Мошеннические схемы в сфере электронного документооборота

У людей, далеких от сферы IT, цифровое мошенничество ассоциируется с «хакерами» — злыми гениями, способными взломать любой код. В реальности большая часть цифровых преступлений не требует невероятных технических компетенций и связана с социальной инженерией. Там, где у человека есть пробел в знаниях, у мошенника появляется окно возможностей. 

Мошенничество в сфере ЭП

Как работает электронная подпись и почему ее нельзя взломать

Электронная подпись (ЭП) бывает простой и усиленной. Простая — это логин-пароль, код из СМС или другой идентификатор, который пользователь вводит вручную. Усиленная же подпись создается с помощью средств криптографической защиты информации (СКЗИ). Суть усиленной ЭП состоит в связке из двух ключей: закрытого и открытого. Закрытый — только у владельца и используется для подписания. Открытый — доступен всем, кому отправляют документ, и нужен для проверки подлинности подписи. Оба ключа математически связаны: если что-то пойдет не так, проверка это покажет.

При подписании документа математический алгоритм рассчитывает контрольную сумму открытого и закрытого ключа (хэш), в результате формируется отдельный документ электронной подписи — чаще всего формата .sig. Такая архитектура усиленных ЭП не только защищает от взлома, но и гарантирует целостность подписанного документа: при внесении даже самых незначительных изменений контрольная сумма меняется, математическая связь ключей разрывается, и подпись к документу становится недействительной. Sig-файл — это некий контейнер подписи, в котором содержится вся основная информация о том, когда именно и кем документ был подписан.

Благодаря криптографии усиленные виды электронной подписи абсолютно устойчивы перед техническими атаками. Но если теоретически классифицировать такие атаки, то можно было бы выделить два вида:

• Математический взлом алгоритма с целью воссоздания ЭП к любому документу — такого просто не бывает. За последние 80 лет успешно атаковать похожую систему получилось один раз — во времена Второй мировой, когда взломали «Энигму». Если были и другие атаки, то мы о них вряд ли сможем узнать, потому что, скорее всего, это крайне дорогие и засекреченные операции спецслужб. Обычному пользователю этого бояться не стоит — на всех таких ресурсов не хватит ни у кого. Сегодня подобное — фантастика. Криптография остается самым надежным способом защиты информации. Даже если попытаться взломать одну электронную подпись, на это потребуется около 10 000 лет и мощность всех компьютеров мира. Алгоритмы со времен «Энигмы» сделали несколько качественных шагов и на практике не поддаются взлому. Есть угроза, что часть из алгоритмов будет уязвима перед квантовыми компьютерами. Но это пока что все-таки будущее: в ближайшие десятилетия в руки злоумышленников такое оборудование вряд ли попадет, да и на практике успешно реализовать алгоритм взлома пока нельзя. Это только теория. К тому же уже есть семейства математических алгоритмов, которые устойчивы и перед квантовыми методами подбора, такие методы шифрования и подписи называются постквантовыми. Есть все признаки того, что постепенно будет происходить переход на подобные алгоритмы, но конечный пользователь вряд ли это заметит.
• Получение доступа к ключу. Вот тут возможны атаки на сами носители ключа ЭП. Раз угадать ключ невозможно, может, надо попробовать его скопировать? У носителей есть своя классификация защиты. Носители могут обладать разной степенью защиты, но на практике при соблюдении требований безопасности третьему лицу получить доступ к ключу просто невозможно. Если внимательно посмотреть на все случаи кражи ключей злоумышленниками, то выяснится, что сами пользователи добровольно, из-за обмана или ради удобства предоставляли доступ. 

Технический взлом более вероятен только в случае, когда используется простая электронная подпись (ПЭП), лишенная криптографической защиты, например, код из СМС. К ней могут применяться атаки вроде брутфорса — перебора возможных комбинаций пароля. Итог — злоумышленник получает доступ к подписи и может использовать ее без ведома владельца.

В остальном почти все атаки на ЭП — это не про взлом технологий, а про обман людей. Ни одна схема не обходится без социальной инженерии — когда пользователя убеждают выдать доступ добровольно или действуют от его имени.

Как выглядит мошенничество с ЭП на практике

Рассмотрим основные сценарии, в которых преступники используют доверие, невнимательность или пробелы в безопасности, чтобы получить доступ к чужой электронной подписи. И начнем с самого сложного варианта — когда злоумышленник выпускает подпись на имя другого человека. 

1. Подделка паспорта и оформление на него сертификата ЭП

Оформление электронной подписи — это лишь одно из немногих последствий того, что ваш паспорт подделали, но оно может привести к неприятным последствиям. 

Что может случиться

В одном из судебных дел, где наша компания участвовала как третья сторона, мошенник подделал паспорт, выпустил по нему усиленную квалифицированную электронную подпись (УКЭП) и попытался продать чужую квартиру. Документы проверяются очно, но в данном случае подделка прошла — данные были настоящие, и лишь фото принадлежало мошеннику. Ситуацию спасла система фотофиксации: снимок будущего «владельца» ЭП, сделанный при подаче заявления, помог быстро установить подлог. Сделку признали недействительной и имущество вернули владельцу.

Как этого избежать

• Следить за своими документами — в частности, паспортом. В случае потери паспорта сразу заявить в МВД. 
• Если теряли паспорт или переживаете, что мошенники получили доступ к его данным и выпустили на них ЭП, вы можете проверить это на Госуслугах. Зайдите в раздел «Сертификаты электронной подписи», там отображаются все выпущенные на пользователя сертификаты ЭП. Также можно проверять электронную почту, привязанную к Госуслугам — при выпуске на ваше имя сертификата ЭП придет уведомление.

Гораздо чаще сложные схемы с подделкой документов и выпуском электронной подписи и не нужны, обман сводится к получению доступа к уже выпущенной подписи — как в описанных ниже случаях.

2. Несанкционированный доступ мошенника к носителю электронной подписи 

Чтобы использовать чужую ЭП, мошеннику недостаточно просто украсть токен или смартфон, на который установлена электронная подпись — нужно знать код доступа к ней. Но если злоумышленник получил и то, и другое, последствия могут быть серьезными.

Что может случиться

Если кто-то получил доступ к электронной подписи, он может совершить от вашего имени любую сделку — вплоть до кредита под залог или продажи недвижимости. 

Как этого избежать

Не передавать носители ЭП, мобильный телефон или ПК другим людям, даже близким (они могут по неосторожности или незнанию содействовать злоумышленникам). Если есть подозрение, что кто-то узнал ваш пароль от носителя ЭП, лучше отозвать сертификат и выпустить ЭП заново.

3. Компания забывает отозвать ЭП у уволенного сотрудника

Сотрудник, имеющий право подписи, увольняется из компании, а его ЭП и МЧД забывают аннулировать, в результате чего они остаются на некоторое время действительными.

Что может случиться

Если бывший сотрудник недобросовестный, он может воспользоваться своим правом подписи для совершения действий от имени компании: например, заключить несанкционированный контракт, вывести деньги со счета или продать активы.

Как этого избежать

Сразу отзывать сертификаты ЭП и МЧД у всех подписантов, которые покидают компанию.

4. Добровольная передача доступа к электронной подписи мошеннику

Этот случай самый распространенный и процветает в корпоративной среде: владельцы ЭП добровольно передают ее доверенному человеку, чтобы сэкономить свое время. Но так делать категорически нельзя.

Что может случиться

Рассмотрим на реальном примере: в судебной практике есть прецедент, когда бухгалтер украл 80 млн руб. из компании, так как генеральный директор доверил свою подпись сотруднику для подачи отчетности. Доказать, что сам директор к операции не причастен, не удалось: формально все подписано им. К сожалению, это не единичный случай, а один из самых распространенных инцидентов с ЭП, которые разбираются в судах.

Как этого избежать

Использовать МЧД (машиночитаемая доверенность, указывающая на человека, который может использовать подпись помимо того, на кого она выпущена), чтобы не передавать свой личный токен, например, ЭП генерального директора бухгалтеру для подписания отчетности.

Резюме

Как защитить электронную подпись от мошеннических схем? 

• Используйте только усиленные виды ЭП, защищенные криптографией.
• Храните ЭП в защищенном виде, не передавайте никому ни токен, ни доступ к мобильному приложению.
• Следите за документами. При утере паспорта сразу обратитесь в МВД.
• Проверяйте выпуск сертификатов ЭП на Госуслугах.
• В бизнесе — применяйте МЧД вместо передачи токенов.
• Обучайте сотрудников цифровой гигиене.