Правила безопасности ЭЦП: защита от мошенничества

Если ключи ЭП попадут в чужие руки, безопасность электронной подписи будет нарушена. Злоумышленники знают, как скомпрометировать защиту и использовать подпись в мошеннических целях.

ЭЦП — это устаревшее понятие. Расшифровывается как электронная цифровая подпись. В настоящее время используется более емкое название ЭП, которое расшифровывается как электронная подпись.

Разберем основные правила, которые нужно соблюдать при работе с ключами электронной подписи, чтобы обезопасить себя.

Основные схемы мошенничества с электронной подписью: как злоумышленники получают доступ к вашей ЭЦП

Для мошенников захват чужой ЭП — это ключ, открывающий доступ к управлению бизнесом, деньгам и имуществу. Способы хищения варьируются от банальной кражи токена до сложных многоходовых комбинаций.

Кража носителя и пароля

Это самый распространенный и технически простой способ. Чаще всего ключи хранятся на USB-токене, который выглядит как обычная флешка.

• Халатность: сотрудники оставляют токен вставленным в компьютер, отлучаясь на обед или домой. Недобросовестному коллеге или постороннему достаточно пары секунд, чтобы использовать его, украсть или незаметно подменить.
• Слабый PIN-код: пользователи не меняют заводские пароли, например, 12345678, или записывают их на стикерах, приклеенных к монитору. При физической краже носителя это дает преступнику полный контроль над подписью.

Социальная инженерия

В этом сценарии жертва сама предоставляет доступ мошенникам, будучи введенной в заблуждение.

• Фишинг: бухгалтер получает по email уведомление якобы от налоговой, банка или сервиса с требованием «обновить сертификат» или «подписать документ». Ссылка в письме ведет на загрузку вируса удаленного доступа.
• Удаленный доступ: под предлогом «настройки подписи» или «помощи с установкой драйверов» мошенники убеждают пользователя установить программу удаленного доступа (AnyDesk, RustDesk). Если в этот момент токен вставлен в компьютер, злоумышленники могут подписать любой документ прямо на глазах у жертвы.

Телефонное мошенничество

Отдельно можно выделить телефонное мошенничество. В этом сценарии злоумышленники комбинируют взлом аккаунта Госуслуг с психологическим давлением. Они не крадут носитель с ключом, ЭП здесь фигурирует как инструмент, которым мошенники заставляют воспользоваться. Обман происходит в несколько этапов.

1. Вам звонят под видом техподдержки сотового оператора или портала Госуслуг и убеждают продиктовать код из СМС.

2. Мошенники получают доступ к Госуслугам, загружают фиктивную нотариальную доверенность на распоряжение всеми банковскими счетами пользователя.

3. Жертве поступает звонок от лжесотрудника полиции или ФСБ. Он сообщает, что деньги в опасности, и для их «спасения», или для помощи следствию, необходимо срочно подписать присланный документ.

4. После подписания раздается второй звонок — уже от «настоящего» сотрудника безопасности или ЦБ. Он сообщает, что мошенники все-таки получили доступ к счетам жертвы, и теперь единственный выход — срочно обналичить все средства и перевести их на «безопасный счет» или передать курьеру.

Также жертву могут убеждать, что его ЭП подделана и надо совершить какие-либо действия. Важно помнить, что подделать электронную подпись невозможно.

Как защитить себя от мошенников, представляющихся от лица ГК «Астрал»

Сергей Феоктистов

Передача токена с ключами бухгалтеру

Передача токенов с электронной подписью бухгалтерам-аутсорсерам является серьезным фактором риска утечки данных в России. Предприниматели, которые доверяют свои носители с ЭП посторонним, рискуют повторить печальный опыт пострадавших коллег. Судебная практика показывает, что подобные споры возникают с пугающей регулярностью.

Никому не передавайте токен со своим закрытым ключом. Оформите на бухгалтера или другого ответственного сотрудника машиночитаемую доверенность и сертификат УКЭП физлица. Это законный и самый безопасный способ совершать какие-либо действия от вашего имени в цифровой среде.

Что могут сделать мошенники с вашей электронной подписью

Последствия потери контроля над ЭП могут быть катастрофическими. В отличие от кражи банковской карты, которую можно заблокировать мгновенно, действия с подписью часто замечают слишком поздно.

Фальсификация внутренних документов компании

Если доступ получил нелояльный сотрудник, он может навредить работодателю изнутри:

• Подписать приказы о необоснованных премиях.
• Оформить акты списания ликвидного имущества.
• Подделать кадровые документы: заявления на отпуск, увольнение задним числом, чтобы создать юридические основания для исков против компании.

Подписание договоров и изменение реквизитов

Завладев подписью руководителя, мошенники могут действовать от лица всей организации.

• Заключение договоров, которые компания заведомо не сможет исполнить, что повлечет огромные штрафы и неустойки в пользу фирм-однодневок.
• Рассылка контрагентам официальных писем о смене банковских реквизитов. Клиенты, видя подпись директора, без сомнений переводят деньги на счета мошенников.

Финансовые махинации и несанкционированные платежи

Это прямая кража денег.

• Доступ к счету: ЭП часто служит ключом к банк-клиенту. Злоумышленники могут «обнулить» счета компании за несколько минут.
• Кредиты и займы: на имя гражданина или юрлица оформляются микрозаймы и кредиты онлайн. Жертва узнает о долгах только после звонков коллекторов или блокировки счетов приставами.

Подача документов в госорганы

Один из самых опасных сценариев, используемый в рейдерстве и налоговых преступлениях:

• Смена директора (рейдерский захват): мошенники подают в ФНС форму Р13014, подписанную украденной ЭП, меняя реального директора на подставное лицо. Получив контроль над ЕГРЮЛ, они получают полный контроль над активами.
• «Бумажный НДС»: от имени компании подаются уточненные декларации с фиктивными сделками, втягивая бизнес в схемы по отмыванию денег и уходу от налогов.

Что делать, если украли электронную подпись

Елена Янова

Меры безопасности электронной подписи

Чтобы исключить риск несанкционированного использования вашей ЭП, следуйте этим правилам цифровой безопасности.

1. Не оформляйте сертификат ключа проверки ЭП на свое имя по просьбе третьих лиц, знакомых или родных. Если в последующем ключи этой подписи будут храниться не у владельца и использоваться третьими лицами, оформлять сертификат ЭП не нужно, какое бы денежное вознаграждение ни предлагали.

2. Работайте только с аккредитованными удостоверяющими центрами. Лучший выбор — сертифицированные носители, с которых технически невозможно извлечь или скопировать закрытый ключ.

3. Никогда не передавайте USB-токены, рабочий телефон или компьютер третьим лицам, даже коллегам и родственникам.

4. Регулярно проверяйте список выпущенных на ваше имя сертификатов в личном кабинете на «Госуслугах». Следите за уведомлениями на электронной почте: система предупредит, если кто-то попытается выпустить новый сертификат подписи на ваше имя.

5. Берегите паспорт. При его утере немедленно подавайте заявление в полицию, чтобы мошенники не успели воспользоваться ими для входа на портал Госуслуги.

6. Своевременно обновляйте ПО и операционную систему, обязательно используйте надежный антивирус.

7. Критически относитесь к любым запросам ваших данных. Остерегайтесь фишинга.

8. Настройте двухфакторную аутентификацию (пароль + код/биометрия) везде, где это возможно. Не используйте одинаковые пароли для разных сервисов.

9. Для передачи полномочий сотрудникам используйте машиночитаемые доверенности, а не передачу подписи руководителя. Когда сотрудник увольняется, оформленную на его имя МЧД нужно отозвать. В ином случае он может украсть деньги организации или даже закрыть ее.

10. При потере носителя или подозрении на взлом незамедлительно обратитесь в удостоверяющий центр для отзыва сертификата и в компетентные органы.

Как узнать, изготавливался ли на вас сертификат ключа проверки электронной подписи

«Госуслуги» получают информацию о выданных сертификатах ключей проверки электронной подписи согласно п.5 ст. 18 N 63-ФЗ.

Для получения информации нужно:

1. Нажать на ФИО аккаунта.

1. Нажать «Профиль».

1. Выбрать «Электронная подпись».

Раздел содержит данные о зарегистрированных сертификатах ключей проверки электронной подписи: уникальный номер квалифицированного сертификата, даты начала и окончания его действия, наименование выдавшего его аккредитованного удостоверяющего центра.

Если в разделе окажется сертификат, который вы не получали, то необходимо немедленно обратиться в УЦ с заявлением о прекращении действия сертификата ЭП.

Популярные вопросы

Что делать, если на ваше имя зарегистрировано ООО?

Если вы обнаружили, что стали номинальным директором «фирмы-однодневки» без вашего ведома:

1. Подайте заявление в полицию о мошенничестве и незаконном использовании ваших персональных данных.
2. Срочно обратитесь в налоговую инспекцию (ФНС). Подайте заявление по форме Р34001 («Заявление физического лица о недостоверности сведений о нем в ЕГРЮЛ»). Это сигнал для налоговой и контрагентов, что вы не имеете отношения к этой фирме.
3. Запросите в ФНС сведения, на основании каких документов была открыта фирма и какой Удостоверяющий центр выдал ЭП. Это поможет в дальнейшем расследовании.

Могут ли подделать ключи электронной подписи?

С технической точки зрения — нет. Квалифицированная ЭП (КЭП) создается с использованием сложнейших криптографических алгоритмов (ГОСТ). Подобрать или «нарисовать» такую подпись на компьютере невозможно. Мошенничество происходит не через подделку самой криптографии, а через кражу вашего реального ключа или незаконный выпуск нового сертификата на ваше имя.

Могут ли взломать электронную подпись?

Взломать сам файл подписи нельзя, но можно взломать компьютер, на котором она используется. Если на вашем ПК есть вирусы или программы удаленного доступа, хакеры могут перехватить управление в момент, когда вы вставили токен и ввели пин-код. В этом случае они подписывают документы вашей легальной подписью дистанционно. Поэтому защита компьютера антивирусом так же важна, как и защита самого токена.

Что делать, если подпись украдена?

Действовать нужно мгновенно:

1. Позвоните в Удостоверяющий центр и отзовите сертификат.
2. Заблокируйте банковские счета компани
3. Смените пароли от Госуслуг, электронной почты и систем ЭДО.
4. Подайте заявление в полицию, чтобы зафиксировать факт хищения.

Могут ли мошенники скопировать или клонировать ключ ЭП с токена, если украдут его на несколько минут?

Это зависит от типа вашего носителя и настроек при выпуске.

1. Если ключ «неизвлекаемый» (сгенерирован внутри защищенного носителя, например, Рутокен ЭЦП 2.0/3.0 или JaCarta-2 GOST): Нет, скопировать его невозможно, даже имея физический доступ и зная пин-код. Можно только воспользоваться им, пока он в руках мошенника.
2. Если ключ «копируемый» (записан как обычный файл на флешку или пассивный токен): Да, его можно скопировать за несколько секунд и вернуть носитель на место. Рекомендация: При выпуске подписи всегда просите делать ключ неизвлекаемым.

Опасны ли публичные Wi-Fi сети для работы с электронной подписью?

1. Да, риски существуют. В открытых сетях (кафе, метро, отели) злоумышленники могут перехватывать передаваемые данные. Хотя сама подпись формируется внутри вашего устройства (или токена), хакеры могут перехватить доступ к вашему личному кабинету (логин/пароль) или подменить документ в процессе его загрузки на сервер. Для работы с юридически значимыми документами используйте только защищенные корпоративные сети или мобильный интернет.