Украденная личность: как мошенничают с электронной цифровой подписью

Пока закон об электронной цифровой подписи не закрывает пути к оформлению ЭЦП по поддельным документам

Авторы: Дмитрий Казаков, Александр Самухов

Источник: РБК

Недавно к нам в адвокатское бюро обратился предприниматель: его электронную подпись подделали и сменили гендиректора компании. С помощью нового «гендиректора» мошенники вывели средства со счета компании. Подобные случаи в нашей практике не редкость. Все чаще бизнесмены сталкиваются с подделкой электронной цифровой подписи (ЭЦП).

Казалось бы, ЭЦП снабжена максимальной защитой от компрометации, конечно при условии ее корректного использования владельцем. Но это не мешает злоумышленникам находить лазейки, которые чаще всего связаны с человеческим фактором.

Как крадут

Придумано уже много преступных схем использования чужой ЭЦП. Во-первых, это кража токена (устройства для идентификации владельца ЭЦП), так что храните его в надежном месте. Во-вторых, добровольная передача ЭЦП другому лицу, заинтересованному в ее незаконном использовании. Это может быть ваш партнер, финансовый директор — кто угодно из доверенных лиц. В-третьих, мошенники часто используют вирусы. Так что пользуйтесь антивирусами и не вставляйте токен в незнакомые устройства, не переходите на незнакомые сайты и не оставляйте его в компьютере после использования.

Наконец, это могут быть классические мошеннические схемы, в том числе и с участием сотрудников центров, выдающих ЭЦП. Как это происходит? Электронная подпись может быть усиленной, то есть снабженной дополнительными степенями защиты. Среди усиленных подписей выделяют неквалифицированные и квалифицированные. Последние создаются с помощью криптографических средств, сертифицированных ФСБ. Основным компонентом ЭЦП является сертификат, с помощью которого можно установить ее подлинность и принадлежность определенному лицу. А получить ЭЦП и сертификат очень просто: для этого достаточно обратиться в один из удостоверяющих центров (УЦ), которые «делают все за час», причем само оформление может происходить дистанционно, без личного присутствия заявителя, потому как федеральный закон «Об электронной подписи» требует от сотрудников центра установить личность заявителя либо наличие «права действовать от имени заявителя». Здесь как раз и разворачивается поле для маневра третьих лиц, которые могут получить доступ к вашим данным без вашего присутствия.

Есть и другая опасность: в токене, выданном в сомнительных УЦ, могут находиться так называемые недекларированные возможности, то есть такие функциональные возможности токена, которые не учитываются в технических документах, но могут повлечь утечку информации, в частности закрытого ключа ЭЦП.

Чтобы не столкнуться с мошенниками, необходимо тщательно проверять наличие у УЦ лицензии ФСБ, наличие аккредитации при Минкомсвязи (в случае, если планируется получать квалифицированную ЭЦП).

Зачем крадут

В каких сферах чаще всего пользуются украденной ЭЦП? Это «отъем» квартиры, незаконная регистрация юридических лиц, налоговые правонарушения и т. п.

В современной уголовно-правовой практике имеется уже немало примеров подобных преступлений:

  • при продаже квартиры обычно проверяется чистота сделки. И тут предполагаемый покупатель может сообщить продавцу, что квартира ему, оказывается, и не принадлежит. Владелец обращается в правоохранительные органы и узнает, что его квартира полгода назад была продана, сделка зарегистрирована с использованием ЭЦП, которая была выдана «продавцу», но почему-то по копии старого паспорта;
  • таможенной службой зарегистрирован ряд случаев, когда в ходе проверок таможенных деклараций, поданных с использованием ЭЦП, директора («подписанты») заявляли, что никогда не получали и не использовали ЭЦП. После этого материалы передавались в правоохранительные органы;
  • юридические лица нередко обращаются в правоохранительные органы в связи с незаконным списанием (с помощью платежных поручений на имя фирм-однодневок) денежных средств со счетов своих компаний с использованием ЭЦП. Утверждают, что использовалась не их ЭЦП, а поддельная, и не ими, а другими лицами. Правоохранительные органы вынуждены проводить проверки и по факту выявляют реальные случаи подобных преступлений.

Как бороться

К сожалению, налицо законодательная дыра, которой пользуются мошенники, и пока не ужесточат контроль за выпуском ЭЦП, такие ситуации будут случаться только чаще.,

Владельцам цифровой подписи остается лишь тщательно следить за персональными данными и личной информацией, которая может быть использована, например, для изготовления поддельной доверенности. Информация часто утекает через работников банков и учреждений, где хранятся наши персональные данные. И если от недекларированных возможностей токена можно защитить себя сертифицированными носителями, защититься от «специалистов», имеющих доступ к нашим компьютерам, ноутбукам или процессу передачи данных, уже сложнее.

На наш взгляд, на законодательном уровне необходимо как минимум урегулировать вопрос удостоверения личности при оформлении ЭЦП, а как максимум — найти и ввести в действия механизмы, позволяющие обезопасить физические и юридические лица от действий злоумышленников. Да, наверное, это увеличит бюрократию, но лучше лишние проверки, чем поход по правоохранительным инстанциям с попыткой доказать, что «лошадь не моя».