Адрес для входа в РФ: exler.world
Мошенничества с электронной подписью
28.05.2019 12:04
19039
Комментарии (42)
Помните недавно обсуждали историю о том, как у людей отжали квартиру с помощью электронной цифровой подписи? Мошенничества с ЭЦП продолжаются. На "Хабре" статья "Мошенники и ЭЦП — всё очень плохо".
Кратко - автор статьи неожиданно обнаружил, что на него и на его жену зарегистрировано несколько предприятий с помощью ЭЦП (поддельной, разумеется). И что самое интересное, путем хождения по инстанциям выяснилось, что с этим и сделать толком ничего нельзя, цитирую:
А дальше началась чреда отбивания порогов различных инстанций — МВД, Прокуратура, ОБЭП, Налоговая, Роскомнадзор, Администрация Президента, суд:
- По линии полиции — многочисленные отказы в возбуждении уголовного дела, из-за отсутствия события преступления. Т. е. если кратко, то «когда вас убьют, тогда и приходите». Так как пока ко мне никто не выдвинул финансовых требований, события преступления нет.
- По линии налоговой — они сделали всё согласно регламенту, вот есть заявление, вот оно подписано подписью «у нас нет оснований для отказа в регистрации ООО». Они внесли лишь пометку, что «По данным ФНС сведения недостоверны», но фирмы по-прежнему действуют. Также по запросу нам дали информацию об удостоверяющем центре — и у меня, и у супруги это был один и тот же УЦ находящийся в Томске (естественно мы там даже близко не были никогда).
- По линии Роскомнадзора — они запросили информацию от удостоверяющего центра, они им предоставили ответ, что вот есть якобы документы от меня, а так как подлинность документов они не выявляют — обращайтесь в суд.
Ну и вывод:
Защиты во всех сферах, к сожалению, нет, т. к. с внедрением «электронного правительства» появляется всё больше мест, где можно осуществить операции с помощью ЭЦП. Но, в частности, защититься от регистрации юридических лиц по ЭЦП можно. Есть так называемая «38-я форма», а если быть точнее форма 38001, заполнив которую, можно запретить регистрацию юр. лиц, без личного присутствия. Правда заполнять и везти её придётся лично в регистрирующий орган (в Москве это 46 налоговая), и как я понимаю, она ограничивает это только в данном регионе, хотя могу ошибаться.
К сожалению, налицо — законодательная дыра, которой пользуются мошенники, и пока не ужесточат контроль за выпуском ЭЦП, такие ситуации будут случаться только чаще.
Все это, знаете ли, очень и очень грустно. Наши данные прекрасно утекают через работников всяких банков и прочих заведений, где хранятся наши персональные данные, ЭЦП могут удостоверять хрен знает какие "удостоверяющие центры", которые ни за что не отвечают и концов там не найдешь, поле для мошенничеств открывается широчайшее, а как вообще с этим бороться - непонятно совершенно.
Войдите, чтобы оставить комментарий.
Статью ещё не прочитал, но по краткому пересказу выходит:
полиция - лентяи
налоговая - в принципе всё логично, отметка о недостоверности сведений для добропорядочных фирм это ж, только левакам на это пофиг. не хватает от налоговой следующего шага - проверки организации на основании этой отметки
удостоверяющий центр - вроде они на то и создаются чтобы проверять личность, если это не так то жаловаться к их курирующим органам (минцифра или кто лицензии выдаёт) за отзывом лицензии.
полиция - лентяи
налоговая - в принципе всё логично, отметка о недостоверности сведений для добропорядочных фирм это ж, только левакам на это пофиг. не хватает от налоговой следующего шага - проверки организации на основании этой отметки
удостоверяющий центр - вроде они на то и создаются чтобы проверять личность, если это не так то жаловаться к их курирующим органам (минцифра или кто лицензии выдаёт) за отзывом лицензии.
А как вы докажите, что это не вы получили ЭЦП?
если это не так то жаловаться к их курирующим органам
а что мешает пойти в банк и завладеть счетом "своей фирмы"? понятно, что директор там будет левый, но совершенно спокойно можно прийти с паспортом и с протоколом собрания о назначении себя директором, а лучше главбухом и заиметь второй электронный банковский ключ, после чего спокойно снимать денюжку со счета
Ага, щаз. Учитывая, что таким мошенническим способом создаются зиц-компании, в один прекрасный день фирма обанкротится, оставив кучу кредиторов. А к вам придут описывать имущество в счёт погашения долгов. Тем более, что кроме фальшивого оформления фирмы на вас, вы сами реально принимали участие в её делах.
Или другой вариант. Фирма служила перевалочным пунктом для отмывания денег. Время от времени там на короткий срок появляются крупные суммы, чтобы потом уйти дальше. Вы поймали момент и сняли миллиончик зелёных денег.
Дальше начинаются забавные приключения в стиле американских фильмов с результатом в виде вашего трупа в лесу.
Или другой вариант. Фирма служила перевалочным пунктом для отмывания денег. Время от времени там на короткий срок появляются крупные суммы, чтобы потом уйти дальше. Вы поймали момент и сняли миллиончик зелёных денег.
Дальше начинаются забавные приключения в стиле американских фильмов с результатом в виде вашего трупа в лесу.
Уточню, Форма Р38001
И США пошли!
Американские пограничники смогут конфисковать телефоны и ноутбуки путешественников, которые откажутся показать содержимое электронных устройств. Об этом сообщила Таможенно-пограничная служба США (ТПС).
«Во времена цифровой эры пограничные осмотры электронных устройств имеют важное значение. Это делается ради соблюдения норм закона на границе США и защиты американского народа», — сообщил The New York Times сотрудник таможенной службы Джон Вагнер.
Кроме того, если турист откажется сообщить пароль и предоставить для осмотра телефон, гаджет конфискуют на срок не более недели. Путешественнику также могут отказать во въезде на территорию США.
Американские пограничники смогут конфисковать телефоны и ноутбуки путешественников, которые откажутся показать содержимое электронных устройств. Об этом сообщила Таможенно-пограничная служба США (ТПС).
«Во времена цифровой эры пограничные осмотры электронных устройств имеют важное значение. Это делается ради соблюдения норм закона на границе США и защиты американского народа», — сообщил The New York Times сотрудник таможенной службы Джон Вагнер.
Кроме того, если турист откажется сообщить пароль и предоставить для осмотра телефон, гаджет конфискуют на срок не более недели. Путешественнику также могут отказать во въезде на территорию США.
А, ну раз аж на самом сайте консульства написано "в рамках", тады ладно, пусть проверяют, чего уж...
На сайте консульства написано - "миграционные власти в рамках реализации мер по выявлению несоответствия категории оформленных виз реальным целям въезда предпринимают соответствующие меры выборочного контроля" что журналисты тактично пропустили, зато дописать "контекст" не забыли 😄
Ну не хотят китайцы что бы у них бизнесмены солберецкие шпили осматривали, да и соборов таких у них нет наверное. 😄
Ну не хотят китайцы что бы у них бизнесмены солберецкие шпили осматривали, да и соборов таких у них нет наверное. 😄
Ну может по делам кому. А так да, пошёл
ну государство предлагает давайте всех переведем на государственный УЦ, а все коммерческие закроем - вот только будет ли это удачной идеей?..
У меня знакомая, которая работает в подобной структуре, и она объяснила, что в их УЦ личную ЭЦП выдают только при личном визите, когда проверяется личность вместе с документом. ЭЦП на фирму выдают только по доверенности, в результате регулярно наблюдает истерящих клиентов, которые забыли один из документов и теперь обвиняют всех, что они не могут получить свою ЭЦП. Так что это больше зависит от человеческого фактора в конкретной фирме.
У меня знакомая, которая работает в подобной структуре, и она объяснила, что в их УЦ личную ЭЦП выдают только при личном визите, когда проверяется личность вместе с документом. ЭЦП на фирму выдают только по доверенности, в результате регулярно наблюдает истерящих клиентов, которые забыли один из документов и теперь обвиняют всех, что они не могут получить свою ЭЦП. Так что это больше зависит от человеческого фактора в конкретной фирме.
Поинтересуйтесь у знакомой, изучают ли их операторы все степени защиты паспорта и проверяют ли их?
Также, нужна ли нотариальная доверенность курьеру, если он от юрика или просто достаточно подписи и печати организации.
Ну и так далее...
Некоторую дополнительную защиту даст личное присутствие и проверка биометрии (чем больше тем лучше), но и тут не все так просто.
Также, нужна ли нотариальная доверенность курьеру, если он от юрика или просто достаточно подписи и печати организации.
Ну и так далее...
Некоторую дополнительную защиту даст личное присутствие и проверка биометрии (чем больше тем лучше), но и тут не все так просто.
Вы хотите сказать, что никто и никогда не получал фальшивого паспорта в ФМС?
это вы так смешно пошутили, да?
И рисковать ею ради дурацкой просьбы
вы статью читали, да? Полагаете, над автором так смешно пошутили, да?
это вы так смешно пошутили, да?
ответственность. В данном случае отсутствует напрочь и позволяет штамповать эцп направо и налево. Попросите вашу знакомую и она вам сделает пяток на любую фамилию.
простите, какие тут могут быть стопроцентные доказательства?
Но это могут сделать и с обычным, физическим, бланком паспорта.
это понятно. Но есть у подобных уц хоть одна причина НЕ выпустить эц просто так за красивые глаза, совмешённые с денужкой в конвертике?
Фото-видеофиксация проблему не решают. Ибо в случае суда, будет сложно доказывать что на картинке не потерпевший.
Отображение ключей в Госуслугах - это должно быть, и это было бы правильно, но это не избавит от подобных случаев с использованием ЭЦП чужого лица.
Насколько знаю, для получения ЭЦП необходимо предоставить не копию, не картинку - а оригинал удостоверяющего документа. То есть, вот эти нарушения - они не потому, что какой-то работник банка скан паспорта слил, а потому что кто-то этот скан принял.
Отображение ключей в Госуслугах - это должно быть, и это было бы правильно, но это не избавит от подобных случаев с использованием ЭЦП чужого лица.
Насколько знаю, для получения ЭЦП необходимо предоставить не копию, не картинку - а оригинал удостоверяющего документа. То есть, вот эти нарушения - они не потому, что какой-то работник банка скан паспорта слил, а потому что кто-то этот скан принял.
в их УЦ личную ЭЦП выдают только при личном визите, когда проверяется личность вместе с документом
Ну и то, что где-то выдают только при личном визите. Это хорошо, но туда пойдут сами владельцы, что создаст иллюзию безопасности. А мошенники получат там, где по левой доверке выдадут ))
Вопрос, что важнее. Если безопасность, придется потерпеть. Я бы вообще возложил на МФЦ выдачу, причем, только лично и с фото-видеофиксацией, что это ты получал. Очереди и неудобства разок можно и потерпеть. Я во многом не доверяю государству, но здесь лучше пусть они, с них хоть спросить можно будет, а не искать кого-то где-то по всей стране. Плюс им внутри будет проще разобраться, действительный был ключ для той или иной сделки, или нет.
И с обязательным отображением всех выданных ключей в Госуслугах, а то реально получается, что где-то навыдавали, а ты даже не знаешь.
Тоже вчера эту статью на хабре читал, прямо загрустил. Причем, раньше казалось, что можно получить самому и все. Так нет, они могут новый запросить в каком-нибудь центре в Урюпинске. А ты и не узнаешь.
И с обязательным отображением всех выданных ключей в Госуслугах, а то реально получается, что где-то навыдавали, а ты даже не знаешь.
Тоже вчера эту статью на хабре читал, прямо загрустил. Причем, раньше казалось, что можно получить самому и все. Так нет, они могут новый запросить в каком-нибудь центре в Урюпинске. А ты и не узнаешь.
А если получить самому ЭЦП, интересно, мошенники могут получить другую?
Даже это не гарантия.
в таком случае все совсем уныло.
Носите google glass или другой видеорегистратор, лучше сертифицированный и опломбированный, почаще заглядывайте в зеркала по дороге и храните записи лет 10.
Шутка, конечно, но печальная...
Шутка, конечно, но печальная...
Спасибо за то, что рушите мои мечты 😄
Короче, будущее за блокчейном
Короче, будущее за блокчейном - чтобы было видно, какая (вырезано цензурой) подписала мой документ и когда.
Обмен сообщениями то идет не с УЦ который выдал закрытую открытую часть
Открытая часть должна попасть в гос оргна который с помощью нее проверит хэш.
И вот в этот момент ничего не мешает проверять на количество одновременно действующих открытых ключей на один паспорт.
На самом деле - существует
Но закрытая
Ну, и никто не мешает нагенерить сертификатов НЕ помещаяя их в эту сверхсекретную систему.
Обмен сообщениями то идет не с УЦ который выдал закрытую открытую часть. Открытая часть должна попасть в гос оргна который с помощью нее проверит хэш. В ту же налоговую, и там он должен быть как то сопоставлен с человеком реальным пусть хоть по номеру паспорта. И вот в этот момент ничего не мешает проверять на количество одновременно действующих открытых ключей на один паспорт.
Вообще ЭЦП это пара закрытый открытый ключ, и открытый они должны передавать кудато в госструктуры
В какойто же системе есть сопоставление открытый сертификат - конкретный человек.
должны передавать кудато в госструктуры или где там будет проверяться сама подпись
На самом деле - существует. Но закрытая, никаких запросов она не принимает и информацией никак не делится. Так что все равно что нет...
Феерического размера пипец
Вообще ЭЦП это пара закрытый открытый ключ, и открытый они должны передавать кудато в госструктуры или где там будет проверяться сама подпись то. И в принципе там ничего не мешает сделать проверку по параметрам. В какойто же системе есть сопоставление открытый сертификат - конкретный человек.
Единой базы "выданных ЭЦП" не существует.
Феерического размера пипец.
А если получить самому ЭЦП, интересно, мошенники могут получить другую?
Она выдаётся конкретным центром с указанием всех идентифицирующих данных. Так что доказать, что документ подписан не этой подписью легче лёгкого. Но это не снимает проблемы того, что ЭЦП на вас можно получить в тысяче других УЦ. И всё опять упирается в доказываение того, что ты не получал именно эту ЭЦП.
Единой базы "выданных ЭЦП" не существует.
Единой базы "выданных ЭЦП" не существует.
А если получить самому ЭЦП, интересно, мошенники могут получить другую?
