Главная » Разное

Способы подделки электронных документов

Содержание
  1. Даже усиленную электронную подпись можно украсть
  2. Электронная кража квартир: новинки криминального бизнеса
  3. Вернут ли украденную квартиру
  4. Что такое электронная подпись
  5. Виды ЭП
  6. Алгоритм шифрования ЭЦП
  7. Составляющие электронной подписи
  8. Хранение ключей
  9. Способы подделки электронной подписи
  10. Способы подделки электронных документов
  11. Чем подделка подписи отличается от махинации
  12. Как защититься в интернете?
  13. Подделка электронной подписи: какие риски и как ее защитить
  14. Можно ли подделать ЭП
  15. Случаи мошенничества с ЭЦП
  16. Что делать, если ЭЦП украли
  17. Как обезопасить ЭП
  18. Какая ответственность за подделку и незаконное использование ЭП

Даже усиленную электронную подпись можно украсть

Интер­нет пода­рил нам боль­шие воз­мож­но­сти. При помо­щи него мож­но узнать любую инфор­ма­цию, купить авиа­би­лет, опла­тить ком­му­наль­ные пла­те­жи и нало­ги, заклю­чить тор­го­вый кон­тракт, продать/купить иму­ще­ство, осу­ществ­лять опе­ра­ции на бир­жах и т. д. Бумаж­ные доку­мен­ты и пас­пор­та заме­не­ны элек­трон­ны­ми вер­си­я­ми. Неска­зан­ный про­гресс и боль­шое удоб­ство. Но как все более выяс­ня­ет­ся, и огром­ная опас­ность. Не толь­ко мы узна­ем все из интер­не­та, но и интер­нет узна­ет о нас все.

Жули­ки за годы суще­ство­ва­ния сети непре­рыв­но совер­шен­ство­ва­ли свои схе­мы, исполь­зуя все мето­ды: игру на довер­чи­во­сти, кра­жу паро­лей, пере­пис­ки, взло­мы ком­пью­те­ров и пр. Одна­ко недав­но ста­ло про­ис­хо­дить нечто прин­ци­пи­аль­но новое. Без ведо­ма соб­ствен­ни­ков при помо­щи элек­трон­ных доку­мен­тов и элек­трон­ной под­пи­си ста­ли похи­щать квар­ти­ры. На днях в Москве про­изо­шла элек­трон­ная кра­жа недви­жи­мо­сти по ули­це Твер­ской. Как такое мог­ло про­изой­ти, и поче­му элек­трон­ная под­пись, при­зван­ная мак­си­маль­но защи­тить доку­мент, ока­за­лась бессильной?

Электронная кража квартир: новинки криминального бизнеса

Предыс­то­рия

Вла­де­лец жилья (назо­вем его Р.) слу­чай­но обна­ру­жил не свою фами­лию в пла­теж­ной кви­тан­ции и бро­сил­ся в Росре­естр. Там ему объ­яс­ни­ли, что он…подарил свою квар­ти­ру уфим­цу И. (маши­ни­сту по спе­ци­аль­но­сти). Послед­ний, есте­ствен­но, даже и не дога­ды­вал­ся, что стал обла­да­те­лем очень доро­гой сто­лич­ной недвижимости.

Все доку­мен­ты были пра­виль­но оформ­ле­ны через интер­нет на сай­те ЕГРН и под­пи­са­ны элек­трон­ной под­пи­сью. Так как пре­ступ­ни­ки обыч­но исполь­зу­ют мно­го­сту­пен­ча­тые про­да­жи, через какое-то вре­мя квар­ти­ру навер­ня­ка про­да­ли бы дру­го­му чело­ве­ку, и вер­нуть ее ста­ло бы про­бле­ма­тич­но. К тому же в таких “сдел­ках” от быв­ших хозя­ев мно­го­мил­ли­он­но­го жилья ста­ра­ют­ся поско­рее изба­вить­ся. Так что Р. еще “повез­ло”, что его не убра­ли рань­ше, чем он обна­ру­жил эту аферу.

Вернут ли украденную квартиру

Это зави­сит от реше­ния ново­го соб­ствен­ни­ка: если он отка­жет­ся от “даре­ния”, жилье будет воз­вра­ще­но закон­но­му соб­ствен­ни­ку. А если нет? Пра­ва соб­ствен­ни­ков, у кото­рых отби­ра­ют жилье, у нас ведь не защи­ще­ны. Р. дол­жен доказать:

  • что он не дарил квартиру;
  • не оформ­лял дого­вор даре­ния на сай­те Росреестра;
  • нико­гда не полу­чал сер­ти­фи­кат циф­ро­вой подписи (!).

Но как дока­зать, что элек­трон­ные доку­мен­ты и под­пи­си под­де­ла­ны, если все с точ­ки зре­ния Росре­ест­ра оформ­ле­но иде­аль­но? И како­вы вооб­ще кри­те­рии под­лин­но­сти ЭД и ЭП суще­ству­ют? Ведь явно, что исте­ри­ки и обмо­ро­ки ограб­лен­ных вла­дель­цев к ним не относятся.

Но как полу­чи­лось, что элек­трон­ная под­пись в руках афе­ри­стов ста­ла опас­ным ору­жи­ем? В чем же ее уязвимость?

Что такое электронная подпись

Элек­трон­ная под­пись (ЭП) — сред­ство, под­твер­жда­ю­щее связь непо­сред­ствен­но с элек­трон­ным доку­мен­том (ЭД) и его авто­ром. Это не под­пись в при­выч­ном виде, кото­рая суще­ству­ет физи­че­ски и кото­рую мож­но под­де­лать или ско­пи­ро­вать. Элек­трон­ная циф­ро­вая под­пись (ЭЦП) явля­ет­ся рек­ви­зи­том ЭД, его шиф­ро­ван­ным хешем, полу­чен­ным мето­дом криптографии.

Виды ЭП

Элек­трон­ная под­пись бывает:

  • про­стой: под­твер­жда­ет­ся кода­ми и паролями;
  • уси­лен­ной неквалифицированной:
    • созда­ет­ся при помо­щи криптографии;
    • иден­ти­фи­ци­ру­ет подписанта;
    • обна­ру­жи­ва­ет изме­не­ние ЭД после подписи;
    • созда­ет­ся с исполь­зо­ва­ни­ем ср‑в, вхо­дя­щих в состав ЭП.
  • уси­лен­ной ква­ли­фи­ци­ро­ван­ной ЭП: обла­да­ет все­ми свой­ства­ми ква­ли­фи­ци­ро­ван­ной ЭП плюс ко всему:
    • выда­ет­ся ква­ли­фи­ци­ро­ван­ный сер­ти­фи­кат с ука­за­ни­ем откры­то­го ключа;
    • ср-ва для полу­че­ния и про­вер­ки долж­ны соот­вет­ство­вать тре­бо­ва­ни­ям ФЗ № 63.

Алгоритм шифрования ЭЦП

Шиф­ро­ва­ние про­ис­хо­дит по асим­мет­рич­ной схе­ме, в кото­рой гене­ри­ру­ют­ся два клю­ча — откры­тый и закры­тый: откры­тый слу­жит для шиф­ро­ва­ния, закры­тый — для рас­шиф­ров­ки. Одна­ко алго­ритм созда­ния ЭЦП обратный:

  • закры­тый слу­жит для созда­ния под­пи­си и под­пи­са­ния документа;
  • откры­тый — для про­вер­ки под­лин­но­сти подписи.
Читайте также:  Все способы получения предельных одноатомных спиртов

Составляющие электронной подписи

ЭЦП состо­ит из трех элементов:

  • сред­ство созда­ния ЭЦП:
    • крип­то­про­вай­дер (КП), уста­нав­ли­ва­ет­ся пря­мо на ПК;
    • токен со встро­ен­ным КП, защи­щен­ный паролем;
    • облач­ное хранилище;
  • пара клю­чей (закры­тый и при­вя­зан­ный к нему открытый);
  • сер­ти­фи­кат, при­вя­зы­ва­ю­щий ЭЦП к ее владельцу.

Хранение ключей

Закры­тый ключ (ЗК) изве­стен толь­ко вла­дель­цу и дол­жен тща­тель­но им охра­нять­ся, так вла­де­ние им даст воз­мож­ность зло­умыш­лен­ни­ку под­пи­сать любой доку­мент. Хра­нить ключ на ПК, гад­же­те или флеш-кар­те — не луч­шее реше­ние. Луч­ше исполь­зо­вать для это­го съем­ные носи­те­ли смарт-кар­ты, флеш-бре­ло­ки, “таб­лет­ки” с памя­тью. Все это при­об­ре­та­ют­ся в цен­трах сер­ти­фи­ка­ции. Так­же мож­но исполь­зо­вать для хра­не­ния реестр ПК.

При поте­ре закры­то­го клю­ча он не вос­ста­нав­ли­ва­ет­ся — о поте­ре надо сооб­щить в удо­сто­ве­ря­ю­щий центр.

В Рос­сии ско­ро кар­ты и бре­ло­ки для хра­не­ния элек­трон­ной под­пи­си заме­нят облач­ным хра­ни­ли­щем, что даст воз­мож­ность под­пи­сы­вать элек­трон­ные доку­мен­ты не толь­ко на ПК, но и на любом гад­же­те. Одна­ко минус в том, защи­та облач­ной под­пи­си более уяз­ви­ма, чем на смарт-карте.

Способы подделки электронной подписи

Зло­умыш­лен­ник может полу­чить взло­мать закры­тый ключ:

  • исполь­зуя открытый;
  • ана­ли­зи­руя полу­чен­ные или выбран­ные им элек­трон­ные документы;
  • взло­мав под­пись и полу­чив закры­тый ключ;
  • най­дя алго­ритм, похо­жий на алго­ритм ЭП, даю­щий воз­мож­ность под­пи­сы­вать любые или выбо­роч­ные документы;
  • исполь­зуя суще­ству­ю­щий (не избран­ный) ЭД.

Наи­боль­шую опас­ность пред­став­ля­ет под­дел­ка элек­трон­ной под­пи­си на осно­ве кон­крет­ных выбран­ных доку­мен­тов, кото­рая назы­ва­ет­ся адап­тив­ной атакой.

Под­дел­ка элек­трон­ной под­пи­си — очень слож­ная зада­ча для крип­то­ана­ли­ти­ка, поэто­му чаще все­го под­де­лы­ва­ют не ЭП, а сами элек­трон­ные документы.

Способы подделки электронных документов

Спо­соб 1. Под­бор доку­мен­та к гото­вой подписи:

Тех­ни­че­ски слож­ная зада­ча, так как нуж­но сохра­нить фор­му, фор­мат и смысл тек­ста. Афе­ри­стов спа­са­ет оби­лие доку­мен­тов с гото­вой слу­жеб­ной фор­мой, где нуж­но про­сто запол­нять поля.

Спо­соб 2. Изго­тов­ле­ние двух доку­мен­тов с оди­на­ко­вой ЭП и заме­на в нуж­ный час одно­го ЭД другим:

Тако­го рода ата­ка исполь­зу­ет­ся чаще. Тре­бу­ет слож­ных вычис­ле­ний, исполь­зу­ет бре­ши в хеши­ро­ва­нии, сла­бом алго­рит­ме самой элек­трон­ной подписи.

Спо­соб 3 (соци­аль­ный). Не взлом, а полу­че­ние гото­вых ключей:

  • кра­жа клю­ча с ПК, устрой­ства хра­не­ния ЭП;
  • полу­че­ние клю­ча при помо­щи про­то­ко­ла сле­пой под­пи­си (поль­зо­ва­тель под­пи­сы­ва­ет доку­мент, не зная его содержание);
  • под­ме­на чужо­го откры­то­го клю­ча на свой с при­сво­е­ни­ем себе чужо­го имени.

Чем подделка подписи отличается от махинации

Что­бы под­де­лать под­пись, то есть взло­мать закры­тый включ, нуж­но все же знать крип­то­гра­фию и обла­дать ана­ли­ти­че­ским умом. Рабо­та крип­то­ана­ли­ти­ка-хаке­ра навер­ня­ка сто­ит неде­ше­во. Куда про­ще пре­ступ­ни­ку идти по про­то­рен­ной дорож­ке, имея “свои” кадры:

  • в стра­хо­вых пен­си­он­ных фондах;
  • орга­нах, реги­стри­ру­ю­щих недвижимость;
  • цен­трах, выда­ю­щих сер­ти­фи­ка­ты ЭП и т. д.

Для махи­на­то­ров боль­шо­го ума не надо, а достаточно:

  • повтор­но исполь­зо­вать чью-то ЭП, если уже суще­ству­ет доку­мент с ней:
    • таким обра­зом кра­дет­ся недвижимость;
    • путем под­дел­ки заяв­ле­ний с исполь­зо­ва­ни­ем ЭП мас­со­во были фак­ти­че­ски укра­де­ны день­ги со сче­та ПФР под видом пере­во­да денег в НПФ (неком­мер­че­ские пен­си­он­ные фонды);
  • украсть чью-то под­пись: осо­бен­но при уда­лен­ном спо­со­бе полу­че­ния и хранения;
  • про­сто изго­то­вить ЭП без ведо­ма само­го граж­да­ни­на и осу­ществ­лять все сдел­ки вме­сто него, как это слу­чи­лось с жите­лем сто­ли­цы Р.

Как защититься в интернете?

Ило­ны мас­ки кри­ми­наль­но­го раз­ли­ва не сидят на месте, а выхо­дят на свою новую, высо­кую, но толь­ко чер­ную орби­ту. Это те убо­гие, кото­рые веч­но будут исполь­зо­вать любой про­гресс и дости­же­ния, что­бы еще боль­ше воро­вать, жиреть и бога­теть. И самое ужас­ное, что от этих тва­рей, уже про­ник­ших в учре­жде­ния Росре­ест­ра, ЕСИА, а теперь по всей види­мо­сти взяв­ших еще один басти­он — цен­тры сер­ти­фи­ка­ции, нет защи­ты. К чер­ту анти­ви­ру­сы, смарт-кар­ты, токе­ны, слож­ный алго­ритм шиф­ро­ва­ния ЭП! Ниче­го это не поможет:

  • если чест­ность само­го удо­сто­ве­ря­ю­ще­го цен­тра может быть под сомнением;
  • если инфор­ма­ция о каж­дом граж­да­нине, кото­рый хоть раз поль­зо­вал­ся сай­том госус­лу­ги и дру­ги­ми инфор­ма­ци­он­ны­ми систе­ма­ми, сво­бод­но есть в интернете;
  • если мож­но вос­поль­зо­вать­ся чьи­ми-то пер­со­наль­ны­ми дан­ны­ми и све­де­ни­я­ми об иму­ще­стве, кото­рым обла­да­ет дан­ное лицо;
  • если мож­но создать элек­трон­ную под­пись без ведо­ма само­го человека;
  • если не создать дей­стви­тель­но надеж­ную систе­му иден­ти­фи­ка­ции обла­да­те­ля ЭП;
  • если не иско­ре­нить саму воз­мож­ность подоб­ных преступлений.
Читайте также:  Способы достижения целей общественно политическими движениями

Пока все эти “если” не будут раз­ре­ше­ны, мож­но дать сове­ты, кото­рые могут предот­вра­тить элек­трон­ную кражу:

  • Бере­ги­те ваши лич­ные пер­со­наль­ные данные.
  • Созда­вай­те элек­трон­ную под­пись на токене с паролем.
  • Ключ хра­ни­те не на ком­пью­те­ре, не на флеш­ке, а на смарт-карте.
  • Не под­пи­сы­вай­те доку­мен­ты в интер­не­те вслепую.
  • Избе­гай­те облач­ных хра­ни­лищ для созда­ния и хра­не­ния ЭП.

Но самый вер­ный спо­соб вот:

Нуж­но заявить в ЕГРН (Росре­естр) об отка­зе от сде­лок с недви­жи­мо­стью с исполь­зо­ва­ни­ем элек­трон­ной под­пи­си. В этом слу­чае без лич­но­го при­сут­ствия заяви­те­ля сдел­ка будет при­зна­на неза­кон­ной, и элек­трон­ная кра­жа ста­нет невозможной.

Источник

Подделка электронной подписи: какие риски и как ее защитить

Подделка электронной подписи — это компрометация ключевого носителя информации. Фальсификация ЭЦП практически невозможна, но есть много других вариантов мошенничества с цифровой КЭП.

Можно ли подделать ЭП

Электронная подпись — защищенный носитель ключевой информации, на котором зашифрованы данные владельца. Документы, подписанные квалифицированными электронными подписями (КЭП), признаются полностью юридически значимыми и соответствуют бумажным регистрам, завизированным физлицом (ч. 1 ст. 6 63-ФЗ от 06.04.2011).

В этом и заключаются основные риски электронной подписи — умышленное использование ЭП без ведома владельца приводит к незаконному обогащению и другим правонарушениям.

По сути, ЭП соответствует по значимости паспорту. Использование цифровой подписи подтверждает не только личность физлица, но и его согласие на определенные действия. Если подписали документ, провели удаленную сделку с ЭЦП, эти операции признаются юридически значимыми. И фактически не важно, кто их выполнял — владелец или другой человек: доказать в суде умышленное использование ЭЦП третьим лицом очень сложно.

В 63-ФЗ определено, что подделать электронную подпись нельзя. ЭП создают с применением криптотехнологий, взломать или подделать ее не получится. Мошенничество с ЭЦП заключается в другом — краже ключевого носителя, подборе PIN-кода к закрытой части цифровой подписи.

Любая ЭП состоит из открытой и закрытой частей. Открытая часть — это сертификат ЭЦП: он доступен для просмотра всем получателям документа. А вот закрытую часть знает только владелец: она хранится на ключевом носителе (токене) или записывается на ПК. Закрытую часть ЭП защищают PIN-кодом, который и пытаются узнать мошенники.

Раньше, чтобы получить поддельные электронные подписи, мошенники фальсифицировали личные документы физлица и передавали их в удостоверяющий центр для получения ЭЦП на имя этого человека. Но с 01.07.2020 правила изменились: чтобы получить ЭП, владельцу сертификата необходимо посетить удостоверяющий центр и подтвердить свою личность.

Случаи мошенничества с ЭЦП

Возможных случаев мошенничества с электронной подписью много: с ЭЦП другого лица подписывают документы, переводят деньги и даже заключают сделки с недвижимостью. Как пример:

  • открытие фирмы-однодневки на физлицо;
  • закрытие или передача бизнеса по ЭП руководителя;
  • получение кредитов, микрозаймов;
  • вывод денег из компании и ее ликвидация;
  • подача искаженных деклараций по НДС для возмещения налога;
  • мошенничество на торгах при участии в госзакупках, блокировка доступа участника к торговым процедурам;
  • удаленное оформление договора купли-продажи, дарения.

В 2018 году случился прецедент: у москвича отобрали квартиру, оформив сделку с использованием ЭЦП. Владелец жилья узнал о том, что его недвижимость передали по договору дарения, в квитанции на оплату ЖКХ — там сменился собственник квартиры. Более того, у него не было ЭЦП — мошенники подделали его документы и оформили цифровую подпись вместо него. Сейчас получить ЭЦП без владельца нельзя. А с 2019 года и Росреестр не проводит сделки по недвижимости физлиц без согласия собственника на процедуру с ЭП.

Бывают и такие махинации: сотрудника увольняют и забывают отозвать его ЭП. Он берет займы или покупает товары от имени организации, после чего исчезает. С образовавшейся задолженностью расплачивается организация.

С 01.07.2021 многие удостоверяющие центры потеряли права на выдачу ЭП физлицам — они не прошли переаккредитацию по новым правилам. Проверьте аккредитацию вашего УЦ: если центр не переаккредитовали, то подпись, выданная до 01.07.2021, действительна только до 01.01.2022 (ч. 4 ст. 3 476-ФЗ). А с 01.01.2022 придется получать новую ЭП в аккредитованном удостоверяющем центре.

Что делать, если ЭЦП украли

Если украли электронную подпись, действуйте по инструкции:

Читайте также:  Р акофф четыре способа решения проблем

1. Отзовите сертификат в УЦ. То же самое необходимо сделать сразу же после увольнения сотрудника.

Процедура довольно проста: следует написать заявление на отзыв в тот центр, в котором оформляли сертификат ЭП. Если вы не оформляли электронную подпись, но узнали, что кто-то оформил ее за вас, проследите цифровой путь ЭП — найдите площадку, где использовали сертификат, и посмотрите, кто его выпустил. Обратитесь в этот удостоверяющий центр и отзовите ЭЦП.

Кроме того, запросите в УЦ копии документов, по которым оформляли ЭП, — они понадобятся для заявления в полицию.

2. Подайте заявление в полицию.

Укажите в нем, что мошенники использовали электронную подпись без моего ведома, предоставьте все копии подтверждающих документов. Если в полиции не возбуждают дело, обратитесь в прокуратуру или Минкомсвязь.

3. Обратитесь в суд для аннулирования сделки.

Если с помощью украденной ЭЦП совершили юридически значимые действия (подписали документы, договор, провели операцию с недвижимостью), подайте заявление в судебный орган для признания документов или сделки недействительными. По аналогии, обратитесь в ИФНС, если от имени организации подали недостоверную декларацию или иные сведения, зарегистрировали или ликвидировали компанию.

Для аннулирования декларации подайте заявление и корректировочный отчет. Для признания недействительными регистрационные действия узнайте по выписке из ЕГРЮЛ адрес фиктивной компании и отправьте в территориальную инспекцию заявление в произвольном виде.

Как обезопасить ЭП

Ни в 63-ФЗ, ни в других нормативах нет прямого ответа, в чем опасность электронной подписи, но как и у любого документа (цифрового инструмента), у ЭП высока вероятность ее незаконного использования. Если вы никогда не оформляли ЭЦП и не знаете, делали ли это за вас, проверьте действующие ЭП на портале Госуслуги. Зайдите в личный кабинет, а затем в профиль — в раздел «Электронные подписи». Если оформленных ЭЦП нет, то и беспокоиться не о чем.

Из практики понятно, чем опасна электронная подпись для физических лиц, — тем, что ее используют без ведома владельца для подписания бумаг, проведения сделок и регистрации юрлиц для незаконного обогащения. Если вы зарегистрированы на общественных площадках (Госуслугах, официальном сайте ФНС), периодически контролируйте раздел с действующими ЭЦП. К примеру, на Госуслугах доступна проверка последних действий, там отображается информация о подаче заявлений, регистрации компании или ИП. А на сайте ФНС, в личном кабинете налогоплательщика, проверяйте, не отправил ли кто-то отчет или обращение в ИФНС за вычетом вместо вас.

Вот как обезопасить электронную подпись физлицу:

  1. Настройте в госресурсах уведомления на вход в систему через ЭП. Уведомления приходят в СМС-сообщениях и по электронной почте.
  2. Не передавайте ЭП другим людям (в том числе сотрудникам), ограничьте доступ к закрытой части ключа третьим лицам.
  3. Дополнительно защитите ПК с электронной подписью паролем, антивирусом. Обязательно установите пароль на токен или другой носитель ключевой информации с ЭЦП. Блокируйте компьютер или ноутбук, если уходите с рабочего места.
  4. Не передавайте копии и сканы личных документов неизвестным и непроверенным контрагентам, не оставляйте информацию на подозрительных сайтах.
  5. Отзовите ЭЦП уволенного сотрудника, если делали для него сертификат от организации.

Какая ответственность за подделку и незаконное использование ЭП

Отдельной уголовной статьи за то, что подделали электронную подпись, нет. Но в Уголовном кодексе РФ есть другая статья — 327 «Подделка, изготовление или оборот поддельных документов». По этой ст. 327 наказывают ограничением свободы на срок до двух лет за подделку подписи в официальных документах — предоставляющих права или освобождающих от обязанностей (ч. 1 ст. 327 УК РФ). По логике 63-ФЗ, ЭЦП является аналогом рукописной, но в цифровом формате.

Следовательно, уголовное наказание за мошенничество с бумажными регистрами распространяется и на электронные документы.

Источник

Оцените статью
Разные способы
© 2024 Разные способы.
Внимание! Информация, опубликованная на сайте, носит исключительно ознакомительный характер и не является рекомендацией к применению.