Отправить статью

Как мошенники могут украсть цифровую подпись компании и списать деньги

Развитие технологий не стоит на месте и диктует свои условия в организации бизнеса. Многие предприниматели уже давно используют электронную подпись в работе с документами, тем не менее, не все знают нюансы ее использования и принципы ее хранения. Как работать с комфортом и не подвергать риску свои деньги и бизнес — рассказывает Константин Акулов, старший специалист группы технической поддержки компании «АБТ»

Как мошенники могут украсть цифровую подпись компании и списать деньги
Иллюстрация: Benoit Daoust/Shutterstock
Старший специалист и эксперт технической поддержки компании «АБТ»

Как могут украсть цифровую подпись?


Нужно поделить мошенников на две категории: мошенники, которые не очень сильны в области IT, и самые настоящие хакеры, которые знают, как использовать вирусы и похищать ваши персональные данные в своих интересах. Что касается первых, то, как правило, они подделывают документы, либо любым другим аналогичным способом подделывают данные с простой целью — обмануть организацию. Раньше у нас можно было получить подпись по доверенностям и заверенным копиям, поэтому мошенники просто фальсифицировали доверенность. Печати там не требовалось, подпись могла стоять любая согласно закону. Соответственно, злоумышленники могли просто прийти и получить электронную подпись другого человека. Только потом, спустя время, начали вводить различные ограничения. Например, подтверждение доступа к расчетному счету, подпись идентичную той, что стоит в паспорте, печать и прочее. После введения данных мер контроля воровать стало труднее.
Тем не менее, некоторые мошенники обращаются в удостоверяющие центры с поддельными оригиналами документов. Были такие случаи, когда приходил человек, представлялся директором организации, и сотрудники выписывали электронную подпись. Уже потом выяснялось, что обращался какой-то неизвестный человек, предоставлял настолько качественную подделку, что ее просто невозможно было отличить на момент оформления подписи. Доходило вплоть до того, что серия и номер были такие же, как в подлинном документе и лишь фотография отличалась. В момент выдачи такое отследить было просто невозможно.

Удостоверяющие центры по-прежнему подвергаются атакам со стороны мошенников, и остается лишь вводить новые формы контроля. Введение новых мер усложнит жизнь как мошенникам, так и клиентам, но такова цена безопасности.

Хакеры также становятся проблемой для безопасности ваших ЭЦП, и защититься от них тоже непросто. Бухгалтеры работают с электронной отчетностью, и именно к этому сервису сейчас выпускается основной объем электронных подписей. По сути, 63-ФЗ говорит нам о том, что данная электронная подпись должна храниться у руководителя организации. Однако, как показывает практика, как бухгалтеры, так и руководители не соблюдают данное правило. Никто данный закон не читал, о последствиях никто не задумывается, за исключением крупных организаций или IT-компаний, у которых есть свой человек, отвечающий за информационную безопасность. В итоге получается следующее: бухгалтер скачивает на компьютер какую-то программу, а она заражена скрытым вирусом. Антивирус, установленный на компьютер, может ее обнаружить, конечно, но если у вас недостаточно хорошая защита, может и пропустить.

Достаточно просто получить банального «трояна» или «червя», который сможет перетянуть к себе через открытый порт электронную подпись. Сама ЭЦП весит очень мало: размер одной электронной подписи в среднем составляет 5 килобайт, а ее размер в реестре может составлять от силы 20 килобайт. На текущий момент можно и без реестров скопировать информацию всего за 5 секунд, и никто об этом даже не узнает. Отсюда следует вывод, что украсть электронную подпись легко, если есть понимание и знание того, как взломать устройство бухгалтера.

Об ограничениях со стороны государства и ответственности удостоверяющих центров


Если вы внимательно вчитаетесь в 63-ФЗ, то станет ясно, что государство регулирует процедуру передачи электронной подписи. Однако ответственность лежит на плечах самих пользователей. Есть определенная зона ответственности и у удостоверяющего центра, но заканчивается она ровно там, где электронная подпись выпускается и передается клиенту.

Как только электронная подпись была передана (если она передана в соответствии с законом и требованиями ФСБ), тогда к удостоверяющему центру вопросов больше нет. Процесс получения ЭЦП уже регламентируется удостоверяющим центром. Единственное, что требует от них государство — чтобы электронная подпись передавалась строго согласно закону. Например, если она выдается руководителю, то приходить и получать ее должен именно руководитель, а не кто-то другой. Здесь, с одной стороны, требование очень простое, но добиться его исполнения очень тяжело. Удостоверяющему центру сложно проверить — пришел клиент или мошенник. Пока мошенники могут подделывать паспорта, на месте отследить данный факт будет очень сложно.

Сейчас лишь зарождается такая инициатива, согласно которой удостоверяющие центры будут пробивать человека по паспорту, по специальному коду, который указан в паспорте. Этот код прописывается в УФМС, его будут сканировать — и тогда сразу же станет ясно, кто пришел. Если же человека не находят в базе данных, то требуется дополнительная проверка, а это уже первый звоночек о том, что пришел человек с поддельным паспортом.

О токене и взаимодействии с компьютером


Токен — это особый носитель, который со стороны очень похож на простую USB-флэшку. Все токены разрабатывали в соответствии с требованиями ФСБ с целью обезопасить людей от кражи. Грубо говоря, чтобы люди не вставили его в компьютер с вирусами и оттуда не «полетели» подписи. Именно поэтому схему токена изменили, в отличие от обычной «флэшки». С виду это все тот же носитель, но тип памяти там совсем другой. Есть специальный чип, который разрабатывается именно заводом-изготовителем. Они записывают алгоритм того, как эта память должна работать, и она небольшая по сравнению с обычной флэшкой.

Максимальный размер токена, с которым я работал, составлял 64 килобайта, но я слышал и про 128 килобайт, но это уже уникальные случаи. Вся работа происходит согласно требованиям ФСТЭК — на носителе должен стоять пин-код. Когда компьютер получает электронную подпись, он сначала взаимодействует с носителем. Компьютер не может работать с токеном по умолчанию, для этого устанавливают дополнительные панели и программы. Лишь потом, если вы правильно введете пин-код, компьютер разрешит обратиться к электронной подписи. К слову, попыток для ввода кода около 10. Важно лишь то, что если вы введете пин-код неправильно указанное количество раз, токен блокируется.

На таком носителе всегда два уровня безопасности: пользователь и администратор. Если он блокируется, то разблокировать сможет лишь администратор. Если же администратор также вводит неверный пин-код, тогда токен блокируется на двух уровнях, и сделать с ним вы уже ничего не сможете. Даже сбросить его или просто сделать пустым не получится, что превращает носитель в бесполезный кусок пластика. С обычной флэшкой так сделать нельзя: даже если вы установите на нее пароль, то вводить его можно неограниченное количество раз. К примеру, если поставить на электронную подпись пароль, а на компьютере будут вирусы, и вы подключитесь с обычной флэшки, то есть риск, что один из этих вирусов украдет эту подпись, и злоумышленник попытается ее взломать. Хакер не будет взламывать ее на вашем компьютере, он украдет подпись и взломает ее уже на своем устройстве.

С токеном же все иначе из-за того, что он не обладает своей флэш-памятью и обращаться к нему можно только через «КриптоПро» или любое другое csp, которое стоит на компьютере. «КриптоПро» является разработанной утилитой, которая используется во многих программах; она предназначена для работы с электронной подписью. Вирусы не умеют обращаться к носителю через другие программы, из-за чего кража становится еще сложнее. Можно утверждать, что даже если на компьютере установлено плохое программное обеспечение, но на токене стоит не заводской пин-код, а тот, который установили вы, то в 99 % случаев кража невозможна.

Даже если у вас украдут саму подпись, то можно не переживать, что ею кто-то воспользуется, потому что пароль, который вы установили, попросту не получится взломать. Тем не менее, отозвать подпись вы обязаны с грифом «компрометация» согласно 63-ФЗ, так как произошла компрометация ключа.

Есть такие подписи, которые в принципе невозможно украсть с токена. Для этого используется специальное применение в удостоверяющем центре под названием «не экспортируемый ключ». Даже если вы запишете такой ключ на флэшку, а не на токен, то через «КриптоПро» взять его уже не получится, потому что там стоит своеобразный признак недвижимости. Вы можете взять классический носитель, записать на него «не экспортируемый ключ», и даже если у вас будет очень сложный пароль, который взломают, подпись оттуда скопировать все равно не получится.

Некоторые просто покупают подпись и делают копии на токены. Допустим, у вас есть 4 носителя с одной и той же подписью, и вы выдаете ее тем сотрудникам, которым доверяете ее использование, к примеру, тендерному отделу. Если руководитель им доверяет, то он выдает им подпись. Тут есть юридический нюанс: тендерному отделу понадобится доверенность о том, что руководитель действительно передал им полномочия на использование данной подписи. Реальная же ситуация такова, что таких договоренностей никто не делает, потому что никто не проверяет. 63-ФЗ прописал работу процедурно, то есть в случае какого-либо разбирательства такой документ должен присутствовать.

Как можно списать деньги


Представьте, что мошенники выпустили на ваше юридическое лицо электронную подпись по поддельным документам. Они взяли сканы ваших документов и начали представляться от вашего имени. У вас на расчетном счете лежит условный миллион рублей. В тот самый момент, когда злоумышленники получили электронную подпись, они формируют пакет документов, в которых указывают, что руководитель, который действует на данный момент, прекращает свои полномочия. Прописывают нового руководителя, ссылаясь на какого-нибудь неизвестного человека. Все это подается в налоговую, потому что документ, подписанный электронной подписью, согласно 63-ФЗ является юридически значимым. В новой поправке любая организация, получающая такие документы, обязана принимать их юридическую значимость. Соответственно, когда злоумышленники отправили документы, их начинают рассматривать, не зная, кто их подал.
С того момента, как данные в ЕГРЮЛ меняются, на расчетном счете тоже должны произойти изменения. Когда злоумышленник уже вступил в силу как директор, мошенники выпускают новую банковскую электронную подпись и получают доступ к расчетному счету, снимая оттуда деньги.

Важно понимать, что вся эта процедура прозрачна — то есть видно, кто снимал и как снимал. Поэтому это всегда делается на номинальных руководителей, которые потом говорят: «Я руководитель, мне эти ребята деньги дали, личности их подтвердить не могу и я к этому никак не причастен». Как только деньги сняты, все, людей больше не найти.

Как защититься


Прежде всего, вам следует завести безопасное облако. На облаке подпись хранить не надо, но там вы сможете хранить свои пароли, пин-коды от токенов. К примеру, вы запросили коммерческую подпись для торгов и попросили сделать ее «не экспортируемой», записываете это на сертифицированный носитель. Как только вы получаете этот носитель, вы меняете пин-коды и записываете их, потому что практика показывает, что люди часто забывают свои пароли. Очень важно не забывать и не путать коды от пользователя и от администратора. Устанавливаете код на подпись — и все, дальше у вас уже никто ничего украсть не сможет. Главное, чтобы вы не потеряли физический носитель. Его нельзя будет ни скопировать, ни взломать. Следите за носителем, конечно, не нужно брать его с собой везде и всегда, чтобы не потерять или чтобы у вас его не украли. Также следите за своими персональными данными. Все свои документы тоже неправильно отдавать представителям. Очень важно сохранять конфиденциальность при заполнении заявки онлайн. Тут должен быть защищенный канал, чтобы данные не украли, и они не попали к третьим лицам.

Если вдруг вы узнали, что кто-то на вас выпустил электронную подпись, то нужно незамедлительно поменять свой паспорт и СНИЛС. Также надо обратиться в полицию, в УФМС и Пенсионный фонд. Очень важно сделать это оперативно, потому что у злоумышленника может быть просто заверенная копия, которой он может пользоваться и в дальнейшем. Любое промедление может привести к тяжелым последствиям, потому что пока вы не поменяете свои данные, мошенники могут продолжать пользоваться вашей электронной подписью и оформлять договоры, списывать суммы и прочее.

Это далеко не единственные способы кражи и использования вашей электронной подписи. Были такие случаи, когда мошенники пользовались данными абсолютно официально и даже выполняли работу за человека. Например, есть организации, которые сдают отчетность за компании. Такие конторы набивают себе базу, существуют на рынке какое-то время, а потом забирают подписи всех клиентов, которые у них имеются, и проводят с ними запрещенные операции, списывают деньги и исчезают.

Единственно верным способом защиты было и остается бережное отношение к своим данным. Следите за тем, как и где хранятся ваши данные, кто их использует; доверяйте только проверенным сотрудникам. Вы сами можете обеспечить безопасность своих данных.
Деловой мир в
и
Деловой мир в
и
0 комментариев
Отправить
Чтобы оставить комментарий, авторизируйтесь или зарегистрируйтесь