Адрес для входа в РФ: exler.world

Мошенничества с электронной подписью

28.05.2019 12:04  19042   Комментарии (42)

Помните недавно обсуждали историю о том, как у людей отжали квартиру с помощью электронной цифровой подписи? Мошенничества с ЭЦП продолжаются. На "Хабре" статья "Мошенники и ЭЦП — всё очень плохо".

Кратко - автор статьи неожиданно обнаружил, что на него и на его жену зарегистрировано несколько предприятий с помощью ЭЦП (поддельной, разумеется). И что самое интересное, путем хождения по инстанциям выяснилось, что с этим и сделать толком ничего нельзя, цитирую:

А дальше началась чреда отбивания порогов различных инстанций — МВД, Прокуратура, ОБЭП, Налоговая, Роскомнадзор, Администрация Президента, суд:

  1. По линии полиции — многочисленные отказы в возбуждении уголовного дела, из-за отсутствия события преступления. Т. е. если кратко, то «когда вас убьют, тогда и приходите». Так как пока ко мне никто не выдвинул финансовых требований, события преступления нет.
  2. По линии налоговой — они сделали всё согласно регламенту, вот есть заявление, вот оно подписано подписью «у нас нет оснований для отказа в регистрации ООО». Они внесли лишь пометку, что «По данным ФНС сведения недостоверны», но фирмы по-прежнему действуют. Также по запросу нам дали информацию об удостоверяющем центре — и у меня, и у супруги это был один и тот же УЦ находящийся в Томске (естественно мы там даже близко не были никогда).
  3. По линии Роскомнадзора — они запросили информацию от удостоверяющего центра, они им предоставили ответ, что вот есть якобы документы от меня, а так как подлинность документов они не выявляют — обращайтесь в суд.

Ну и вывод:

Защиты во всех сферах, к сожалению, нет, т. к. с внедрением «электронного правительства» появляется всё больше мест, где можно осуществить операции с помощью ЭЦП. Но, в частности, защититься от регистрации юридических лиц по ЭЦП можно. Есть так называемая «38-я форма», а если быть точнее форма 38001, заполнив которую, можно запретить регистрацию юр. лиц, без личного присутствия. Правда заполнять и везти её придётся лично в регистрирующий орган (в Москве это 46 налоговая), и как я понимаю, она ограничивает это только в данном регионе, хотя могу ошибаться.

К сожалению, налицо — законодательная дыра, которой пользуются мошенники, и пока не ужесточат контроль за выпуском ЭЦП, такие ситуации будут случаться только чаще.

Все это, знаете ли, очень и очень грустно. Наши данные прекрасно утекают через работников всяких банков и прочих заведений, где хранятся наши персональные данные, ЭЦП могут удостоверять хрен знает какие "удостоверяющие центры", которые ни за что не отвечают и концов там не найдешь, поле для мошенничеств открывается широчайшее, а как вообще с этим бороться - непонятно совершенно.

28.05.2019 12:04
Комментарии 42

Статью ещё не прочитал, но по краткому пересказу выходит:
полиция - лентяи
налоговая - в принципе всё логично, отметка о недостоверности сведений для добропорядочных фирм это ж, только левакам на это пофиг. не хватает от налоговой следующего шага - проверки организации на основании этой отметки
удостоверяющий центр - вроде они на то и создаются чтобы проверять личность, если это не так то жаловаться к их курирующим органам (минцифра или кто лицензии выдаёт) за отзывом лицензии.
29.05.19 10:14
0 0

если это не так то жаловаться к их курирующим органам
А как вы докажите, что это не вы получили ЭЦП?
29.05.19 15:22
0 0

А как вы докажите, что это не вы получили ЭЦП?
Разве что устроив почерковедческую экспертизу. При получении ЭЦП нужно расписаться.
29.05.19 15:43
0 1

а что мешает пойти в банк и завладеть счетом "своей фирмы"? понятно, что директор там будет левый, но совершенно спокойно можно прийти с паспортом и с протоколом собрания о назначении себя директором, а лучше главбухом и заиметь второй электронный банковский ключ, после чего спокойно снимать денюжку со счета
28.05.19 20:08
0 2

Ага, щаз. Учитывая, что таким мошенническим способом создаются зиц-компании, в один прекрасный день фирма обанкротится, оставив кучу кредиторов. А к вам придут описывать имущество в счёт погашения долгов. Тем более, что кроме фальшивого оформления фирмы на вас, вы сами реально принимали участие в её делах.

Или другой вариант. Фирма служила перевалочным пунктом для отмывания денег. Время от времени там на короткий срок появляются крупные суммы, чтобы потом уйти дальше. Вы поймали момент и сняли миллиончик зелёных денег.

Дальше начинаются забавные приключения в стиле американских фильмов с результатом в виде вашего трупа в лесу.
29.05.19 08:14
0 0

Уточню, Форма Р38001
28.05.19 14:04
0 0

Ну может по делам кому. А так да, пошёл
28.05.19 13:09
0 1

На сайте консульства написано - "миграционные власти в рамках реализации мер по выявлению несоответствия категории оформленных виз реальным целям въезда предпринимают соответствующие меры выборочного контроля" что журналисты тактично пропустили, зато дописать "контекст" не забыли 😄

Ну не хотят китайцы что бы у них бизнесмены солберецкие шпили осматривали, да и соборов таких у них нет наверное. 😄
28.05.19 13:15
0 1

А, ну раз аж на самом сайте консульства написано "в рамках", тады ладно, пусть проверяют, чего уж...
28.05.19 13:21
0 0

И США пошли!

Американские пограничники смогут конфисковать телефоны и ноутбуки путешественников, которые откажутся показать содержимое электронных устройств. Об этом сообщила Таможенно-пограничная служба США (ТПС).
«Во времена цифровой эры пограничные осмотры электронных устройств имеют важное значение. Это делается ради соблюдения норм закона на границе США и защиты американского народа», — сообщил The New York Times сотрудник таможенной службы Джон Вагнер.
Кроме того, если турист откажется сообщить пароль и предоставить для осмотра телефон, гаджет конфискуют на срок не более недели. Путешественнику также могут отказать во въезде на территорию США.
28.05.19 14:44
0 0

ну государство предлагает давайте всех переведем на государственный УЦ, а все коммерческие закроем - вот только будет ли это удачной идеей?..

У меня знакомая, которая работает в подобной структуре, и она объяснила, что в их УЦ личную ЭЦП выдают только при личном визите, когда проверяется личность вместе с документом. ЭЦП на фирму выдают только по доверенности, в результате регулярно наблюдает истерящих клиентов, которые забыли один из документов и теперь обвиняют всех, что они не могут получить свою ЭЦП. Так что это больше зависит от человеческого фактора в конкретной фирме.
28.05.19 12:20
0 0

Вопрос, что важнее. Если безопасность, придется потерпеть. Я бы вообще возложил на МФЦ выдачу, причем, только лично и с фото-видеофиксацией, что это ты получал. Очереди и неудобства разок можно и потерпеть. Я во многом не доверяю государству, но здесь лучше пусть они, с них хоть спросить можно будет, а не искать кого-то где-то по всей стране. Плюс им внутри будет проще разобраться, действительный был ключ для той или иной сделки, или нет.
И с обязательным отображением всех выданных ключей в Госуслугах, а то реально получается, что где-то навыдавали, а ты даже не знаешь.
Тоже вчера эту статью на хабре читал, прямо загрустил. Причем, раньше казалось, что можно получить самому и все. Так нет, они могут новый запросить в каком-нибудь центре в Урюпинске. А ты и не узнаешь.
28.05.19 12:38
0 8

Ну и то, что где-то выдают только при личном визите. Это хорошо, но туда пойдут сами владельцы, что создаст иллюзию безопасности. А мошенники получат там, где по левой доверке выдадут ))
28.05.19 12:41
0 1

в их УЦ личную ЭЦП выдают только при личном визите, когда проверяется личность вместе с документом
это понятно. Но есть у подобных уц хоть одна причина НЕ выпустить эц просто так за красивые глаза, совмешённые с денужкой в конвертике?
28.05.19 13:14
0 0

Фото-видеофиксация проблему не решают. Ибо в случае суда, будет сложно доказывать что на картинке не потерпевший.
Отображение ключей в Госуслугах - это должно быть, и это было бы правильно, но это не избавит от подобных случаев с использованием ЭЦП чужого лица.
Насколько знаю, для получения ЭЦП необходимо предоставить не копию, не картинку - а оригинал удостоверяющего документа. То есть, вот эти нарушения - они не потому, что какой-то работник банка скан паспорта слил, а потому что кто-то этот скан принял.
aag
28.05.19 13:43
0 4

это понятно. Но есть у подобных уц хоть одна причина НЕ выпустить эц просто так за красивые глаза, совмешённые с денужкой в конвертике?
простите, какие тут могут быть стопроцентные доказательства? За денежку (или очень крупную денежку) или приставленный к виску пистолет ЭЦП выдадут хоть в частном УЦ, хоть в государственном даже если её получатель будет будет как две капли воды похож на Усаму Бен Ладена. Но это могут сделать и с обычным, физическим, бланком паспорта.
28.05.19 13:58
0 0

простите, какие тут могут быть стопроцентные доказательства?
ответственность. В данном случае отсутствует напрочь и позволяет штамповать эцп направо и налево. Попросите вашу знакомую и она вам сделает пяток на любую фамилию.

Но это могут сделать и с обычным, физическим, бланком паспорта.
попросите кого-нибудь из паспортного стола сделать вам паспорт, ага.
28.05.19 14:16
2 2

ответственность. В данном случае отсутствует напрочь и позволяет штамповать эцп направо и налево. Попросите вашу знакомую и она вам сделает пяток на любую фамилию.
это вы так смешно пошутили, да? Она упоминала сколько усилий (сиречь времени и денег) стоит получить лицензию. И рисковать ею ради дурацкой просьбы - среди моих знакомых идиотов к счастью нет.
28.05.19 14:28
0 0

это вы так смешно пошутили, да?
вы статью читали, да? Полагаете, над автором так смешно пошутили, да?
28.05.19 14:38
0 0

вы статью читали, да? Полагаете, над автором так смешно пошутили, да?
первую читал и что? Вы хотите сказать, что никто и никогда не получал фальшивого паспорта в ФМС?
28.05.19 14:41
0 0

это вы так смешно пошутили, да?
вы статью читали, да? Полагаете, над автором так смешно пошутили, да?

И рисковать ею ради дурацкой просьбы
лицензию получали и силы тратили одни, а взять флешку с сертификатом и заверить пару десятков тысяч подписей на базу паспортов из даркнета и удачно их толкнуть будут другие (а завтра уволиться). Это ничего не стоит и, как видим, не имеет очевидных посоелствий.
28.05.19 14:42
2 3

Вы хотите сказать, что никто и никогда не получал фальшивого паспорта в ФМС?
это примерно на три плрядка труднее, легко отслеживается и имеет в качестве последствий тюрьму для всех фигурантов.
28.05.19 14:44
2 1

Поинтересуйтесь у знакомой, изучают ли их операторы все степени защиты паспорта и проверяют ли их?

Также, нужна ли нотариальная доверенность курьеру, если он от юрика или просто достаточно подписи и печати организации.

Ну и так далее...

Некоторую дополнительную защиту даст личное присутствие и проверка биометрии (чем больше тем лучше), но и тут не все так просто.
dss
28.05.19 18:56
0 0

А если получить самому ЭЦП, интересно, мошенники могут получить другую?
28.05.19 12:18
0 0

А если получить самому ЭЦП, интересно, мошенники могут получить другую?
В каждой конторе, которая выдает?
zyg
28.05.19 12:19
0 0

Она выдаётся конкретным центром с указанием всех идентифицирующих данных. Так что доказать, что документ подписан не этой подписью легче лёгкого. Но это не снимает проблемы того, что ЭЦП на вас можно получить в тысяче других УЦ. И всё опять упирается в доказываение того, что ты не получал именно эту ЭЦП.
Единой базы "выданных ЭЦП" не существует.
111
28.05.19 12:52
1 0

А если получить самому ЭЦП, интересно, мошенники могут получить другую?
конечно. Хоть 100500. ЭЦП - это просто ваш открытый ключ, подписаеный сертификатом УЦ.
28.05.19 13:16
0 0

Единой базы "выданных ЭЦП" не существует.
Какой пипец.
Феерического размера пипец.
28.05.19 13:59
0 3

Вообще ЭЦП это пара закрытый открытый ключ, и открытый они должны передавать кудато в госструктуры или где там будет проверяться сама подпись то. И в принципе там ничего не мешает сделать проверку по параметрам. В какойто же системе есть сопоставление открытый сертификат - конкретный человек.
28.05.19 14:16
0 0

Феерического размера пипец
в этом есть смысл. Например, не существует елиного реестра ssl/tls сертификатов. Но, да, в данном случае лучше, чтобы он был, это хотя бы немого улучшило бы ситуацию.
28.05.19 14:20
0 0

На самом деле - существует. Но закрытая, никаких запросов она не принимает и информацией никак не делится. Так что все равно что нет...
28.05.19 14:23
0 0

Вообще ЭЦП это пара закрытый открытый ключ, и открытый они должны передавать кудато в госструктуры
эцп это хэш документа, зашифрованый вашим закрытым ключом. Если его расшифровать вашим открытым ключом и хэши будут совпадать, это означает, что получатель читает тот документ, что вы ему отправили. Дальше возникает вопрос доверия к ключам и тут вступают в дело УЦ, которые просто подписывают ваш ключ своим и эта подпись теоретически должна удостоверять, что ключ принадлежит именно вам. Но, как видим, не удостоверяет... 😒

В какойто же системе есть сопоставление открытый сертификат - конкретный человек.
вроде бы УЦ должны хранить эту информацию, но теоретически это не обязательно.

должны передавать кудато в госструктуры или где там будет проверяться сама подпись
фамилия и паспортные данные вшиты в поля сертификата, но это означает лишь, что сертификат сопоставлен с данной фамилией и номером паспорта, но не удостоверяет, что он выдан конкретной персоне.
28.05.19 14:36
0 0

Обмен сообщениями то идет не с УЦ который выдал закрытую открытую часть. Открытая часть должна попасть в гос оргна который с помощью нее проверит хэш. В ту же налоговую, и там он должен быть как то сопоставлен с человеком реальным пусть хоть по номеру паспорта. И вот в этот момент ничего не мешает проверять на количество одновременно действующих открытых ключей на один паспорт.
28.05.19 14:43
0 0

На самом деле - существует
пруфы?

Но закрытая
настолько секретная, что никто о ней не знает?
Ну, и никто не мешает нагенерить сертификатов НЕ помещаяя их в эту сверхсекретную систему.
28.05.19 14:46
0 0

Обмен сообщениями то идет не с УЦ который выдал закрытую открытую часть
какой обмен?

Открытая часть должна попасть в гос оргна который с помощью нее проверит хэш.
не понимаю о чём вы. Открытый ключ совместно с сертификатом прикладывается к подписанному документу. Получатель документа проверяет с помошью открытого ключа, что документ был подписан вторым ключом из пары. И проверяет, с помощью сертификата, что ключ связан именно с этой фио и паспортом. Подлинность сертификата УЦ проверяется точно так же по цепочке вплоть до доверенного корневого сертификата. Корневой же сертификат распространяется вместе с проверяющим ПО. Никаких посыланий данных в органы нет, система полностью автономна (если приложена вся цепочка сертификатов, если нет, то промежуточные сертификаты могут быть запрошены у соответствующих УЦ).

И вот в этот момент ничего не мешает проверять на количество одновременно действующих открытых ключей на один паспорт.
нет, это работает не так. Кроме того, нет ничего особенного в наличии нескольких подписей у одного подписывающего субъекта.
28.05.19 14:58
0 0

Короче, будущее за блокчейном - чтобы было видно, какая (вырезано цензурой) подписала мой документ и когда.
28.05.19 16:54
0 0

Короче, будущее за блокчейном
Работу с блокчейном можно реализовать не менее криво и через такую же жопу, как они сейчас это сделали с ЭЦП. 😒
28.05.19 16:58
0 0

Спасибо за то, что рушите мои мечты 😄
28.05.19 17:44
0 0

Носите google glass или другой видеорегистратор, лучше сертифицированный и опломбированный, почаще заглядывайте в зеркала по дороге и храните записи лет 10.
Шутка, конечно, но печальная...
dss
28.05.19 19:00
0 0

в таком случае все совсем уныло.
28.05.19 20:31
0 0

Даже это не гарантия.
111
29.05.19 10:14
0 0
Теги
Сортировать по алфавиту или записям
BLM 20
Calella 143
exler.ru 271
авто 440
видео 3979
вино 359
еда 496
ЕС 60
игры 114
ИИ 29
кино 1579
попы 190
СМИ 2749
софт 930
США 128
шоу 6
Что ещё почитать