На «Госуслугах» появился сервис по противодействию финансовому мошенничеству
На портале госуслуг начал работать сервис по противодействию финансовому мошенничеству, говорится в сообщении Минфина РФ. Сервис позволяет узнать о правилах финансовой безопасности в онлайн-среде, получить практические советы о том, как противостоять телефонным и кибермошенникам, а также описывает механизм действия в Интернете финансовых пирамид и других мошеннических схем на рынке инвестиций.
«Раздел будет полезен не только тем, кто пользуется банковскими картами, интернет-банкингом и делает покупки в Интернете: речь идет в целом о финансовых мошенничествах, с которыми может столкнуться каждый», — уточняет Минфин.
Проект реализован Минфином России, Банком России и Минцифры России, при поддержке НИФИ Минфина России и АНО «Диалог».
«Злоумышленники не стоят на месте и постоянно используют новые сценарии мошеннических схем, вплетают в свои легенды актуальную повестку дня, — отметил заместитель председателя Банка России Герман Зубарев. — Поэтому очень важно, чтобы граждане имели возможность оперативно и в удобном формате получать информацию о том, как противостоять мошенничеству. «Госуслугами» пользуется огромное число людей, мы рассчитываем, что новый раздел будет полезен и востребован. Без повышения уровня финансовой грамотности все усилия государства по борьбе с теми, кто злоупотребляет доверчивостью граждан, не дадут должного положительного эффекта».
Почти две трети несанкционированных операций со счетами — это мошеннические методы социальной инженерии, добавил заместитель министра финансов РФ Михаил Котюков. «Людей застают врасплох, они фактически сами отдают деньги преступникам. Раздел о финансовом мошенничестве на «Госуслугах» позволит эффективнее коммуницировать с людьми, вовремя предупреждать их, давать грамотный финансовый совет к месту и ко времени. Со всеми заинтересованными сторонами мы будем развивать этот ресурс, дополняя его актуальной информацией и сервисами», — сказал замминистра.
По его словам, интеграция раздела о противодействии финансовым мошенникам в экосистему «Госуслуг» — шаг в сторону изменения принципов продвижения финансовой грамотности.
«Добровольный запрет» кредитов как новый способ борьбы с мошенничеством
Лента новостей
Все новости »
Если законопроект одобрят, заявление на введение или отмену запрета на выдачу кредитов можно будет заполнить на портале госуслуг. После вступления запрета в силу банки должны будут отказывать гражданину в выдаче кредитов
Депутаты Госдумы и участники финрынка готовят законопроект, дающий право гражданам заранее отказываться от любых кредитов. Авторы инициативы указывают, что мошенники все чаще получают удаленный доступ к телефонам жертв и оформляют кредиты или убеждают их самих перевести деньги. При этом оспорить в суде такие случаи почти невозможно.
Суть же идеи в том, чтобы заемщик мог через «Госуслуги» вводить и отменять запрет на выдачу ему кредитов. Запрет вступит в силу в течение семи дней и будет отображаться в титульной части кредитной истории. С этого момента банки будут обязаны отказывать в займе. Ну а если кредитный договор все же будет заключен, то они не смогут требовать выплаты и передавать долг коллекторам. Снятие запрета займет десять дней с момента подачи заявки.
О том, поможет ли такая схема защититься от мошенников, рассуждает генеральный директор аналитического агентства «БизнесДром» Павел Самиев.
Павел Самиев генеральный директор аналитического агентства «БизнесДром» «Способ мошенничества, когда мошенники оказывают давление на человека, чтобы он не столько даже переводил со своего счета деньги куда-то, но еще и брал кредит, и, соответственно, дальше уже эти деньги, которые взяты в кредит, переводил или снимал и передавал мошенникам, — это как раз самый растущий тренд с точки зрения мошенничества через социальную инженерию. И этот как раз, наверное, самый мощный вызов последнего времени на рынке. Не вижу никаких проблем с точки зрения клиентов и для банков, для МФО, для всех участников кредитного рынка это исключительно положительно. Для категории заемщиков потенциальных, которые, собственно, не предполагают брать кредиты, и только мошенники, по сути, их вынуждают это сделать, эта инициатива очень правильная. Человек может при этом, не испортив себе кредитную историю совершенно, если никакого влияния негативного тоже нет, отказавшись от возможности получения кредитов, это право себе снова вернуть через заявление. Опять же, почему здесь десять рабочих дней, почему некоторое время дается на то, чтобы вернуть, я думаю, что это тоже один из защитных механизмов, поскольку мошенники будут, вероятно, еще также вынуждать людей вернуть себе такое право, соответственно, эту галочку, как говорится, отжать обратно. Но десять рабочих дней — это много, за это время в любом случае человек из рук мошенников уже может уйти, скорее всего».
ЦБ прорабатывает инициативу, крупные банки в целом идею поддерживают.
Однако есть моменты, которые необходимо доработать. Комментирует начальник аналитического управления банка БКФ Максим Осадчий.
— Безусловно, эта инициатива снизит риски, особенно таких наиболее уязвимых категорий, скажем, как пенсионеры, — это с одной стороны. С другой стороны, она выглядит как такой довольно странный инструмент добровольного ограничения прав. Представьте себе, вы добровольно наложили на себя это ограничение, а вам внезапно потребовались деньги, например на лечение. А извините, там десять дней предусмотрено. Только через десять дней с вас снимут это ограничение — это раз. Два — черт, как говорится, всегда в деталях. Я, например, охотно пользуюсь кредитом, но каким? Овердрафтом. Получается, если я введу это ограничение, то я перестану пользоваться овердрафтом.
— То есть кредитную карту тоже человек не сможет получить?
— Выходит, что да. Получается, что вы наложили на себя добровольное это ограничение, грубо говоря, отрезали себе мизинчик. Нужно как-то модифицировать эту инновацию, то есть не просто ограничение на кредит, а на какие-то виды определенные кредитов, может быть, на размер не свыше определенной суммы. Сама по себе идея хорошая, но она явно требует определенной доработки, обсуждения с профессиональным сообществом.
Проблемы также могут возникнуть в семидневном промежутке между подачей заявки на запрет кредитования и моментом, когда он вступает в силу, говорит вице-президент банка «Открытие» Сергей Селезнев.
Сергей Селезнев вице-президент банка «Открытие» «Исходя из текста законопроекта, запрет вступает в силу в течение семи дней с момента подачи заявления. Что происходит в течение этих семи дней, может ли человек обратиться за получением кредита, каким образом банк должен поступить в том случае, если запрет подан, но информация о нем еще не появилась в бюро кредитных историй, что банку делать и является ли действующим такой кредит? Мы видим здесь следующую ситуацию: клиент подал такое заявление, пришел в банк, банк действовал добросовестно, проверил личность клиента и предоставил денежные средства этому клиенту. В последующем, после того как у клиента началась просрочка, пошел взыскивать в судебном порядке эти деньги. А в силу прямого указания закона взыскать эти деньги не можем. Здесь, безусловно, у клиента возникает неосновательное обогащение, на наш взгляд. Клиент будет злоупотреблять своим правом. Поэтому мне кажется, что эта норма [семидневный срок одобрения] подлежит исключению из законопроекта».
По словам источника РБК, законопроект может быть внесен в Госдуму в июне, хотя авторы его говорят и о более раннем сроке.
Пользователи «Госуслуг» заявили об оформленных на них кредитах после взлома аккаунтов. Как защититься от мошенников
Пользователи «Госуслуг» рассказывают, что мошенники взламывают их аккаунты, потом оформляют на их имя кредиты и обналичивают деньги. В итоге россияне остаются должны банкам и микрофинансовым организациям десятки и сотни тысяч рублей. Рассказываем, почему взлом аккаунтов оказался возможен и как защитить себя от мошенников.
Что случилось
Житель Петербурга лишился и доступа в аккаунт на «Госуслугах», и более 400 тысяч ₽. Свою историю он рассказал на портале «Пикабу». На преподавательницу в декрете Анастасию Павлович неизвестные оформили займы на 20,5 тысячи ₽. Аккаунт Ларисы Геннадьевны на портале Госуслуг взломали, подали заявки на кредиты, но деньги мошенники получить не успели.
Сценарий везде один и тот же: сначала пользователь получает сообщения о смене номера телефона и электронной почты, привязанных к аккаунту, потом пытается связаться с поддержкой портала, чтобы решить проблему. Тем временем мошенник отправляет заявки на кредиты в разные банки и МФО.
Если заявку одобряют, неизвестный с поддельным документом идёт в банк и получает деньги. В паспорте указаны ФИО, номер, прописка со взломанного аккаунта, а фото и подпись — другие. В итоге пострадавший должен банку деньги, которые он даже не видел.
Как мошенники взламывают «Госуслуги» и оформляют кредиты
Новой возможностью пользуются и мошенники. Для оформления кредита на ничего не подозревающих граждан им достаточно взломать чужую учётную запись на «Госуслугах». Пароли от аккаунтов злоумышленники подбирают или берут из слитых баз.
И это проблема не «Госуслуг», это проблема любого интернет-ресурса, для входа на который достаточно логина и пароля, отмечает Лукацкий.
Госдума разрабатывает законопроект, который позволит россиянам добровольно отказаться от выдачи кредитов на их имя. Соответствующую заявку можно будет подать через «Госуслуги». Когда человеку действительно понадобится кредит, он может отозвать свой запрет, оформить заём и затем вновь установить ограничение на новые кредиты.
Когда этот механизм детально проработают и внедрят, пока неизвестно.
Как защитить аккаунт на «Госуслугах» от мошенников
Вот три совета, которые, по словам Алексея Лукацкого, позволят максимально защитить аккаунт на «Госуслугах»:
1. Включить двухфакторную аутентификацию, то есть вход на портал не только по логину и паролю, но и одноразовому СМС-коду.
2. Удалить банки, МФО и тому подобные организации из числа тех, у которых есть доступ к персональным данным с «Госуслуг».
3. Регулярно, раз в полгода-год, менять пароли. Не только на «Госуслугах», но и на других сервисах. Ключевой момент в паролях, по мнению эксперта, — это их длина. Нужно устанавливать как можно более длинные пароли — свыше 12–14 знаков. В них необязательно включать множество специальных символов и цифр, главное, чтобы это не было какое-то известное слово или очевидное сочетание имени-фамилии. Такой пароль подобрать практически невозможно.
Как включить СМС-подтверждение на «Госуслугах»
1. Зайти в меню «Настройки и безопасность».
2. В левом меню выбрать пункт «Вход в систему».
3. Кликнуть на ссылку «Настроить» в окне с разделом «Вход с подтверждением по СМС».
4. В появившейся строке ввести пароль от аккаунта и нажать кнопку «Включить».
Теперь на портал нельзя зайти без одноразового СМС-кода, который приходит на телефон пользователя.
Как отозвать ненужные согласия на портале Госуслуг
1. Кликнуть на иконку со своими именем и фамилией.
2. В меню выбрать пункт «Согласия». Откроется список ведомств и компаний, которым предоставлено согласие на обработку персональных данных.
3. Кликнуть на согласие, которое нужно отозвать. На открывшейся странице внизу нажать кнопку «Отозвать согласие».
Что делать, если аккаунт взломан
Если неизвестные взломали аккаунт, пострадавшему нужно восстановить к нему доступ. Это можно сделать в МФЦ, отделении банка или почты, туда нужно подойти с паспортом. Ближайшее отделение можно найти на карте от «Госуслуг».
Если мошенники уже успели оформить кредит, нужно идти в полицию и писать заявления. Сейчас в банках стоят камеры видеонаблюдения, поэтому высока вероятность, что злоумышленников найдут, считает адвокат Евгения Колесникова.
Другое мнение — у бизнес-консультанта по безопасности Cisco Systems Алексея Лукацкого. По его словам, камеры — не самый эффективный механизм в выслеживании мошенников. Дело в том, что злоумышленники используют разные схемы для обналичивания незаконно похищенных средств. Часто для этого нанимают студентов или других граждан, которым предлагают просто процент за их «помощь». «Даже если поймают того, кто снимает деньги, это будет не тот человек, который организовал всю мошенническую схему. Найти мошенников, к сожалению, практически невозможно», — считает Алексей Лукацкий.
Хорошая новость в том, что пользователь «Госуслуг», на чьё имя набрали кредитов, может доказать свою непричастность к этим займам. Тогда платить по чужим долгам не придётся. Так, Анастасия Павлович, которая без своего ведома оказалась должна 20,5 тысячи ₽, сейчас ждёт заседания суда, который снимет с неё долговые обязательства. Чтобы доказать свою невиновность, преподавательница предоставила перечень мест и времени, в которое злоумышленники входили под её именем на портал (данные предоставили «Госуслуги»), а также выписки из своих банков о том, что на её счета не поступали никакие деньги. Полиция выяснила, в каком банке на имя девушки открыли кредитку, а также установила, что взламывал «Госуслуги» и брал кредиты один и тот же человек.
Как не попасть на кредит, используя госуслуги
Как не «попасть» на кредит, используя госуслуги
За сохранность персональных данных отвечает государство, но пользователям нужно быть начеку
Подтверждённый аккаунт на сайте госуслуг можно, помимо прочего, использовать для подтверждения личности заёмщика при оформлении кредита. Этим, как водится, пользуются не только добропорядочные граждане, но и орудующие от их имени мошенники. С помощью экспертов «Парламентская газета» разбиралась, как обезопасить себя от нелегальных финансовых операций.
Госуслуги кредитов не дают
Оформляя займ, пользователь соглашается с его условиями и подписывает договор с банком или МФО. «Никаких гарантий или льгот авторизация по учётной записи не даёт. Снижение ставки, ускоренное одобрение заявки, упрощённая процедура проверки — всё это на усмотрение конкретной организации и не связано с порталом госуслуг», — сказано в информационном разделе сайта.
Итак, гражданин, авторизовавшись через госуслуги, подписывает кредитный договор, принимая на себя все те же обязательства, что возникли, обратись он в банк лично. Но в офисе заявителя видит сотрудник, который может как минимум посмотреть на фото в паспорте, а если гражданин сдал биометрические данные — то проверить его ещё и, например, по голосу. Узнать, кто сидит за компьютером, пусть даже он и авторизовался как конкретный Иванов, нет возможности. Этим и пользуются мошенники, оформляя кредиты через взломанные аккаунты.
Количество таких случаев в последнее время увеличилось, на что обратил внимание член Комитета Госдумы по информационной политике, информтехнологиям и связи Антон Горелкин. Он направил обращение в адрес главы Минцифры Максута Шадаева с просьбой разъяснить действия пользователя портала госуслуг, если тот обнаружил, что его аккаунт взломан. Депутат также просит сообщить, как можно отменить совершённые мошенниками от имени другого лица действия.
«Я считаю, что на госуслугах должен быть инструмент быстрого реагирования на заявления граждан о взломе аккаунта. А также необходимо выработать процедуру отмены, например, кредитов или займов, если они были оформлены со взломанного аккаунта», — написал Горелкин в своём Telegram-канале.
Банк пустит на госуслуги
Взаимодействие с кредитно-финансовыми организациями с использованием аккаунта госуслуг удобно гражданам, портал хорошо зарекомендовал себя и по функционалу, и с точки зрения безопасности, сказал «Парламентской газете» генеральный директор информационно-аналитического агентства TelecomDaily Денис Кусков.
В то же время банки используют и собственные системы идентификации клиентов, причём нередко, чтобы войти в личный кабинет, нужно ввести не только пароль, но и код из поступившего СМС. Минцифры хочет приравнять банковскую идентификацию к паролю от госуслуг для расширения возможностей сервиса. Проект постановления об этом опубликован на портале правовых актов 22 июля. Эксперимент, который продлится с сентября 2021 по декабрь 2022 года, позволит подать заявление на предоставление услуги через форму в информационных системах банков, каждый раз не проходя авторизацию на портале госуслуг.
«Проблем с такой взаимной идентификацией возникнуть не должно, а пользователи получат ещё один способ доступа к электронным госуслугам», — отметил Денис Кусков.
Государственному порталу необходимо совершенствовать механизмы защиты пользователей, а самим юзерам — учиться их применять, считает эксперт по информационной безопасности Александр Власов.
«Например, на госуслугах можно запретить проводить любые операции с недвижимостью без личного присутствия собственника, — рассказал «Парламентской газете» Власов. — Эти правила нужно распространить и на проведение финансовых операций. То есть заявление на кредит вы можете оформить на сайте, но подписать кредитный договор — только лично».
Эксперт также рекомендовал узнать, в каком бюро кредитных историй хранится информация о гражданине. Обратившись туда, можно также запретить оформление кредитов без личного участия.
Член профильного думского комитета Антон Горелкин в комментарии «Парламентской газете» отметил, что пользователи должны быть уверены, что их электронные документы, которые они доверили государству, защищены лучше бумажных. «С учётом происходящего механизм защиты аккаунтов на портале госуслуг нужно усовершенствовать», — добавил депутат.
Удобно или безопасно?
Разработчики рекомендуют использовать только лицензионные программы, устанавливать все необходимые обновления безопасности, регулярно обновлять антивирусные базы, не посещать сайты сомнительного содержания. Кроме того, чтобы ваш пароль не угнали, нельзя заходить в личный кабинет со случайных компьютеров, из интернет-кафе. И, конечно, никому не нужно сообщать данные для входа.
Эксперт по информационной безопасности Александр Власов рекомендовал также включить оповещение о входе в аккаунт госуслуг, а также двухэтапную проверку входа — как в банковских приложениях, когда нужно ввести не только пароль, но и код из СМС.
«У пользователя есть главное — возможность выбора. И этот выбор сегодня — между удобством и безопасностью», — сказал Власов.
Если человеку нужен кредит, то пусть обратится в свой банк или закажет кредитку от банка, который работает в дистанционном режиме (типа Тинькова).
Кого, чего?
Мои Госуслуги последние несколько недель
Электронная подпись: как обходиться без бумаги и при этом не отдать все свои активы мошенникам?
Электронная подпись появилась в России еще в прошлом веке, когда компьютеры были большими, а интернет был по диал-апу. С тех пор применение усиленной электронной подписи (ЭП) расширяется. Её регистрируют как крупные организации, так и совсем небольшие ИП.
После начала пандемии коронавируса случился настоящий бум получений ЭП, ведь иначе бизнес бы встал. В результате за 2020 год было выдано почти вдвое больше сертификатов ЭП, чем в 2019-м. Разберемся, что такое ЭП, почему она так привлекательна для мошенников и как защитить ее от злоумышленников.
ЧТО ТАКОЕ ЭЛЕКТРОННАЯ ПОДПИСЬ?
В этом материале мы говорим об усиленной электронной подписи – идентификаторе человека при дистанционном обмене информацией, имеющем юридическую силу.
Бывает еще простая электронная подпись, подтверждающая, что документ отправил конкретный пользователь. Ее можно сделать с помощью обычных офисных программ, но уровень ее защищенности таков, что всерьез ее воспринимать сложно. Однако простые подписи используются широко. Например, ими незаметно для клиента заверяются все операции по банковским картам. Простая подпись может быть доказательством в арбитражном суде.
Чтобы ввести электронный документооборот, требовался инструмент, одновременно достаточно защищенный, чтобы ему можно было доверять, и достаточно простой, чтобы им мог пользоваться обычный пользователь ПК. Так появилась усиленная электронная подпись.
Усиленная ЭП – это реквизит документа, подтверждающий его авторство и отсутствие изменений в данных с момента подписания. Она защищена криптографическими методами, и взломать ее практически невозможно.
Чтобы подписать документ, нужна пара из секретного и открытого ключа.
Когда человек ставит электронную подпись, алгоритм считает контрольную сумму данных и зашифровывает получившееся значение секретным ключом.
Получатель документа с помощью парного открытого ключа узнаёт, кем именно был подписан документ и проверяет совпадение контрольной суммы. Если после подписи в документе хотя бы переставят запятую или удалят пробел, она будет уже другой. Значит, подпись недействительна.
Из всех ЭП юридической силой собственноручной подписи обладает только усиленная квалифицированная. Чтобы получить ее, нужно, чтобы соответствующий открытый ключ был подписан секретным ключом УЦ.Открытый ключ с метаданными владельца и подписью УЦ и называется сертификатом электронной подписи.
Неквалифицированная подпись используется в основном в деловой среде. Ее может выдать любой удостоверяющий центр (УЦ), в том числе и внутренний УЦ предприятия. Сообщение с неквалифицированной электронной подписью может (по предварительной договоренности сторон и в специально предусмотренных законом случаях) быть приравнено к бумажному документу, подписанному собственноручно.
Квалифицированная подпись по закону считается официальным документом. Она позволяет удаленно работать с налоговой инспекцией, присылать документы в суд – делать все то же, для чего нужна собственноручная подпись. Она подтверждается сертификатом от аккредитованного удостоверяющего центра.
С помощью сотрудников Музея криптографии, который скоро откроется в Москве, мы смогли составить хронологию использования ЭП в России.
1994 – в России принят первый стандарт электронной подписи – ГОСТ Р 34.10-94 (сейчас действуют национальный стандарт ГОСТ Р 34.10-2012 и межгосударственный ГОСТ 34.10-2018)
2002 – вступил в силу первый закон, призванный регулировать использование ЭП – 1-ФЗ «Об электронной цифровой подписи». Он содержал слишком серьезные требования к ЭП и сильно ограничивал возможности по применению электронных документов.
2011 – вышел закон 63-ФЗ «Об электронной подписи», значительно облегчающий ее применение. Это создало основу для перехода к безбумажному документообороту.
2018 – ЭП стала использоваться на портале «Госуслуги»
2019 – появление облачной подписи, которую можно оформить удаленно.
2020 – ключи ЭП можно получать через МФЦ.
2020 – ЭП активно используется в банках для защиты переводов.
Электронная подпись стала по-настоящему доступна. Но так ли это хорошо?
Секретный ключ чужой электронной подписи для мошенников поистине золотой. Имея его, для всего цифрового мира злоумышленник может оставить её настоящего владельца без банковского депозита, бизнеса и единственного жилья.
Самые распространенные преступления с использованием ЭП:
— вывод средств со счетов компании;
— заключение договора дарения или купли-продажи на собственность человека или компании, включая недвижимость и дорогую технику;
— различные манипуляции с организацией: смена руководителя компании, главбуха, других ключевых сотрудников, ограничение доступа организации к госзакупкам и даже ликвидация компании.
Чтобы осознать полный спектр возможностей мошенников, представьте, что вы решили очень сильно навредить собственному материальному положению. Что вы можете для этого сделать? Мошенник с вашим секретным ключом может сделать все то же самое.
Открытый ключ на то и открытый, что давать его можно всем, кому требуется подтвердить вашу электронную подпись. Им можно:
— зашифровать что-то так, что расшифровать сможет только владелец парного секретного ключа;
— проверить подпись, созданную с использованием парного секретного ключа.
Имея доступ к открытому ключу, получить секретный невозможно. Поэтому его можно безопасно предоставлять всем, кому нужно прочитать ваши документы.
УДОСТОВЕРЯЮЩИЙ ЦЕНТР: ЗАЧЕМ ОН НУЖЕН?
На всех сайтах удостоверяющих центров говорится: чтобы получить электронную подпись, нужно получить в УЦ ключевую пару и сертификат. Создается впечатление, что ключевую пару могут сделать только там. Но это а) не так, б) нарушает главное правило работы с ЭП: секретный ключ не должен оказываться в чужих руках. Тем более – в непонятно чьих.
Удостоверяющие центры – это частные организации (порой ИП или вообще частные лица), которые не в полной мере контролируются государством. До 2020 года существовали сотни УЦ, среди которых встречались созданные с мошенническими целями – как раз для кражи секретных ключей. Теперь требования к ним значительно ужесточили, и многие недобросовестные игроки с этого рынка отсеялись. Но все ли? Вряд ли вам хочется проверить это ценой собственной квартиры или бизнеса.
Поэтому если УЦ не аккредитован в Минкомсвязи, с ним можно иметь дело только если:
— это собственный УЦ вашего предприятия;
— он сертифицирует подписи для участия в конкретных мероприятиях (например, в торгах, и тогда УЦ должен иметь аккредитацию не менее чем шести торговых площадок).
Смысл создания аккредитованных УЦ – в дополнительной защите подписи путем сертификации. Сертификат УЦ говорит о том, что его сотрудники удостоверились в том, что конкретный гражданин пришел к ним с паспортом и заявил, что принесенная им ключевая пара принадлежит ему. Для такой идентификации достаточно предоставить в УЦ открытый ключ. Но явиться лично и с паспортом придется. Дистанционные способы подтверждения личности в таком важном деле, как получение сертификата, могут применяться только в исключительных случаях. Если УЦ предлагает такие варианты просто по желанию клиента, возможно, организация настолько же непринципиальна и в других вопросах информационной безопасности.
Кроме выдачи сертификата электронной подписи, УЦ по заявлению владельца может приостановить действие сертификата или отозвать его, и тогда ЭП потеряет силу. Об этом пользователю, имеющему парный открытый ключ, сообщит программа, проверяющая подпись. В сообщении будет сказано: «Подпись верна, сертификат недействителен». Но между тем, как секретный ключ станет кому-либо известен, до тех пор, пока УЦ поместит сертификат открытого ключа в список отозванных, пройдет какое-то время. За этот промежуток злоумышленник вполне может провести операции, которые будут считаться легитимными.
КЕЙС: КАК СДЕЛАТЬ СЕБЕ ЭП
Верный способ защитить секретный ключ от утечек на начальном этапе – сделать на предприятии собственный УЦ. Он не будет аккредитованным, зато вы точно будете знать, кто имеет доступ к настолько важным данным. Приведем кейс от дружественной компании, которая не поленилась немного поработать, и теперь ее руководство спит спокойно. Ну, почти спокойно: инсайдерское в+оздействие (то есть, злой умысел сотрудника) никто не отменял, но это уже другая задача.
Для создания ключевой пары и последующей работы с цифровой подписью мы использовали отдельный компьютер с заведомо «чистой» системой. Мы протестировали несколько систем, и остановились на российском Alt Linux. Для добавления поддержки шифрования и цифровой подписи по ГОСТ в ней оказалось достаточно установить пакет openssl-gost-engine и добавить в начало конфигурационного файла несколько строчек:
В других системах на основе GNU/Linux все тоже заработало, но усилий приложить потребовалось чуть больше. Нам удалось настроить софт для создания ключевой пары под Windows и MacOS, но в этих случаях гораздо острее встает проблема вредоносного ПО, нацеленного на кражу секретного ключа.
После создания ключевых пар мы обратились в аккредитованный УЦ и зарегистрировали их по установленной законом процедуре. Мы предъявили в УЦ открытые ключи и необходимые документы как для физических лиц, так и для организации. Этот этап оказался самым сложным: сотрудники УЦ не сразу поняли, что нам не нужна медвежья услуга по созданию ключевой пары, а достаточно просто подписать уже существующий открытый ключ.
Мы ссылались на ФЗ-63 «Об электронной подписи». В ст. 2 этого закона и во многих других статьях сказано, что сертификат электронной подписи, в том числе квалифицированной, выдает УЦ. Но нет ни слова о том, что УЦ выдает ключевую пару. Сотрудники сначала аргументировали отказ в выдаче сертификата доводами вроде «Ну мы всегда так делали». Но затем они, вероятно, все же почитали закон и посоветовались с юристами. В результате наше законное требование было выполнено, мы успешно избежали навязанной и небезопасной услуги.
С 1 января 2022 года вступят в силу изменения к ФЗ-63, но принципиально поменяется только выбор УЦ, в которых могут получить сертификат руководители предприятий, индивидуальные предприниматели и нотариусы. Список компаний, которые смогут выдать сертификат в таких случаях, будет ограничен УЦ ФНС и организаций, которые налоговая служба сочтет доверенными. Получать ключевую пару именно в них закон по-прежнему не требует.
Как хранить секретный ключ
Ключевую пару можно хранить в специализированном устройстве. Для этого обычно используют рутокен или е-токен. УЦ выдает секретные ключи именно на этих устройствах, но их вполне можно приобрести самостоятельно.
Внешне токен похож на обычную USB-флешку, но внутри содержит не накопитель, а криптопроцессор – устройство, хранящее секретные ключи и осуществляющее внутри себя все необходимые криптопреобразования. Поместить секретные ключи в эти устройства можно, но извлечь их оттуда уже не получится, что обеспечивает дополнительный уровень защиты.
Две главных опасности для секретного ключа – это вредоносное ПО и действия пользователя. Надеяться только на антивирусные программы недостаточно. Важно соблюдать правила:
— не оставлять токен подключенным к компьютеру дольше необходимого;
— не оставлять устройство без присмотра (его нужно всегда иметь при себе или хранить в сейфе);
— ни в коем случае не помещать секретный ключ в облачное хранилище и вообще не использовать для его хранения Интернет.
ЭП: ТЕХНИКА БЕЗОПАСНОСТИ
1. Изучите компьютерную грамотность сами и обучите ей сотрудников или родственников! Антивирусы – это хорошо, но лучшая защита пользователя от кибермошенничества – его собственная голова. Люди, которые могут хотя бы подойти к вашему компьютеру, должны знать, что такое фишинг, как отличить настоящий сайт от подделки и почему нельзя открывать все ссылки подряд.
2. Поддерживайте антивирусную защиту актуальной! Самый распространенный способ «украсть ЭП» (а точнее секретный ключ) на сегодня – зловредные программы, которыми преступники заражают компьютеры.
3. Не используйте токен на компьютере, в защищенности которого вы не уверены.
4. Ключевую пару можно и нужно создать самостоятельно.
5. Не пользуйтесь услугами неаккредитованных удостоверяющих центров, если это не ваш собственный УЦ.
6. Секретный ключ, в том числе содержащий его токен, нельзя передавать никому. Даже родным и близким. Сотрудникам, которые имеют право подписывать документы, сделайте их личные ключи.
7. Паспортные данные и тем более сканы документа должны храниться максимально надежно. Нельзя размещать их в Интернете, даже в якобы безопасных хранилищах. Если при получении какой-либо услуги вместо паспорта допустимо предъявить другой документ, так и поступите. Иначе есть риск обзавестись неучтенной цифровой подписью.
8. Установите пароли на токен и компьютер. Пароль должен иметь достаточную длину и содержать как буквы в разных регистрах, так и цифры со спецсимволами. Еще лучше использовать ключевую фразу (passphrase): это набор слов, разделенных цифрами или спецсимволами. Например, 1k*СпОc0бОв/=\zaS4itit`+token|_|. Его придется выучить наизусть. Записанный на бумажке, даже самый сложный пароль теряет смысл. Достаточно один раз забыть такой листок на столе – и в лучшем случае просто придется заказывать новую подпись.
9. Не храните незащищенный секретный ключ на жестком диске компьютера.
10. Если вы – руководитель, и у ваших подчиненных есть ЭП, дающая право подписывать документы от имени предприятия, при увольнении сотрудника отзывайте его подпись даже раньше, чем он получит расчет.
Ответ на пост «Победа!»
Что делать, если пришёл судебный приказ.
Дело в том, что мировой судья, получив возражения ответчика в части исполнения, безусловно отменяет свой приказ, не изучая и не оценивая доводы ответчика, изложенные в возражениях. То есть важен сам факт подачи возражений. Отмена судебного приказа при наличии возражений, поданных без нарушения срока обжалования, происходит в 100% случаев. Срок обжалования судебного приказа можно восстановить, если он пропущен по уважительной причине. Для этого прикладываем к возражениям ходатайство о восстановлении пропущенного срока обжалования.
В постановлении об отмене судебного приказа, мировой судья разъяснит истцу его право обратиться с исковым заявлением в суд общей юрисдикции по гражданским делам.
Вот в случае подачи такого искового заявления, от вас уже потребуется и присутствие в суде, и доказательства, и аргументы.
Поскольку при вынесении судебного приказа нарушается целый ряд прав, я бы рекомендовал всегда обжаловать судебные приказы.
Как я не стал миллионером (самый короткий опыт работы)
Году в 10-11 встал вопрос о том, что денег с прошлого места работы категорически не хватает и было бы хорошо продавать свое время по более вменяемому курсу.
Пара часов на hh и прилетает предложение, что я идеальный кандидат и именно меня не хватает в дружной компании, торгующей крутейшими водяными фильтрами + зарплата 2х от нынешней
Ок. критерии ваканси особо не напрягали
*Авто и категория b (именно первым пунктом)
*Высшее экономическое / или последние курсы
*Загран и готовность к командировкам
*Опыт работы на крупных выставках (в идеале ленэкспо, дело происходило в СПб)
* Ну и джентльменский набор стрессоустойчивость, работа на результат итд
Полупустое помещение, школьная парта, с предметами роскоши, предположительно с апрашки (локальный АлиЭкспресс), ряды икеевских стульев, с явными оттисками предыдущих пользователей. На подоконнике стоит стакан с водой, куда опущены 2 контакта и идёт образование осадка и пленки, все на фоне стопки с фильтрами. Вместо солидного дядьки, паренёк, на пару лет старше меня, при входе кивнул и продолжил громогласно вещать в трубку, что они не могут поставить ещё больше фильтров, все расхватывают и ему просто не хватает рук, но он что-нибудь придумает.
Начинается собеседование, рассказал про себя, послушал про них и что-то меня прям смущать начало, особенно когда вместо международных конференций, мне стали рассказывать про презентации системы фильтров, но в условиях квартир. Уточняю,может я тупенький, как это возможно и откуда я могу появиться на презентации в чужой квартире.
3-5, это чудо продавалось по 80-150. Попрощался, пусть и в несколько вольной форме, оскорбил сексуальные меньшинства, сравнив их с этой падалью. Разбогатеть решил в другой раз.
Победа!
Совкомбанк не сдается, но и я тоже
Расскажу все по порядку. Кто не читал предыдущие посты, рекомендую ознакомиться. И да, я не пишу ради хайпа, а делюсь информацией, советую как поступать, случись у вас подобное приключение.
Далее, я получил письмо из последней МФО Займ-Экспресс. Как и все другие МФО они признали микрокредит недействительным. Какие-то МФО сделали это практически сразу. Другие немного позже. Главное, что ни у какой МФО не возникло желание оспаривать кредиты при возбужденном уголовном деле. Молодцы! Сработали лучше банков.
Далее, я опять пошел по всем банкам, в которых мошенники открыли счета, получили дебетовые карты, но не смогли оформить кредиты. Мне предстояло закрыть все эти продукты. Я везде писал заявление на закрытие счетов/карт, которые открыли на меня третьи лица. Где-то вновь предоставлял копии постановлений о возбуждении УД. Кроме этого, я писал отзывы согласия на обработку персональных данных. А то мне уже начинали поступать СМС и письма от этих банков с предложениями взять кредит. Нет уж, спасибо. Каждый банк меня по-своему «радовал». Например, Промсвязьбанк (ПСБ) не дает копии ваших же заявлений. Мол, просто ждите решения. Москоский Кредитный Банк (МКБ) успел начислить мне плату за пользование картой. Отменили по заявлению. ПочтаБанк и ХоумКредит сработали лучше, но тоже не быстро. Отличился Абсолют Банк с совершенно хамской службой безопасности. В итоге, финального ответа от них я не получил до сих пор.
Все эти походы по банкам, конечно, отнимали у меня и время, и нервы. Но мою решимость довести дело до конца было уже не остановить. Именно поэтому в середине августа я еще раз написал обращение в Совкомбанк с просьбой признать кредитные договоры недействительными. И вот тут начинается самое интересное. Да-да, финальный босс 
Нужно сказать, что в общей сложности я написал 9 обращений в Совкомбанк в период с 07.07 по 27.10. По закону банк должен ответить на письменный запрос в течении 10 рабочий дней (14 календарных). И каждый раз банк тянул время и не отвечал 2 недели. А потом либо вообще не отвечал, либо их «представитель» отписывался мне на форуме banki.ru очередным бредом.
Банк продолжал давать мне отписки следующего содержания
Письменный ответ, в котором указано, что данные договоры были оформлены третьим лицом и Вами не подписывались, был сформирован Банком 03.08.2021г и в дальнейшем Вами получен. Вопрос о закрытии, аннулировании либо переносе на другое лицо будет принят Банком дополнительно, по решению суда.
С уважением, Департамент клиентских впечатлений ПАО «Совкомбанк».
На мои вопросы, какой суд имеется в виду, банк не отвечал. Тут либо банк тянул время, чтобы потом подать иск в суд против меня. Либо ждал, что я сам подам иск в суд против банка. В любом случае, ситуация начинала напрягать.
Наконец, 24.09 придя в банк я запросил справки об активных кредитных продуктах на мое имя. Девочка-оператор, которую я до этого не видел, сама и без уговоров распечатала мне две справки. В каждой справке именно я был указан как Заемщик. Кредиты были активны и по ним увеличивалась задолженность. По карте Халва она была не столь велика, а вот по кредиту на 600тр просроченная задолженность составляла около 70тр. Т.е я был уже доолжен банку не 600тр, а 670тр. «Ничего личного, это просто бизнес!»
Я был, мягко говоря, удивлен. Классическая шизофрения. 03.08 Совкомбанк выдает мне письменный ответ, что я ничего не подписывал и кредиты не брал. А 24.09 он же выдает мне две справки, что я являюсь заемщиком и имеется просроченная задолженность. Это было последней каплей, переполнившей чашу моего терпения. Я решил подавать иск в суд. Но прежде, чем описать ситуацию дальше, нужно упомянуть еще одну оплошность банка. 27.10 я посетил все тоже отделение на Восстания 11 и о, чудо!, получил копию кредитного досье. Документы содержали два кредитных договора. Один подписан рукой, другой оформлен через приложение банка. Имеется так же скан паспорта мошенника (все тот же, что и раньше), а так же фотография мошенника, которую сделал банк при выдаче карты Халва в отделении г.Одинцово. Я запрашивал эти документы несколько раз, и получал отказ. И тут мне снова помог случай, новая девочка-оператор. Она без задней мысли просто распечатала их из системы. Бинго!
Юристы, иски, суды и вот это всё.
Честно вам скажу, никогда не связывайтесь с юристами, если можете решить вопрос сами. Наша судебная система допускает подачу гражданского иска без участия посредника (юриста, адвоката). Другое дело, что ни каждый гражданин способен это сделать в силу объективных причин. Т.е. формально система может принять у вас исковое заявление. Но чтобы его правильно составить, сослаться на статьи законов, выбрать суд (куда нужно подать иск) и в конце концов выиграть дело, для этого недостаточно иметь технического высшего образования и уметь искать информацию в интернете. Нужно быть юристом и иметь судебную практику.
Что сделал я? Я попросил знакомых посоветовать мне хорошего юриста. Юрист оказался грамотным, но подход к делу меня не устроил. С меня хотели получить сразу полную оплату ведения дела в суде. Дело передали какому-то стажеру 25ти лет. Договор с юридическим агентством включал и другие «интересные» моменты. Не хочу называть имена, все же это их бизнес. Но думаю, что такие припоны в юридической сфере сплошь и рядом. К слову, следователь посоветовал быть внимательным с юристами, ибо «сейчас несколько сидит под домашним арестом в связи с обманом своих клиентов». Короче, не сложилось.
Далее, я нашел еще несколько контактов, которые меня почти убедили написать исковое заявление самому. Мне дали пару примеров похожих исковых заявлений, и несколько советов по формальному ведению дела. Тут нужно сказать, что даже просто разобраться в досудебном порядке уреглирования спора оказалось не просто. Обязательный досудебный порядок требует написания досудебной претензии. Она, кстати, очень похожа на само исковое заявление. Претензия должна быть выслана на юр. адрес банка. Банк либо отвечает в срок 30 календартных дней, либо нет. Только после этого можно подавать иск в суд. Однако, в моем случае оказалось, что этот шаг можно опустить. Так же важно было понять, что мой случай не является потребительским спором. Кредитные договоры я не заключал. Клиентом банка я не являлся и не являюсь. Стало быть мне нужно было просить суд признать кредитные договоры недействительными по их ничтожности (юр. термин).
На сегодняшний день суд принял иск к рассмотрению. Заседание назначено на начало декабря. Я оформил доверенность на ведение дел в суде. Юрист мог бы поехать один. Но я решил, что лучше будет лично засвидетельствовать свое почтение. Заодно побываю в Костроме, на родине Романовых. В городе, который был основан в 1152 году Юрием Долгоруким. Как в песне поется, Кострома mon amour! (c) Аквариум. А из песни слов не выкинешь.