда борьбы с коррупцией снова пришли с обысками. Силовики заклеили камеры, выпилили дверь, после чего задержали Алексея Навального…
  • Анна Рыбакова / E1.ru (коллаж) Одним из самых громких событий 2019 года стал конфликт вокруг храма в Екатеринбурге. Напомню, что власти…

Подписывайтесь:

Обратите внимание:

  • Фаберже: позорная страница в истории России
  • США

Популярные посты по тегу Мошенники

  • 28 августа 2019, 12:05
  • 12 февраля 2019, 12:30
  • 27 мая 2019, 21:00

Источник: //varlamov.ru/3453641.html

Мошенничество с ЭЦП: проблема глубже и серьёзнее, чем кажется

Мошенники оформили на меня ЭЦП
?

Categories: В СМИ только сейчас начали поднимать панику по поводу ЭЦП, электронной подписи. Оказывается, — ах, кто бы мог подумать, — при помощи электронной подписи можно переписать на себя чужую квартиру, чужой бизнес и чужие деньги. Цена вопроса для преступников — несколько тысяч рублей:

//47news.ru/articles/156549/

Я поговорил на эту тему со специалистом, который с девяностых годов занимается защитой от хакеров-ломакеров, внутренних крыс и тому подобных злоумышленников. Вот краткий пересказ нашей беседы.1. ЭЦП в том виде, в котором она существует сейчас, это нечто среднее между распилом и мракобесием. Она работает только в теории.

На практике ЭЦП — это дырявая, неуклюжая техническая штуковина, которая создаёт гораздо больше проблем, чем решает.2. Кроме того способа взлома ЭЦП, который обрисован в статье по ссылке, есть и ещё куча других, ничуть не более сложных. Преступники их знают, однако я на всякий случай всё же не буду перечислять их в этом посте.3.

Ни «Гугл», ни «Яндекс», ни даже коммерческие банки не считают ЭЦП чем-то важным. Пароль плюс подтверждение через смс — вот та защита, которая реально работает на уровне массового пользователя. Взломать её, разумеется, тоже можно, однако это будет уже сложнее.4. Сейчас есть и более современные системы защиты.

Вот, например, простая и мощная защита, взломать которую можно разве что при помощи терморектальных технологий. Когда клиент отправляет денежный перевод или совершает сделку с квартирой, оператор звонит ему по видео и задаёт вопрос: «скажите код под номером 37 на карточке». Клиент стирает монетой защитный слой на карточке, называет код.

Оператор видит, что перед ним именно тот человек, фотография которого есть в базе. Компьютер подтверждает, что видеоряд и голос совпадают.Находящийся поблизости злоумышленник не сможет обмануть такую систему защиты, потому что у него не выйдет убедительно подделать внешность и голос, тем более в реальном времени.

Гипотетический хакер, который умеет подделывать внешность и голос, не получит физического доступа к карточке с кодами.5. Одна из главных проблем ЭЦП — её громоздкость.

Простым пользователям непонятны все эти муторные телодвижения с крипто-хрипто и хранилищами сертификатов: они или делают все операции как в тумане, или просто бездумно отдают свою ЭЦП тем, кто разбирается в этом чуть лучше их — бухгалтеру и сисадмину, к примеру.

Нет никаких проблем установить на входной двери в хрущёвке огромный сейфовый замок, который только открывать надо будет по полчаса.

Однако к повышению безопасности это не приведёт: замок будут держать всегда открытым, чтобы не терять времени, и, даже если он будет таки иногда закрываться, взломщику не составит труда проникнуть в квартиру через окно или войти в дверь под видом доставляющего пиццу курьера.6.

В статье по ссылке мочат конкретную фирму, которая выдала дубликат ключа взломщику, не проверив как следует его документы, однако проблема отнюдь не в конкретной фирме. Система изначально слишком сложна и запутана, чтобы надёжно работать.

Даже начинающие специалисты по безопасности знают, что нельзя заставлять пользователей использовать сложные пароли, ибо тогда они просто начинают записывать их на приклеенных к монитору стикерах. К сожалению, законы бюрократии противоречат здравому смыслу. Бюрократы живут по инерции: выбирают случайную технологию, а потом так и работают по ней даже тогда, когда это уже явно глупо.7. Если вы думаете, что проблема только с государством, спешу расстроить. В банках, например, ровно такая же ерунда — лично мне известен ровно один банк, который наладил нормальную (надёжную и простую) систему с уникальными кодами. Большая часть банков работает по старинке, или через ЭЦП, или с подтверждением через смс.8. Подтверждение через смс обычно надёжнее, чем ЭЦП, ибо телефон директор фирмы носит с собой, однако и тут разработана масса простых способов взлома. Получить доступ к чужим смс-сообщениям — дело совсем нехитрое, особенно если у преступника есть небольшой бюджет. Вот пример такого взлома:

//habr.com/ru/post/453286/

9. Надежды на скорое изменение ситуации, к сожалению, у меня нет. Государство не может вот так просто взять и выкинуть на свалку существующую инфраструктуру, заменив её на что-нибудь нормальное типа системы с уникальными кодами. Полагаю, государство и дальше будет пытаться латать дыры в изначально ущербном механизме, переводя его из состояния «ужас-ужас-ужас» в состояние «жить можно, хоть и противно».10. В начале девяностых экономика России потеряла триллионы рублей на так называемых «фальшивых авизо». Советская банковская система была насквозь дырявой, поэтому, когда рубль стал конвертируемым, мошенники начали выводить через эти дыры огромные средства:

//ru.wikipedia.org/wiki/Фальшивые_авизо

Сейчас одной из таких дыр является возможность оформлять крупные сделки через интернет.

Пока что от массовых мошенничеств нас спасала традиционная техническая отсталость жуликов, однако я не удивлюсь, если этот благостный период уже на исходе, и жульничество с ЭЦП вот-вот станет массовым.

PS.

Кстати, раз уж зашла речь о сравнении корпораций и государства. Кое-что в нужном направлении делает наш ЦБ. Более конкретно, он принуждает банки использовать современные средства защиты, опознавать клиента по лицу и по голосу:

//www.interfax.ru/business/662298

Будьте уверены, если бы не постоянные пинки и подзатыльники со стороны ЦБ, большая часть наших банков до сих пор бы ещё пользовалась факсами и моноклями.

Источник: //olegmakarenko.ru/1584890.html

Глав-книга
Добавить комментарий