Варианты мошенничества с электронной подписью и как с этим бороться

Варианты мошенничества с электронной подписью и как с этим бороться

нашу жизнь прочно вошли электронные подписи. Они применяются во многих сферах бизнеса: от сдачи налоговой отчетности, подписание банковских документов, участие в государственных закупках и т.д.

Цифровая экономика не только обеспечивает участников новыми возможностями, но и создает новые риски. Нестареющее правило «предупрежден — значит вооружен» здесь как никогда актуально.

Электронная подпись — это инструмент, снабженный максимальной защитой от компрометации. Конечно, при условии ее корректного использования владельцем и недопущения злоумышленника к критическим точкам. Но даже это не мешает преступникам находить лазейки и использовать пресловутый человеческий фактор, позволяющий противоправно обогащаться за счет других.

В этой статье рассмотрим наиболее распространённые схемы преступлений с помощью электронных подписей и способы их нейтрализации.

Физические преступления

Для данного вида преступлений необходим физический контакт преступника с ключевым носителем.

1. Кража носителя — преступник похищает usb-токен, что позволяет ему свободно использовать чужую электронную подпись.

Нейтрализация:

— установка пользовательского пароля — все ключевые носители выпускаются со стандартными заводскими паролями, которые находятся в свободном доступе в интернете. При получении электронной подписи замените стандартный пароль, известный только вам. После 3 попыток злоумышленника подобрать пароль, usb-токен блокируется.

2. Добровольная передача своей ЭП другому лицу — исходя из безграничного доверия, а скорее всего из-за непонимания возможных последствий, уполномоченные лица вместо делегирования прав совершать определенные действия передают подчиненным свою электронную подпись. Случаи, когда главные бухгалтера приводили компании к грани банкротства, выводя капитал с помощью ЭП директоров, до сих пор происходят с завидной регулярностью. Мошенническая схема может быть развернута и одномоментно, и отложено. Одномоментно — злоумышленник может использовать электронную подпись непосредственно во время нахождения у него чужого usb-токена. Отложено — в случае если закрытый ключ ЭП является извлекаемым, преступник может скопировать его и использовать в дальнейшем, уже после возврата носителя владельцу.

Нейтрализация:

Никогда, никому, ни при каких обстоятельствах не передавайте свою электронную подпись — наверное, самое простое правило, которым, к сожалению, часто пренебрегают. Обычно отговоркой служит желание сэкономить денежные средства в размере стоимости ЭП и время, необходимое на оформление доверенности. Но нельзя забывать насколько это малые величины в сравнении с рисками.

3. Наличие на токене недекларированных возможностей («закладок») — получение несертифицированных ключевых носителей из ненадежных источников чревато наличием в программном обеспечении не заявленных в документации включений. Через эти «кротовые норы» преступники могут похитить закрытый ключ электронной подписи.

Нейтрализация:

Приобретение сертифицированных ФСТЭК носителей — удостовериться в отсутствии «закладок» можно с помощью просвечивания usb-токена рентгеном, что осуществляется в лабораториях Федеральной службы технического и экспертного контроля. Если в результате исследования не было выявлено «закладок», то ключевой носитель признается безопасным, и на него выпускают сертификат ФСТЭК.

Технологические преступления

Для данного вида преступлений необходимы навыки в области информационной безопасности

1. Внедрение на ПК владельца электронной подписи шпионских программ — мошенник, получивший доступ к компьютеру или ноутбуку жертвы может похитить ключ, скопировав его, в случае если он извлекаемый, или использовать ЭП без ведома владельца. 

Нейтрализация:

— выполнение правил информационной безопасности — не переходите по подозрительным ссылкам, не скачивайте программы и файлы из ненадежных источников, не используйте зараженные флешки, установите на компьютер или ноутбук антивирусную программу и прочее. Кроме этого, следует упомянуть о важности корректной работы служб администрирования и информационной безопасности в компаниях.

2. Компрометация канала связи «токен-машина» — если злоумышленник проникает в канал передачи данных от usb-токена к компьютеру или ноутбуку, то это грозит, в зависимости от типа ключевого носителя, и компрометацией пароля, и компрометацией ключа.

Нейтрализация:

Выполнение правил информационной гигиены + ФКН — способ предотвратить реализацию подобной схемы, аналогичен предыдущему. В качестве дополнительного средства обезопасить электронную подпись от компрометации можно упомянуть функциональный ключевой носитель (ФКН). ФКН отличается тем, что разделяет вычисления во время генерации ЭП между пользовательским приложением и токеном таким образом, что данные, которые передаются по каналу связи, не позволят преступнику сделать никаких выводов ни о ключе, ни о пароле.

Социальные преступления

Мошеннические схемы, основанные на личных качествах людей и их способности вводить в заблуждение других и подделывать документы.

1. Получение электронной подписи другим человеком — преступник может завладеть документами нужного лица (найти, украсть) и, используя максимально похожего на него соучастника, получить ЭП.

Нейтрализация:

— ответственное отношение к документам — необходимо хранить документы в надежных местах, а в случае их кражи незамедлительно сообщать в правоохранительные органы. Наличие заявления о потере или о краже будет дополнительным аргументом в случае судебного разбирательства по неправомерному выпуску ЭП и совершению значимых действий с ней. Доказательством того, что пострадавшее лицо не заполняло заявки на получение электронной подписи, будет графологическая экспертиза подписи.

2. Получение электронной подписи по поддельным документам и доверенности — регламент рынка электронной подписи подразумевает обязательную личную явку при первичном получении ЭП, а при повторном выпуске забрать ее можно, предоставив копии необходимых документов и доверенность. Этим и могут воспользоваться мошенники, подделав бумаги.

3. Недобросовестность сотрудников удостоверяющих центров.

Нейтрализация схем 2. и 3.:

Ответственное выполнение сотрудниками УЦ своих обязанностей — в этих случаях предотвращение возможно внутри удостоверяющих центров при помощи слаженной работы менеджеров, выпускающих КЭП, служб информационной безопасности, подбора персонала.

И это одна из самых надежных систем защиты на данный момент.

Все удостоверяющие центры аккредитованы при Минкомсвязи, имеют лицензии ФСБ России и несут ответственность за недобросовестный выпуск сертификатов в виде наложения на них штрафов, а систематическое нарушение законодательства по выпуску электронных подписей к отзыву лицензии. В штате УЦ обязательно должны быть специалисты с профильным высшим образованием или окончившие 500-часовые курсы дополнительной подготовки. Отбор сотрудников удостоверяющих центров строгий, требуется специализация на соответствующем виде деятельности, заработные платы конкурентоспособны.

Все это является сдерживающими факторами, чтобы поставить все на кон ради однократного преступного обогащения.