Электронная подпись: как не стать жертвой мошенников

It-world

По данным опроса финансового маркетплейса «Выберу.ру», в 2024 году почти 20% россиян столкнулись с мошенничеством, где были задействованы ЭП или мобильное приложение для выпуска сертификата электронной подписи «Госключ». Годом ранее Федеральная налоговая служба зафиксировала более 43 тыс. нарушений с использованием ЭП, самым распространенным из которых была выдача ЭП по поддельным документам.

Электронная подпись: как не стать жертвой мошенников
© It-world

Сегодня передача ключей ЭП третьим лицам остается самой распространенной причиной мошенничества – социальная инженерия процветает и на этой поляне. И самое неприятное здесь то, что ответственность полностью возлагается на владельца.

Как работает электронная подпись

Простая ЭП представляет собой комбинацию из логина, пароля и кода подтверждения, который приходит по электронной почте, СМС, USSD и другими способами. Получить ее легко – например, с помощью учетной записи на портале Госуслуг, или просто пройдя регистрацию на сайте, в приложении или на портале, где ее планируется использовать.

Простая ЭП очень удобна для повседневного использования, Как правило, ее достаточно для идентификации личности или действий пользователя на различных интернет-платформах и форумах, для отправки обращений в некоторые органы власти, заказа справок из банка и т.д. Но высокого уровня безопасности она не обеспечивает. Например, для подписания юридически значимых операций, для подписания документов, содержащих конфиденциальные сведения или тайную информацию, простой ЭП не обойтись.

Усиленная ЭП (неквалифицированная и квалифицированная) создается с помощью средств криптографической защиты информации (СКЗИ). Суть усиленной ЭП состоит в связке из двух ключей: закрытого и открытого. Закрытый ключ есть только у владельца, и используется для подписания. Открытый ключ доступен всем, кому отправляют документ, и нужен для проверки подлинности подписи. Оба ключа математически связаны, и если что-то пойдет не так, проверка это покажет.

При подписании документа с помощью усиленной ЭП математический алгоритм рассчитывает контрольную сумму открытого и закрытого ключа (хэш), в результате формируется отдельный документ электронной подписи – чаще всего формата .sig. Такая архитектура усиленных ЭП не только защищает от взлома, но и гарантирует целостность подписанного документа: при внесении даже самых незначительных изменений контрольная сумма меняется, математическая связь ключей разрывается, и подпись к документу становится недействительной.

Sig-файл – это некий контейнер подписи, в котором содержится вся основная информация о том, когда именно и кем документ был подписан.

В РФ цифровая подпись обладает высокой степенью защищенности благодаря применению стандартов криптографической защиты информации: ГОСТ Р 34.10-2012 «Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи»; ГОСТ 34.12-2018 «Информационная технология. Криптографическая защита информации. Блочные шифры»; ГОСТ 34.13-2018 «Информационная технология. Криптографическая защита информации. Режимы работы блочных шифров». Надежность криптографических методов практически полностью исключает ситуации, при которых злоумышленники подделали электронную подпись человека.

Благодаря криптографии усиленные виды электронной подписи абсолютно устойчивы к техническим атакам. Теоретически, такие атаки можно разделить на два основных вида: математический взлом алгоритма и получение доступа к ключу ЭП.

Математический взлом алгоритма. На практике он невозможен. За последние 80 лет успешно атаковать похожую систему получилось лишь один раз – во времена Второй мировой войны, когда взломали немецкую военную шифровальную машину «Энигма». Если были и другие атаки, то мы о них вряд ли сможем узнать, потому что, скорее всего, это крайне дорогие и засекреченные операции спецслужб. Обычному пользователю этого бояться не стоит – на всех таких ресурсов не хватит ни у кого. Сегодня подобное – фантастика. Криптография остается самым надежным способом защиты информации. Даже если попытаться взломать одну электронную подпись, на это потребуется около 10 тыс. лет и мощность всех компьютеров мира. Алгоритмы со времен «Энигмы» сделали несколько качественных шагов, и на практике взлому не поддаются.

Есть угроза, что часть из алгоритмов будет уязвима перед квантовыми компьютерами. Но в ближайшие десятилетия в руки злоумышленников такое оборудование вряд ли попадет, да и на практике успешно реализовать алгоритм взлома пока нельзя. Это только теория. К тому же уже есть семейства постквантовых математических алгоритмов, которые устойчивы и перед квантовыми методами подбора. Есть все признаки того, что постепенно будет происходить переход на подобные алгоритмы, но конечный пользователь вряд ли это заметит.

Получение доступа к ключу ЭП. Атаки на самих носителей ключа ЭП вполне реальны. Если внимательно проанализировать все случаи кражи ключей злоумышленниками, то выяснится, что доступ предоставляли сами пользователи - добровольно, ради удобства или подвергаясь обману.

Технический взлом вероятен только в случае, когда используется простая ЭП, лишенная криптографической защиты. Здесь могут применяться атаки типа брутфорс (brute-forceattac) – перебора возможных комбинаций пароля. В итоге, злоумышленник получает доступ к подписи и может использовать ее без ведома владельца. В остальном почти все атаки на ЭП основаны не на взломе технологий, а обмане людей. Ни одна схема не обходится без социальной инженерии, когда пользователя убеждают выдать доступ добровольно или действуют от его имени.

Как выглядит мошенничество с ЭП на практике

Рассмотрим основные сценарии, в которых преступники используют доверие, невнимательность или пробелы в безопасности, чтобы получить доступ к чужой электронной подписи. И начнем с самого сложного варианта – когда злоумышленник выпускает подпись на имя другого человека.

Оформление сертификата ЭП на поддельный паспорт

В одном из судебных дел, где наша компания участвовала как третья сторона, мошенник подделал паспорт, выпустил по нему усиленную квалифицированную электронную подпись (УКЭП) и попытался продать чужую квартиру. Документы проверяются очно, но в данном случае подделка прошла – данные были настоящими, и лишь фото принадлежало мошеннику. Ситуацию спасла система фотофиксации: снимок будущего «владельца» ЭП, сделанный при подаче заявления, помог быстро установить подлог. Сделку признали недействительной, а имущество вернули владельцу.

Как этого избежать

Следить за своими документами, в частности, паспортом. В случае потери паспорта сразу заявить в МВД. В разделе «Сертификаты электронной подписи» на портале Госуслуг отображаются все выпущенные на пользователя сертификаты ЭП. Также можно проверять электронную почту, привязанную к Госуслугам. При выпуске на имя владельца паспорта сертификата ЭП на портале или на электронную почту будет отправлено уведомление.

Несанкционированный доступ мошенника к носителю ЭП

Гораздо чаще сложные схемы с подделкой документов и выпуском электронной подписи и не нужны. Обман сводится к получению доступа к уже выпущенной ЭП – как в описанных ниже случаях. Чтобы использовать чужую ЭП, мошеннику недостаточно просто украсть токен или смартфон, на который установлена электронная подпись – нужно знать код доступа к ней. Но если злоумышленник получил и то, и другое, последствия могут быть серьезными. Например, от имени владельца ЭП он может совершить любую сделку. Например, получить кредит под залог или продажу недвижимости.

Как этого избежать

Эксперты советуют не передавать носители ЭП, мобильный телефон или ПК другим людям, даже близким - они могут содействовать злоумышленникам по неосторожности или незнанию. Если есть подозрение, что кто-то узнал пароль от носителя ЭП, лучше отозвать сертификат и выпустить ЭП заново.

Компания забывает отозвать ЭП у уволенного сотрудника

Сотрудник, имеющий право подписи, увольняется из компании, а его ЭП и машиночитаемую доверенность ответственные сотрудники или руководство забывают аннулировать. На некоторое время, иногда продолжительное, они остаются действительными. Недобросовестный бывший сотрудник может воспользоваться своим правом подписи для совершения действий от имени компании. Например, заключить несанкционированный контракт, вывести деньги со счета или продать активы.

Как этого избежать

Сразу отзывать сертификаты ЭП и МЧД у всех подписантов, которые покидают компанию.

Что делать, если ЭП украли или скомпрометировали: Отозвать сертификат ЭП в удостоверяющем центре, который ее выдал; Проверить информацию на портале Госуслуг (раздел «Уведомления»), на площадке, где подписали документ, или в самом документе; Написать заявление о незаконном использовании ЭП в органы МВД (полицию); Обратиться в организации, в отношениях с которыми использовалась ЭП; Оценить реальный ущерб. Если с помощью ЭП зарегистрировали компанию - обратиться в ФНС, если с помощью ЭП продали недвижимость или перевели денежные средства со счета - в суд; Помнить, что промедление расценивается как бездействие, и убытки будут взысканы с владельца ЭП.

Добровольная передача мошеннику доступа к электронной подписи

Этот случай самый распространенный. Он процветает в корпоративной среде: владельцы ЭП добровольно передают ее доверенному человеку, чтобы сэкономить свое время. Но так делать категорически нельзя. Рассмотрим на реальном примере. В судебной практике есть прецедент, когда бухгалтер украл 80 млн руб. из компании, так как генеральный директор доверил ему свою ЭП для подачи отчетности. Доказать, что сам директор к операции не причастен, не удалось: формально документы подписаны им. К сожалению, это не единичный случай, а один из самых распространенных инцидентов с ЭП, которые разбираются в судах.

Как этого избежать

Использовать МЧД - она указывает на человека, который может использовать ЭП помимо того, на кого она выпущена.

И обучайте всех сотрудников компании цифровой гигиене.

Автоэксперт
ФНС России