Эксперимент: электронный ключ, позволяющий переоформить квартиру, можно получить на любого человека/
17 мая на Хабре публиковалась новость о фиксировании первого известного случая отъема квартиры путем фальсификации электронной цифровой подписи. Тогда сообщалось, что владелец квартиры на Тверской улице г. Москва обнаружил, что его квартира каким-то образом переоформлена на другого человека. Сделано это дистанционно, злоумышленник подписал документы электронной подписью реального владельца. Самое интересное то, что сам владелец никогда не получал электронную подпись и носитель с ключом.Оказалось, что получить электронный ключ на любого человека действительно несложно. Журналисты СМИ 47news провели эксперимент и без труда выполнили эту операцию. Как оказалось, любой разбирающийся в налоговых процедурах человек может без проблем завладеть не только чужой квартирой, но и чужой компанией.Для этого не нужные какие-то преступные связи или сотни тысяч долларов США. Хватит десяти тысяч рублей, которые и нужны для оформления электронного ключа. Он требуется для проведения сложных процедур купли-продажи недвижимости, переоформления квартиры и т.п. По мнению разработчиков, электронная подпись по уникальности равноценна обычной подписи, она так же уникальна и значима. Физически она записывается на устройство, которое по внешнему виду напоминает флешку.Организации, удостоверяющие личность человека, пришедшего оформлять электронный ключ, представляют собой обычные частные фирмы, которые получили в Министерстве цифрового развития специальную аккредитацию. Кроме того, таким компаниям для старта деятельности нужно получить лицензию от ФСБ.Свидетельство дает право продавать ЭЦП, но вот обязанностей контроля действий владельца подписей не налагает. Сотрудников удостоверяющего центра не контролирует никто — ни ФСБ, ни Минсвязи, ни какие-либо иные органы.Эксперимент СМИ заключался в том, что журналист этого издания должен был получить ЭЦП за генерального директора и одновременно главного директора издания. В самом начале две городские конторы обратили внимание заявительницы на то, что оформлять документ может помощник руководителя, но вот оплачивать услуги требуется лишь со счета организации, на которую нужно получить ЭЦП.После того, как журналист пожаловалась на то, что генеральный директор очень занят, ей пошли навстречу и предложили заполнить бланки и оплатить с любого счета, как фирмы, так и личного. Участники эксперимента решили получить подпись, которая позволяет подавать отчетности в налоговую, производить регистрационные действия и решать большое количество других задач, включая переоформление недвижимости. Ключ действует год.
Для получения ключа требовались установочные данные организации, включая ИНН, ОГРН, ФИО и ИНН директора. Все эти данные без труда можно найти в открытых источниках. После оплаты счета пришло письмо с приглашением загрузить документы в личный кабинет. В компании, которая оформляла ключи, не задавали вопросов о том, почему ЭЦП заказывается на одну фамилию, а в чеке указана другая.Самым сложным моментом во всей этой истории была подделка подписи человека, на которого оформлялся ключ. СНИЛС был нарисован в графическом редакторе. Авторы идеи сообщают, что они приложили отсканированную копию паспорта, но фото гендиректора заменили на фото журналиста, причем лицо изменили и нанесли на лоб водяной знак.Затем последовало приглашение поехать в офис компании для получения ключа. Как оказалось, проверка прошла успешно, проверяющий не обратил внимания на фотографию, которая выглядела достаточно странно.По словам экспертов, при помощи электронного ключа можно выполнить многие действия юридического и налогового характера. «Сделать можно всё: ликвидировать фирму, реорганизовать, сменить генерального директора, завысить или занизить налоги для отчётности. Разве что учредителей не поменять. Сегодня, не как в девяностые, просто так собственников с завода не выкинешь. А вот испортить ему жизнь или забрать налоговую переплату, предварительно сделав руководителем нужного человека — легко», — заявил генеральный директор консалтинговой компании «Лодж» Александр Рокин.
И это не теоретическая ситуация, проблемы уже возникают. Случаи, подобные ситуации с переоформлением квартиры обсуждаются в социальных сетях и на форумах. Бухгалтеры и юристы рассказывают о случаях, когда за них уже подана налоговая декларация по поддельным ЭЦП.
Информационная безопасность IT
1.4K постов25.5K подписчиков
Правила сообщества
Обязательно к прочтению для авторов:
1. Если вы добавляете пост, утверждающий об утечке данных или наличии дыр в системе, предоставьте ссылку на источники или технически подкованное расследование. Посты из разряда "Какой-то банк слил данные, потому что мне звонили мошенники" будут выноситься в общую ленту.
2. Все вопросы "Как обезопасить сервер\приложение\устройство" - в лигу "Компьютер это просто".
Обязательно к прочтению для всех:
Добавление ссылки разрешено если она не содержит описание коммерческих (платных) продуктов и/или идентификаторов для отслеживания перехода и для доступа не нужен пароль или оплата в т.ч. интернет-ресурсы, каналы (от 3-х тематических видео), блоги, группы, сообщества, СМИ и т.д.
Запрещены политические holy wars.
По решению модератора или администратора сообщества пользователь будет забанен за:
1. Флуд и оскорбление пользователя, в т.ч. провокация спора, флуда, холивара (высказывание без аргументации о конкретной применимости конкретного решения в конкретной ситуации), требование уже данного ответа, распространение сведений порочащих честь и репутацию, принижающих квалификацию оппонента, переходы на личности.
2. Публикацию поста/комментария не соответствующего тематике сообщества, в том числе обсуждение администраторов и модераторов сообщества, для этого есть специальное сообщество.
3. За обвинение в киберпреступной деятельности.
4. За нарушение прочих Правил Пикабу.