Мошенничества с электронной подписью

Помните недавно обсуждали историю о том, как у людей отжали квартиру с помощью электронной цифровой подписи? Мошенничества с ЭЦП продолжаются. На "Хабре" статья "Мошенники и ЭЦП — всё очень плохо".

Кратко - автор статьи неожиданно обнаружил, что на него и на его жену зарегистрировано несколько предприятий с помощью ЭЦП (поддельной, разумеется). И что самое интересное, путем хождения по инстанциям выяснилось, что с этим и сделать толком ничего нельзя, цитирую:

А дальше началась чреда отбивания порогов различных инстанций — МВД, Прокуратура, ОБЭП, Налоговая, Роскомнадзор, Администрация Президента, суд:

  1. По линии полиции — многочисленные отказы в возбуждении уголовного дела, из-за отсутствия события преступления. Т. е. если кратко, то «когда вас убьют, тогда и приходите». Так как пока ко мне никто не выдвинул финансовых требований, события преступления нет.
  2. По линии налоговой — они сделали всё согласно регламенту, вот есть заявление, вот оно подписано подписью «у нас нет оснований для отказа в регистрации ООО». Они внесли лишь пометку, что «По данным ФНС сведения недостоверны», но фирмы по-прежнему действуют. Также по запросу нам дали информацию об удостоверяющем центре — и у меня, и у супруги это был один и тот же УЦ находящийся в Томске (естественно мы там даже близко не были никогда).
  3. По линии Роскомнадзора — они запросили информацию от удостоверяющего центра, они им предоставили ответ, что вот есть якобы документы от меня, а так как подлинность документов они не выявляют — обращайтесь в суд.

Ну и вывод:

Защиты во всех сферах, к сожалению, нет, т. к. с внедрением «электронного правительства» появляется всё больше мест, где можно осуществить операции с помощью ЭЦП. Но, в частности, защититься от регистрации юридических лиц по ЭЦП можно. Есть так называемая «38-я форма», а если быть точнее форма 38001, заполнив которую, можно запретить регистрацию юр. лиц, без личного присутствия. Правда заполнять и везти её придётся лично в регистрирующий орган (в Москве это 46 налоговая), и как я понимаю, она ограничивает это только в данном регионе, хотя могу ошибаться.

К сожалению, налицо — законодательная дыра, которой пользуются мошенники, и пока не ужесточат контроль за выпуском ЭЦП, такие ситуации будут случаться только чаще.

Все это, знаете ли, очень и очень грустно. Наши данные прекрасно утекают через работников всяких банков и прочих заведений, где хранятся наши персональные данные, ЭЦП могут удостоверять хрен знает какие "удостоверяющие центры", которые ни за что не отвечают и концов там не найдешь, поле для мошенничеств открывается широчайшее, а как вообще с этим бороться - непонятно совершенно.

28.05.2019 12:04
Комментарии 45

Статью ещё не прочитал, но по краткому пересказу выходит:
полиция - лентяи
налоговая - в принципе всё логично, отметка о недостоверности сведений для добропорядочных фирм это ж, только левакам на это пофиг. не хватает от налоговой следующего шага - проверки организации на основании этой отметки
удостоверяющий центр - вроде они на то и создаются чтобы проверять личность, если это не так то жаловаться к их курирующим органам (минцифра или кто лицензии выдаёт) за отзывом лицензии.
29.05.19 10:14
0 0

если это не так то жаловаться к их курирующим органам
А как вы докажите, что это не вы получили ЭЦП?
29.05.19 15:22
0 0

А как вы докажите, что это не вы получили ЭЦП?
Разве что устроив почерковедческую экспертизу. При получении ЭЦП нужно расписаться.
29.05.19 15:43
0 1

а что мешает пойти в банк и завладеть счетом "своей фирмы"? понятно, что директор там будет левый, но совершенно спокойно можно прийти с паспортом и с протоколом собрания о назначении себя директором, а лучше главбухом и заиметь второй электронный банковский ключ, после чего спокойно снимать денюжку со счета
28.05.19 20:08
0 2

Ага, щаз. Учитывая, что таким мошенническим способом создаются зиц-компании, в один прекрасный день фирма обанкротится, оставив кучу кредиторов. А к вам придут описывать имущество в счёт погашения долгов. Тем более, что кроме фальшивого оформления фирмы на вас, вы сами реально принимали участие в её делах.

Или другой вариант. Фирма служила перевалочным пунктом для отмывания денег. Время от времени там на короткий срок появляются крупные суммы, чтобы потом уйти дальше. Вы поймали момент и сняли миллиончик зелёных денег.

Дальше начинаются забавные приключения в стиле американских фильмов с результатом в виде вашего трупа в лесу.
29.05.19 08:14
0 0

Уточню, Форма Р38001
28.05.19 14:04
0 0

Ну может по делам кому. А так да, пошёл
28.05.19 13:09
0 1

На сайте консульства написано - "миграционные власти в рамках реализации мер по выявлению несоответствия категории оформленных виз реальным целям въезда предпринимают соответствующие меры выборочного контроля" что журналисты тактично пропустили, зато дописать "контекст" не забыли 😄

Ну не хотят китайцы что бы у них бизнесмены солберецкие шпили осматривали, да и соборов таких у них нет наверное. 😄
28.05.19 13:15
0 1

А, ну раз аж на самом сайте консульства написано "в рамках", тады ладно, пусть проверяют, чего уж...
28.05.19 13:21
0 0

Ну хоть предупреждают, и проверки выборочные. Хотя я подозревал, что на любой границе могут распотрошить всё для проверки и даже телефон(!).
28.05.19 14:37
0 1

И США пошли!

Американские пограничники смогут конфисковать телефоны и ноутбуки путешественников, которые откажутся показать содержимое электронных устройств. Об этом сообщила Таможенно-пограничная служба США (ТПС).
«Во времена цифровой эры пограничные осмотры электронных устройств имеют важное значение. Это делается ради соблюдения норм закона на границе США и защиты американского народа», — сообщил The New York Times сотрудник таможенной службы Джон Вагнер.
Кроме того, если турист откажется сообщить пароль и предоставить для осмотра телефон, гаджет конфискуют на срок не более недели. Путешественнику также могут отказать во въезде на территорию США.
28.05.19 14:44
0 0

У клоунов, выдающих ЭЦП полномочия больше, чем у нотариусов оказались. Результат очевиден.
28.05.19 12:39
0 11

ну государство предлагает давайте всех переведем на государственный УЦ, а все коммерческие закроем - вот только будет ли это удачной идеей?..

У меня знакомая, которая работает в подобной структуре, и она объяснила, что в их УЦ личную ЭЦП выдают только при личном визите, когда проверяется личность вместе с документом. ЭЦП на фирму выдают только по доверенности, в результате регулярно наблюдает истерящих клиентов, которые забыли один из документов и теперь обвиняют всех, что они не могут получить свою ЭЦП. Так что это больше зависит от человеческого фактора в конкретной фирме.
28.05.19 12:20
0 0

Вопрос, что важнее. Если безопасность, придется потерпеть. Я бы вообще возложил на МФЦ выдачу, причем, только лично и с фото-видеофиксацией, что это ты получал. Очереди и неудобства разок можно и потерпеть. Я во многом не доверяю государству, но здесь лучше пусть они, с них хоть спросить можно будет, а не искать кого-то где-то по всей стране. Плюс им внутри будет проще разобраться, действительный был ключ для той или иной сделки, или нет.
И с обязательным отображением всех выданных ключей в Госуслугах, а то реально получается, что где-то навыдавали, а ты даже не знаешь.
Тоже вчера эту статью на хабре читал, прямо загрустил. Причем, раньше казалось, что можно получить самому и все. Так нет, они могут новый запросить в каком-нибудь центре в Урюпинске. А ты и не узнаешь.
28.05.19 12:38
0 8

Ну и то, что где-то выдают только при личном визите. Это хорошо, но туда пойдут сами владельцы, что создаст иллюзию безопасности. А мошенники получат там, где по левой доверке выдадут ))
28.05.19 12:41
0 1

в их УЦ личную ЭЦП выдают только при личном визите, когда проверяется личность вместе с документом
это понятно. Но есть у подобных уц хоть одна причина НЕ выпустить эц просто так за красивые глаза, совмешённые с денужкой в конвертике?
28.05.19 13:14
0 0

Фото-видеофиксация проблему не решают. Ибо в случае суда, будет сложно доказывать что на картинке не потерпевший.
Отображение ключей в Госуслугах - это должно быть, и это было бы правильно, но это не избавит от подобных случаев с использованием ЭЦП чужого лица.
Насколько знаю, для получения ЭЦП необходимо предоставить не копию, не картинку - а оригинал удостоверяющего документа. То есть, вот эти нарушения - они не потому, что какой-то работник банка скан паспорта слил, а потому что кто-то этот скан принял.
aag
28.05.19 13:43
0 4

это понятно. Но есть у подобных уц хоть одна причина НЕ выпустить эц просто так за красивые глаза, совмешённые с денужкой в конвертике?
простите, какие тут могут быть стопроцентные доказательства? За денежку (или очень крупную денежку) или приставленный к виску пистолет ЭЦП выдадут хоть в частном УЦ, хоть в государственном даже если её получатель будет будет как две капли воды похож на Усаму Бен Ладена. Но это могут сделать и с обычным, физическим, бланком паспорта.
28.05.19 13:58
0 0

простите, какие тут могут быть стопроцентные доказательства?
ответственность. В данном случае отсутствует напрочь и позволяет штамповать эцп направо и налево. Попросите вашу знакомую и она вам сделает пяток на любую фамилию.

Но это могут сделать и с обычным, физическим, бланком паспорта.
попросите кого-нибудь из паспортного стола сделать вам паспорт, ага.
28.05.19 14:16
2 2

ответственность. В данном случае отсутствует напрочь и позволяет штамповать эцп направо и налево. Попросите вашу знакомую и она вам сделает пяток на любую фамилию.
это вы так смешно пошутили, да? Она упоминала сколько усилий (сиречь времени и денег) стоит получить лицензию. И рисковать ею ради дурацкой просьбы - среди моих знакомых идиотов к счастью нет.
28.05.19 14:28
0 0

это вы так смешно пошутили, да?
вы статью читали, да? Полагаете, над автором так смешно пошутили, да?
28.05.19 14:38
0 0

вы статью читали, да? Полагаете, над автором так смешно пошутили, да?
первую читал и что? Вы хотите сказать, что никто и никогда не получал фальшивого паспорта в ФМС?
28.05.19 14:41
0 0

это вы так смешно пошутили, да?
вы статью читали, да? Полагаете, над автором так смешно пошутили, да?

И рисковать ею ради дурацкой просьбы
лицензию получали и силы тратили одни, а взять флешку с сертификатом и заверить пару десятков тысяч подписей на базу паспортов из даркнета и удачно их толкнуть будут другие (а завтра уволиться). Это ничего не стоит и, как видим, не имеет очевидных посоелствий.
28.05.19 14:42
2 3

Вы хотите сказать, что никто и никогда не получал фальшивого паспорта в ФМС?
это примерно на три плрядка труднее, легко отслеживается и имеет в качестве последствий тюрьму для всех фигурантов.
28.05.19 14:44
2 1

Поинтересуйтесь у знакомой, изучают ли их операторы все степени защиты паспорта и проверяют ли их?

Также, нужна ли нотариальная доверенность курьеру, если он от юрика или просто достаточно подписи и печати организации.

Ну и так далее...

Некоторую дополнительную защиту даст личное присутствие и проверка биометрии (чем больше тем лучше), но и тут не все так просто.
dss
28.05.19 18:56
0 0

А если получить самому ЭЦП, интересно, мошенники могут получить другую?
28.05.19 12:18
0 0

А если получить самому ЭЦП, интересно, мошенники могут получить другую?
В каждой конторе, которая выдает?
zyg
28.05.19 12:19
0 0

А если получить самому ЭЦП, интересно, мошенники могут получить другую?
Тогда точно не отмажешься, что никогда не получал ЭЦП.
28.05.19 12:40
0 0

Она выдаётся конкретным центром с указанием всех идентифицирующих данных. Так что доказать, что документ подписан не этой подписью легче лёгкого. Но это не снимает проблемы того, что ЭЦП на вас можно получить в тысяче других УЦ. И всё опять упирается в доказываение того, что ты не получал именно эту ЭЦП.
Единой базы "выданных ЭЦП" не существует.
111
28.05.19 12:52
1 0

А если получить самому ЭЦП, интересно, мошенники могут получить другую?
конечно. Хоть 100500. ЭЦП - это просто ваш открытый ключ, подписаеный сертификатом УЦ.
28.05.19 13:16
0 0

Единой базы "выданных ЭЦП" не существует.
Какой пипец.
Феерического размера пипец.
28.05.19 13:59
0 3

Вообще ЭЦП это пара закрытый открытый ключ, и открытый они должны передавать кудато в госструктуры или где там будет проверяться сама подпись то. И в принципе там ничего не мешает сделать проверку по параметрам. В какойто же системе есть сопоставление открытый сертификат - конкретный человек.
28.05.19 14:16
0 0

Феерического размера пипец
в этом есть смысл. Например, не существует елиного реестра ssl/tls сертификатов. Но, да, в данном случае лучше, чтобы он был, это хотя бы немого улучшило бы ситуацию.
28.05.19 14:20
0 0

На самом деле - существует. Но закрытая, никаких запросов она не принимает и информацией никак не делится. Так что все равно что нет...
28.05.19 14:23
0 0

Вообще ЭЦП это пара закрытый открытый ключ, и открытый они должны передавать кудато в госструктуры
эцп это хэш документа, зашифрованый вашим закрытым ключом. Если его расшифровать вашим открытым ключом и хэши будут совпадать, это означает, что получатель читает тот документ, что вы ему отправили. Дальше возникает вопрос доверия к ключам и тут вступают в дело УЦ, которые просто подписывают ваш ключ своим и эта подпись теоретически должна удостоверять, что ключ принадлежит именно вам. Но, как видим, не удостоверяет... 😒

В какойто же системе есть сопоставление открытый сертификат - конкретный человек.
вроде бы УЦ должны хранить эту информацию, но теоретически это не обязательно.

должны передавать кудато в госструктуры или где там будет проверяться сама подпись
фамилия и паспортные данные вшиты в поля сертификата, но это означает лишь, что сертификат сопоставлен с данной фамилией и номером паспорта, но не удостоверяет, что он выдан конкретной персоне.
28.05.19 14:36
0 0

Обмен сообщениями то идет не с УЦ который выдал закрытую открытую часть. Открытая часть должна попасть в гос оргна который с помощью нее проверит хэш. В ту же налоговую, и там он должен быть как то сопоставлен с человеком реальным пусть хоть по номеру паспорта. И вот в этот момент ничего не мешает проверять на количество одновременно действующих открытых ключей на один паспорт.
28.05.19 14:43
0 0

На самом деле - существует
пруфы?

Но закрытая
настолько секретная, что никто о ней не знает?
Ну, и никто не мешает нагенерить сертификатов НЕ помещаяя их в эту сверхсекретную систему.
28.05.19 14:46
0 0

Обмен сообщениями то идет не с УЦ который выдал закрытую открытую часть
какой обмен?

Открытая часть должна попасть в гос оргна который с помощью нее проверит хэш.
не понимаю о чём вы. Открытый ключ совместно с сертификатом прикладывается к подписанному документу. Получатель документа проверяет с помошью открытого ключа, что документ был подписан вторым ключом из пары. И проверяет, с помощью сертификата, что ключ связан именно с этой фио и паспортом. Подлинность сертификата УЦ проверяется точно так же по цепочке вплоть до доверенного корневого сертификата. Корневой же сертификат распространяется вместе с проверяющим ПО. Никаких посыланий данных в органы нет, система полностью автономна (если приложена вся цепочка сертификатов, если нет, то промежуточные сертификаты могут быть запрошены у соответствующих УЦ).

И вот в этот момент ничего не мешает проверять на количество одновременно действующих открытых ключей на один паспорт.
нет, это работает не так. Кроме того, нет ничего особенного в наличии нескольких подписей у одного подписывающего субъекта.
28.05.19 14:58
0 0

Короче, будущее за блокчейном - чтобы было видно, какая (вырезано цензурой) подписала мой документ и когда.
28.05.19 16:54
0 0

Короче, будущее за блокчейном
Работу с блокчейном можно реализовать не менее криво и через такую же жопу, как они сейчас это сделали с ЭЦП. 😒
28.05.19 16:58
0 0

Спасибо за то, что рушите мои мечты 😄
28.05.19 17:44
0 0

Носите google glass или другой видеорегистратор, лучше сертифицированный и опломбированный, почаще заглядывайте в зеркала по дороге и храните записи лет 10.
Шутка, конечно, но печальная...
dss
28.05.19 19:00
0 0

в таком случае все совсем уныло.
28.05.19 20:31
0 0

Даже это не гарантия.
111
29.05.19 10:14
0 0
Теги
Сортировать по алфавиту или записям