ЭЦП и мошенники: как обезопасить себя от ухищрений киберзлодеев
Электронная цифровая подпись стала распространенным решением для работы с документацией. Она позволяет не тратить время на оформление бумаг, обмениваясь с контрагентами электронными версиями материалов, которые имеют юридическую значимость. С недавних пор воспользоваться электронной подписью при оформлении деловой документации, в том числе, при совершении сделок, получили право и физические лица.
ЭЦП: история и современность
Появились электронные цифровые подписи давно. Еще в 1976 году американские криптографы предложили это понятие, позднее появились первые алгоритмы шифрования, которые позволили реализовать ЭЦП на практике. В России использование электронной цифровой подписи было закреплено в 2001 году специальным законом. С тех пор она является юридически значимым средством визирования документов и принимается различными учреждениями, наравне с личной подписью человека, сделанной на бумажном носителе.
Выдают электронные подписи в нашей стране удостоверяющие центры (УЦ), аккредитованные государством для выполнения этой функции. Получить ЭЦП достаточно просто. Для этого нужно предоставить УЦ свой паспорт, СНИЛС, заполнить и подписать от руки необходимые документы. Тем, кто действует от имени компании, нужно будет подтвердить свои полномочия доверенностью.
Чаще всего ЭЦП предоставляется записанной на обычную USB-флешку. Строгих правил тут нет, просто это – самый удобный в использовании носитель информации. ЭЦП можно записать и на жесткий диск компьютера в виде файла с расширением *.cer. Вместе с самой подписью всегда должны присутствовать и ключи к ней – закрытый (ключ электронной подписи) и открытый (ключ проверки).
При подписании электронного документа достаточно вставить накопитель с ЭЦП в порт компьютера, подключенного к системе, и он скопирует в электронный документ всю необходимую информацию. Подпись поставлена – и документ приобретает юридическую значимость.
Конечно, цифровой носитель с ЭЦП нужно беречь точно так же, как паспорт и другие личные документы. При утере или краже флешки с подписью необходимо немедленно сообщать в полицию – пока вы этого не сделали, она считается действующей.
ЭЦП и мошенники
ЭЦП не зря считается самым надежным на сегодня способом подписания электронных документов. Тем не менее, это не исключает случаев ее неправомерного использования. Впервые о том, что электронная цифровая подпись была использована мошенниками, стало известно весной 2019 года.
Тогда владелец квартиры на Тверской улице в Москве обнаружил, что в платежках за коммунальные услуги, полученных им за очередной месяц, значится другой собственник. Выяснилось, что еще осенью он «подарил» свою квартиру жителю Уфы. Сделка была оформлена с использованием ЭЦП. В реальности ничего подобного москвич, естественно, не совершал.
Стали известны и другие случаи. Так, злоумышленники переводили пенсионные накопления россиян из одного пенсионного фонда в другой. Дело дошло до того, что Пенсионный фонд РФ даже перестал принимать соответствующие заявления, подписанные при помощи ЭЦП.
Как это могло случиться
Во всех случаях мошенничества с ЭЦП преступники использовали подписи, выпущенные удостоверяющими центрами дистанционно, без присутствия заявителя. Стало это возможным, во многом, из-за недостаточного контроля со стороны государственных органов за удостоверяющими центрами. Но злоумышленниками использовалась и незащищенность цифровых устройств простых граждан. Никто из пострадавших ЭЦП не оформлял.
Показателен случай с владельцем московской квартиры. За некоторое время до совершения подложной сделки он обнаружил подозрительные действия в своей учетной записи на портале «Госуслуги». Обратившись в службу поддержки, человек получил ответ, что ничего криминального не обнаружено.
На деле же преступники через «Госуслуги» получили доступ к персональным данным москвича – серии и номеру паспорта, номеру СНИЛС и т. п. В результате в их распоряжении оказалось все необходимое для дистанционного оформления подписи.
Чтобы получить доступ к аккаунту, мошенники «вскрыли» одно из электронных устройств жителя Тверской улицы. Не исключено, что на нем они нашли еще и скан-копию паспорта пострадавшего, что только облегчило им выполнение задачи.
Цифровая гигиена
Важно понимать, что защититься от мошенничества с ЭЦП можно, наведя порядок в своих собственных аккаунтах. Таким образом, вмешаться в работу самой электронной подписи киберзлодеи не могут, а вот оформить ее на подставное лицо – запросто. Но только в том случае, если они имеют доступ к персональным данным пользователя.
В тех случаях, когда полицейские выявляли случаи использования подложных ЭЦП, всегда фигурировали действия с персональными данными пользователей. Злоумышленники предоставляли регистраторам номера действующих документов будущих жертв. Конечно, нужно иметь и скан подписи (не электронной, конечно, а «бумажной»). Дальше преступники используют свои связи в одном из удостоверяющих центров, уполномоченных для выдачи электронной цифровой подписи, или просто пользуются недобросовестностью их сотрудников.
Поэтому, в первую очередь, нужно провести «ревизию» своих личных записей: проверить, где и в какой форме могут находиться в Сети ваши персональные данные. Их можно случайно «выложить» в социальной сети, отправить в мессенджере, сохранить в облаке – ко всем этим данным хакеры могут получить доступ, взломав аккаунт или просто получив пароль.
Отсюда, первое правило безопасности: никогда не публиковать и не хранить личные данные в Интернете и не отправлять их в мессенджерах или по электронной почте. Учтите, что даже устройство или аккаунт человека, которому вы доверяете, как самому себе, могут быть вскрыты мошенниками.
Защита компьютеров и смартфонов
Вторая мера безопасности – защита ваших собственных электронных устройств. Получив доступ к ним, злоумышленники могут получить и ваши персональные данные. Например – из аккаунта на сайте или в приложении «Госуслуги». Организовать такую защиту очень просто. Для начала – защитите доступ к ним при помощи пароля, пин-кода или отпечатка пальца. И помните, что тот же самый смартфон могут украсть. В конце концов, каждый из нас может просто потерять его.
Но и только защиты доступа к устройству недостаточно. Любой элемент цифровой экосистемы нуждается в средствах программной защиты.
Антивирусы и комплексные системы защиты
Название «Лаборатория Касперского» известно в России, наверное, даже тем, кто никогда не пользовался компьютером. Компания выпускает отличные решения для защиты и персональных устройств, и корпоративных систем. Более того, при помощи такого ПО можно защитить и компьютер, и мобильное устройство (они сегодня «рискуют» даже больше, чем ПК). Хороший пример такой защиты – Kaspersky Internet Security, при помощи которого можно защитить от одного до пяти устройств. Есть и отдельная версия для смартфона.
Можно воспользоваться и решениями от ESET, другого популярного разработчика решений безопасности. Он предлагает столь же обширный выбор решений и для компаний, и для частных пользователей. Есть у ESET и мобильное решение.
Еще один поставщик надежных систем защиты – компания «Доктор Веб». Она, как и ее конкуренты, предлагает и «домашние» продукты, и корпоративные.