Россияне стали все чаще использовать электронную цифровую подпись (ЭЦП). Сервисы Госуслуг и личных кабинетов налогоплательщика позволяют создать ее бесплатно. Но для мошенников этот цифровой ключ может стать поистине золотым и открыть путь к хищению не только денег со счетов, но даже недвижимости. О том, какие сферы жизни россиян интересуют «охотников за цифровой подписью» и как можно от них защититься, рассказали эксперты.
В августе на специализированной платформу ОНФ для выявления финансовых мошенников обратилась Анна И. из Нижнего Новгорода. Она сообщила, что уже несколько лет работает на Украине по контракту и пока не может вернуться в Россию из-за сложностей взаимоотношений между странами. Вместе с тем, понимая, что будет долго отсутствовать в родном городе, Анна закрыла все свои долговые обязательства, аннулировала дебетовые и кредитные карты. Но в конце июля 2021 года она обнаружила на портале ФССП около двух десятков исполнительных производств по долгам перед микрофинансовыми организациями, а также сообщение на почте от сотрудников Росреестра о попытках переоформить принадлежащее ей жильё в Нижнем Новгороде на третьих лиц.
Эксперты платформы оказали содействие Анне в составлении и подаче заявления по этим фактам в МВД РФ. По предварительным итогам расследования выяснилось следующее: злоумышленники из Украины воспользовались сканом паспорта Анны для оформления займов онлайн с применением простой электронной подписи на ее имя.
Имея копию паспорта женщины, жулики оформили на ее имя ЭЦП и попытались с помощью этого инструмента переоформить ее жилье на третьих лиц. Но, поскольку с 13 августа в силу вступил новый закон, защищающий права собственников недвижимости (он запрещает использовать электронную подпись при сделках с недвижимостью без письменного согласия владельца), о котором злоумышленники, видимо, не знали, то бдительными сотрудниками Росреестра регистрация была приостановлена, а на почту Анне уведомление о попытке совершения преступления. При содействии экспертов ОНФ женщине удалось отозвать ЭЦП и инициировать расследование возникновения долговых обязательств. Заменить паспорт из-за фактического отсутствия между Россией и Украиной международных отношений Анна сможет только по возвращении на родину.
Еще одна просьба о помощи пришла в мае от Андрея З. из Люберец. Он сообщил, что при обращении по поводу замены паспорта с помощью сотрудников МФЦ выяснил: на его имя в октябре 2020 года было открыто общество с ограниченной ответственностью. Как выяснилось, также с помощью электронной цифровой подписи, которую подделали неустановленные лица. Расследование и поиск злоумышленников продолжается органами внутренних дел.
Электронная подпись — это информация в электронно-цифровой форме, с помощью которой можно идентифицировать физическое или юридическое лицо без его личного присутствия. «Создание сертификата такой подписи невозможно без использования личных данных владельца и удостоверяющего центра, который генерирует сертификат электронной подписи, что, по сути, является цифровым аналогом вашей личной подписи», — объясняет Дмитрий Глазов, управляющий партнер Адвокатского бюро «Глазов и партнеры». В отсутствие личных данных удостоверяющий центр не может изготовить сертификат такой подписи.
Эксперты подготовили доклад, рассказывающий о самых распространённых преступлениях с использованием ЭЦП. По их данным, это вывод средств со счетов компании, получение кредитов, оформление фирмы-однодневки, заключение договора дарения или купли-продажи на собственность человека или компании, включая недвижимость и дорогую технику, различные манипуляции с организацией (смена руководителя компании, главбуха, других ключевых сотрудников, ограничение доступа организации к госзакупкам и даже ликвидация компании).
«В 2020 году специалисты удостоверяющего центра Федеральной кадастровой палаты Росреестра выдали 8404 сертификата усиленной квалифицированной электронной подписи, что почти в два раза превышает показатели предыдущего года, — рассказывает Владимир Кузнецов, вице-президент Ассоциации юристов по регистрации, ликвидации, банкротству и судебному представительству. — Общая статистика выданных ЭЦП гражданам отсутствует, поэтому сказать, сколько россиян ее имеют, на данный момент невозможно».
Но очевидно, что спрос на использование этого инструмента растёт ежегодно и вместе с ним увеличивается и количество преступлений, связанных с электронной подписью. По оценкам экспертов, количество выявленных ИТ-преступлений с использованием ЭЦП может составить в ближайшей перспективе от 350 до 400 тыс. случаев, а ущерб будет составлять десятки миллиардов рублей.
«Еще до создания соответствующей платформы мы получали от граждан запросы на консультации по вопросам цифровой подписи. Сейчас такие обращения участились и мы сделали вывод, что этот инструмент для многих в нашей стране остаётся непонятным. Поэтому мы решили опубликовать в открытом доступе материал, который в объяснит гражданам основные преимущества, особенности и риски утери контроля над цифровой подписью», — рассказывает руководитель проекта Народного фронта «За права заемщиков» Евгения Лазарева.
Объяснить необходимость и предупредить об угрозе всегда эффективней и проще, чем расследовать преступления и бороться с последствиями их совершения, убеждена эксперт.
Правила техники безопасности обращения с ЭЦП от Народного фронта гласят:
1. Изучите компьютерную грамотность сами и обучите ей сотрудников или родственников. Антивирусы — это хорошо, но лучшая защита пользователя от кибермошенничества — его собственная голова. Люди, которые могут хотя бы подойти к вашему компьютеру, должны знать, что такое фишинг, как отличить настоящий сайт от подделки и почему нельзя открывать все ссылки подряд.
2. Поддерживайте антивирусную защиту актуальной! Самый распространенный способ украсть ЭЦП на сегодня — зловредные программы, которыми преступники заражают компьютеры, чтобы воровать данные — сами ключи или пароли.
3. Не используйте токен (компактное устройство, предназначенное для обеспечения информационной безопасности пользователя, также используется для идентификации его владельца и безопасного удалённого доступа) на компьютере, в защищенности которого вы не уверены.
4. Ключевую пару (это набор из открытого и закрытого ключей электронной подписи, однозначно привязанных к друг другу), из которой состоит ЭЦП, можно и нужно создать самостоятельно.
5. Не пользуйтесь услугами неаккредитованных удостоверяющих центров (УЦ). Помните, что вся информация о ЭЦП вносится на Госуслуги. Следите за уведомлениями от портала Госуслуг и если возникли подозрения о неправомерном использовании цифровой подписи, обращайтесь в удостоверяющий центр за отзывом подписи.
6. Секретный ключ, в том числе содержащий его токен, нельзя передавать никому. Даже родным и близким. Сотрудникам, которые имеют право подписывать документы, сделайте их личные ключи.
7. Паспортные данные и тем более сканы документа должны храниться максимально надежно. Нельзя размещать их в Интернете, даже в якобы безопасных хранилищах. Если при получении какой-либо услуги вместо паспорта допустимо предъявить другой документ, так и поступите. Иначе есть риск обзавестись неучтенной цифровой подписью.
8. Установите пароли на токен и компьютер. Пароль должен иметь достаточную длину и содержать как буквы в разных регистрах, так и цифры со спецсимволами. Еще лучше использовать ключевую фразу (passphrase): это набор слов, разделенных цифрами или спецсимволами. Его хорошо бы выучить наизусть. Записанный на бумажке, даже самый сложный пароль теряет смысл. Достаточно один раз забыть такой листок на столе — и в лучшем случае просто придется заказывать новую подпись.
9. Не храните незащищенный секретный ключ на жестком диске компьютера.
10. Если вы руководитель, и у ваших подчиненных есть ЭЦП, дающая право подписывать документы от имени предприятия, при увольнении сотрудника отзывайте его подпись даже раньше, чем он получит расчет.