Цифровые технологии делают жизнь и бизнес проще. Но чем активнее мы ими пользуемся, тем быстрее к новой реальности адаптируются и мошенники. В 2024 году цифровых преступлений стало больше на 13%, и 40% всех правонарушений были с применением информационных технологий, согласно данным МВД РФ.
У людей, далёких от сферы IT, цифровое мошенничество ассоциируется с «хакерами» – злыми гениями, способными взломать любой код. В реальности большая часть цифровых преступлений не требует невероятных технических компетенций и связана с социальной инженерией. Там, где у человека есть пробел в знаниях, у мошенника появляется окно возможностей.
Электронная подпись (ЭП) бывает простой и усиленной. Простая – это логин-пароль, код из СМС или другой идентификатор, который пользователь вводит вручную. Усиленная же подпись создаётся с помощью средств криптографической защиты информации (СКЗИ). Суть усиленной ЭП состоит в связке из двух ключей: закрытого и открытого. Закрытый – только у владельца и используется для подписания. Открытый – доступен всем, кому отправляют документ, и нужен для проверки подлинности подписи. Оба ключа математически связаны: если что-то пойдёт не так, проверка это покажет.
При подписании документа математический алгоритм рассчитывает контрольную сумму открытого и закрытого ключа (хэш), в результате формируется отдельный документ электронной подписи – чаще всего формата sig. Такая архитектура усиленных ЭП не только защищает от взлома, но и гарантирует целостность подписанного документа: при внесении даже самых незначительных изменений контрольная сумма меняется, математическая связь ключей разрывается, и подпись к документу становится недействительной. Sig-файл – это некий контейнер подписи, в котором содержится вся основная информация о том, когда именно и кем документ был подписан.
Благодаря криптографии усиленные виды электронной подписи абсолютно устойчивы перед техническими атаками. Но если теоретически классифицировать такие атаки, то можно было бы выделить два вида:
Математический взлом алгоритма с целью воссоздания ЭП к любому документу – такого просто не бывает. За последние 80 лет успешно атаковать похожую систему получилось один раз – во времена Второй мировой, когда взломали «Энигму». Если были и другие атаки, то мы о них вряд ли сможем узнать, потому что, скорее всего, это крайне дорогие и засекреченные операции спецслужб. Обычному пользователю этого бояться не стоит – на всех таких ресурсов не хватит ни у кого. Сегодня подобное – фантастика. Криптография остаётся самым надёжным способом защиты информации. Даже если попытаться взломать одну электронную подпись, на это потребуется около 10 000 лет и мощность всех компьютеров мира. Алгоритмы со времен «Энигмы» сделали несколько качественных шагов и на практике не поддаются взлому. Есть угроза, что часть из алгоритмов будет уязвима перед квантовыми компьютерами. Но это пока что всё-таки будущее: в ближайшие десятилетия в руки злоумышленников такое оборудование вряд ли попадёт, да и на практике успешно реализовать алгоритм взлома пока нельзя. Это только теория. К тому же уже есть семейства математических алгоритмов, которые устойчивы и перед квантовыми методами подбора, такие методы шифрования и подписи называются постквантовыми. Есть все признаки того, что постепенно будет происходить переход на подобные алгоритмы, но конечный пользователь вряд ли это заметит.
Получение доступа к ключу. Вот тут возможны атаки на сами носители ключа ЭП. Раз угадать ключ невозможно, может, надо попробовать его скопировать? У носителей есть своя классификация защиты. Носители могут обладать разной степенью защиты, но на практике при соблюдении требований безопасности третьему лицу получить доступ к ключу просто невозможно. Если внимательно посмотреть на все случаи кражи ключей злоумышленниками, то выяснится, что сами пользователи добровольно, из-за обмана или ради удобства предоставляли доступ.
Технический взлом более вероятен только в случае, когда используется простая электронная подпись (ПЭП), лишённая криптографической защиты, например, код из СМС. К ней могут применяться атаки вроде брутфорса – перебора возможных комбинаций пароля. Итог – злоумышленник получает доступ к подписи и может использовать её без ведома владельца.
В остальном почти все атаки на ЭП – это не про взлом технологий, а про обман людей. Ни одна схема не обходится без социальной инженерии – когда пользователя убеждают выдать доступ добровольно или действуют от его имени.
Рассмотрим основные сценарии, в которых преступники используют доверие, невнимательность или пробелы в безопасности, чтобы получить доступ к чужой электронной подписи. И начнём с самого сложного варианта – когда злоумышленник выпускает подпись на имя другого человека.
Подделка паспорта и оформление на него сертификата ЭП
Оформление электронной подписи – это лишь одно из немногих последствий того, что ваш паспорт подделали, но оно может привести к неприятным последствиям.
Что может случиться
В одном из судебных дел, где наша компания участвовала как третья сторона, мошенник подделал паспорт, выпустил по нему усиленную квалифицированную электронную подпись (УКЭП) и попытался продать чужую квартиру. Документы проверяются очно, но в данном случае подделка прошла – данные были настоящие, и лишь фото принадлежало мошеннику. Ситуацию спасла система фотофиксации: снимок будущего «владельца» ЭП, сделанный при подаче заявления, помог быстро установить подлог. Сделку признали недействительной и имущество вернули владельцу.
Как этого избежать
Следить за своими документами – в частности, паспортом. В случае потери паспорта сразу заявить в МВД.
Если теряли паспорт или переживаете, что мошенники получили доступ к его данным и выпустили на них ЭП, вы можете проверить это на Госуслугах. Зайдите в раздел «Сертификаты электронной подписи», там отображаются все выпущенные на пользователя сертификаты ЭП. Также можно проверять электронную почту, привязанную к Госуслугам – при выпуске на ваше имя сертификата ЭП придёт уведомление.
Гораздо чаще сложные схемы с подделкой документов и выпуском электронной подписи и не нужны, обман сводится к получению доступа к уже выпущенной подписи – как в описанных ниже случаях.
Несанкционированный доступ мошенника к носителю электронной подписи
Чтобы использовать чужую ЭП, мошеннику недостаточно просто украсть токен или смартфон, на который установлена электронная подпись – нужно знать код доступа к ней. Но если злоумышленник получил и то, и другое, последствия могут быть серьёзными.
Что может случиться
Если кто-то получил доступ к электронной подписи, он может совершить от вашего имени любую сделку – вплоть до кредита под залог или продажи недвижимости.
Как этого избежать
Не передавать носители ЭП, мобильный телефон или ПК другим людям, даже близким (они могут по неосторожности или незнанию содействовать злоумышленникам). Если есть подозрение, что кто-то узнал ваш пароль от носителя ЭП, лучше отозвать сертификат и выпустить ЭП заново.
Сотрудник, имеющий право подписи, увольняется из компании, а его ЭП и МЧД забывают аннулировать, в результате чего они остаются на некоторое время действительными.
Что может случиться
Если бывший сотрудник недобросовестный, он может воспользоваться своим правом подписи для совершения действий от имени компании: например, заключить несанкционированный контракт, вывести деньги со счёта или продать активы.
Как этого избежать
Сразу отзывать сертификаты ЭП и МЧД у всех подписантов, которые покидают компанию.
Добровольная передача доступа к электронной подписи мошеннику
Этот случай самый распространённый и процветает в корпоративной среде: владельцы ЭП добровольно передают её доверенному человеку, чтобы сэкономить своё время. Но так делать категорически нельзя.
Что может случиться
Рассмотрим на реальном примере: в судебной практике есть прецедент, когда бухгалтер украл 80 млн руб. из компании, так как генеральный директор доверил свою подпись сотруднику для подачи отчётности. Доказать, что сам директор к операции не причастен, не удалось: формально всё подписано им. К сожалению, это не единичный случай, а один из самых распространённых инцидентов с ЭП, которые разбираются в судах.
Как этого избежать
Использовать МЧД (машиночитаемая доверенность, указывающая на человека, который может использовать подпись помимо того, на кого она выпущена), чтобы не передавать свой личный токен, например, ЭП генерального директора бухгалтеру для подписания отчётности.
Как защитить электронную подпись от мошеннических схем?
Используйте только усиленные виды ЭП, защищённые криптографией.
Храните ЭП в защищённом виде, не передавайте никому ни токен, ни доступ к мобильному приложению.
Следите за документами. При утере паспорта сразу обратитесь в МВД.
Проверяйте выпуск сертификатов ЭП на Госуслугах.
В бизнесе – применяйте МЧД вместо передачи токенов.
Обучайте сотрудников цифровой гигиене.