Когда журналистам всё равно на качество контента, то получается вот такое:
«Самая распространенная схема выглядит почти буднично. Мошенники получают доступ к аккаунту человека через поддельное письмо, фейковый банк или продажу слитых данных. Дальше на его имя оформляется усиленная электронная подпись, этой подписью запускают онлайн-ипотеку в банке, где не требуется личного визита», — рассказал управляющий партнер AVG Legal.
Банк видит корректный паспорт, корректный СНИЛС, корректную УКЭП — и считает, что перед ним живой клиент. Деньги уходят не на покупку квартиры, а на подставного «продавца», и человек узнает об ипотеке только тогда, когда ему звонит служба взыскания. Банк формально прав: цифровая подпись приравнена к личной и отказаться от сделки задним числом почти невозможно, добавил адвокат.
Так у них всё просто и буднично - получили доступ к аккаунту Госуслуг, "оформили УКЭП".
Если с Госуслугами мошенники ещё справляются через обман и получение кода из смс, то получение квалифицированного сертификата на подставное лицо без нарушений со стороны УЦ невозможно. Какой УЦ будет рисковать потерей аккредитации?
Много таких практических случаев данные журналисты и приглашенные
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Музей криптографии
Обсудим на лекции «Информация под прикрытием: эволюция подходов к безопасности, от маскировки в дикой природе и средневековых замков до биохакинга».
Поговорим о защите информации в разные периоды: от шифров Древнего мира, шпионских страстях эпохи Возрождения и цифровые катастрофы XXI века — до технологий завтрашнего дня, где ИИ, квантовые сети и биовдохновленные системы будут решать, кто получит доступ к вашим данным, а кто останется за «цифровым забором».
Лектор:
Алексей Лукацкий, эксперт по кибербезопасности, автор блога «Бизнес без опасности», автор телеграм-канала «Пост Лукацкого»
Встречаемся 22 ноября в 15.00
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Заключение договора займа онлайн и простая электронная подпись
Обязанность проводить идентификацию с использованием ЕСИА и ЕБС при заключении договора потребительского займа в электронной форме возникает только в случае, если первоначальное обслуживание клиента также происходило в режиме онлайн.
Если же клиент принят на обслуживание при личной встрече, то для заключения договора займа в электронной форме допускается использование простой электронной подписи, без необходимости повторной идентификации через ЕСИА и ЕБС. В этом случае необходимо соблюдение статьи 9 63-ФЗ "Использование простой электронной подписи", но кто из МФО её соблюдает...
Ответы Банка России на вопросы по процедурам идентификации для микрофинансовых организаций при дистанционном приеме на обслуживание клиента - физического лица в целях заключения договора потребительского займа в электронной форме размещены на сайте.
Обязанность проводить идентификацию с использованием ЕСИА и ЕБС при заключении договора потребительского займа в электронной форме возникает только в случае, если первоначальное обслуживание клиента также происходило в режиме онлайн.
Если же клиент принят на обслуживание при личной встрече, то для заключения договора займа в электронной форме допускается использование простой электронной подписи, без необходимости повторной идентификации через ЕСИА и ЕБС. В этом случае необходимо соблюдение статьи 9 63-ФЗ "Использование простой электронной подписи", но кто из МФО её соблюдает...
Ответы Банка России на вопросы по процедурам идентификации для микрофинансовых организаций при дистанционном приеме на обслуживание клиента - физического лица в целях заключения договора потребительского займа в электронной форме размещены на сайте.
Forwarded from DVHAB.ru
Один клик - и ты должник»: куда утекают деньги хабаровчан
Подделка электронной подписи, долгие ответы техподдержки и изощренные фишинговые атаки — лишь часть проблем портала «Госуслуги». А между тем, тысячи хабаровчан ежедневно хранят там свои приватные данные. О том, как украденная электронная подпись привела к оформленному кредиту и как восстановить справедливость разбираемся вместе с юристом на сайте DVHAB.
👉 Прочитать статью полностью
🙂 Подписаться на DVHAB
✍️ Написать в DVHAB
Подделка электронной подписи, долгие ответы техподдержки и изощренные фишинговые атаки — лишь часть проблем портала «Госуслуги». А между тем, тысячи хабаровчан ежедневно хранят там свои приватные данные. О том, как украденная электронная подпись привела к оформленному кредиту и как восстановить справедливость разбираемся вместе с юристом на сайте DVHAB.
👉 Прочитать статью полностью
✍️ Написать в DVHAB
Please open Telegram to view this post
VIEW IN TELEGRAM
DVHAB.ru
Один клик - и ты должник»: куда утекают деньги хабаровчан Подделка электронной подписи, долгие ответы техподдержки и изощренные фишинговые атаки — лишь часть проблем портала «Госуслуги». А между тем, тысячи хабаровчан ежедневно хранят там свои приватные данные.…
Про подделку электронной подписи особенно забавно, чего только не напишут региональные журналисты, с федеральными то проблема, но регионы отжигают ещё больше.
Из статьи:
Выглядит как фантазия журналистов. Личный кабинет Госуслуг действительно отображает информацию о выданных сертификатах (все КЭП и НЭП Госключа), а также указывает удостоверяющий центр, который выдал этот сертификат.
Если это правда, то что за удостоверяющий центр выдал сертификат? О каком сертификате речь - квал или неквал? Естественно никакой фактуры не приводят, но зато получаются вот такие громкие заголовки - "Хабаровчане массово жалуются на уязвимости в системе «Госуслуг»: аккаунты взламывают пачками", "Как лишаются денег хабаровчане".
Судя по комментариям:
Из статьи:
- Так вот, ночь, выходной, обнаруживаю новую электронную подпись и взятый на меня кредит, пишу в поддержку и бесконечно жду ответ, - делится потерпевшая.
Выглядит как фантазия журналистов. Личный кабинет Госуслуг действительно отображает информацию о выданных сертификатах (все КЭП и НЭП Госключа), а также указывает удостоверяющий центр, который выдал этот сертификат.
Если это правда, то что за удостоверяющий центр выдал сертификат? О каком сертификате речь - квал или неквал? Естественно никакой фактуры не приводят, но зато получаются вот такие громкие заголовки - "Хабаровчане массово жалуются на уязвимости в системе «Госуслуг»: аккаунты взламывают пачками", "Как лишаются денег хабаровчане".
Судя по комментариям:
Так госуслуги сами мошенники😂я их попросил поставить запрет на кредиты,а они ответили что запрет только с электронной подписью можно ставить😂я объясняю что не нужна мне электронная подпись,она легко подделывается,начали врать мне что у них всё защищено😁Поддержка Госуслуг также оставляет желать лучшего, для установки самозапрета на кредит достаточно подтвержденной записи ЕСИА, для снятия - КЭП или через МФЦ.
Открыта регистрация на главную аналитическую конференцию Код ИБ ИТОГИ в Москве
🗓 4 декабря | Начало в 9:30
📍 Palmira Business Club
Более 50 экспертов по ИБ разберут ключевые события года, представят свежую аналитику и озвучат прогнозы на будущее.
В программе:
📌 3 дискуссии
— CISO говорят
— БОССЫ кибербеза говорят
— Стартапы говорят
📌 6 тематических сессий
— Защита инфраструктуры
— Культура кибербезопасности
— Анализ защищенности
— Защита данных
— Безопасная разработка
— Процессы
А также:
— Зона со стендами ИБ-компаний
— Новогодние угощения
— Розыгрыши подарков
— Дружественная атмосфера
Опытом поделятся практики из ведущих компаний: Яндекс, СберТех, Билайн, Райффайзенбанк, СОГАЗ, ГК Элемент и др.
Успейте забронировать место — участие бесплатное по предварительной регистрации.
➡️ Стать участником
✍️ Телеграм-канал "Об ЭП и УЦ" выступает медиа партнёром конференции
Более 50 экспертов по ИБ разберут ключевые события года, представят свежую аналитику и озвучат прогнозы на будущее.
В программе:
📌 3 дискуссии
— CISO говорят
— БОССЫ кибербеза говорят
— Стартапы говорят
📌 6 тематических сессий
— Защита инфраструктуры
— Культура кибербезопасности
— Анализ защищенности
— Защита данных
— Безопасная разработка
— Процессы
А также:
— Зона со стендами ИБ-компаний
— Новогодние угощения
— Розыгрыши подарков
— Дружественная атмосфера
Опытом поделятся практики из ведущих компаний: Яндекс, СберТех, Билайн, Райффайзенбанк, СОГАЗ, ГК Элемент и др.
Успейте забронировать место — участие бесплатное по предварительной регистрации.
Please open Telegram to view this post
VIEW IN TELEGRAM
🚨Боты атакуют чаты в телеграм
Чаты в телеграм атакуют взломанные аккаунты и, как под копирку, размещают сообщения:
На прошлой неделе и в нашем чате было подобное сообщение, которое оперативно было удалено, а пользователь забанен (сейчас его аккаунт удален, но сам бот поддержка телеграм блокировать не торопится). Цель этих ботов простая - угон аккаунтов.
📣 Будьте внимательны, не переходите по неизвестным ссылкам и не запускайте ботов, которые для "получения доступа к новому чату" предлагают "пройти проверку на робота".
Чаты в телеграм атакуют взломанные аккаунты и, как под копирку, размещают сообщения:
❗️ Чат перeезжaет на другoe меcтo, в связи c пoтepей доступа к cтраницe aдминистpатора❗️
📣Всeм нyжно пеpeйти в нoвeнький чат! Нажмите на этoт тeкcт чтобы пocмoтрeть новoсoздaнный чат!
👉Пoсмoтреть новый чaт👈
На прошлой неделе и в нашем чате было подобное сообщение, которое оперативно было удалено, а пользователь забанен (сейчас его аккаунт удален, но сам бот поддержка телеграм блокировать не торопится). Цель этих ботов простая - угон аккаунтов.
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Указанием Банка России 7186-У простая электронная подпись исключена из видов подписей, которыми можно подписывать документы для формирования кредитных историй:
1.14.2. Документ, содержащий кредитную информацию, должен быть подписан в соответствии с договором об оказании информационных услуг между источником и бюроа метка доверенного времени добавлена:простой электронной подписью, илиусиленной неквалифицированной электронной подписью, или усиленной квалифицированной электронной подписью источника или уполномоченного должностного лица источника.
Документ, содержащий кредитную информацию, должен содержать созданную не ранее чем за 12 часов до момента его направления в бюро метку доверенного времени, предусмотренную пунктом 19 статьи 2 Федерального закона от 6 апреля 2011 года № 63-ФЗ “Об электронной подписи”, порядок создания и проверки которой утвержден приказом Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 6 ноября 2020 года № 580 (далее соответственно — приказ Минцифры России № 580, метка доверенного времени).Изменения вступают в силу с 1 июля 2026 года.
✅Решение обоснованное. Простая электронная подпись не для таких операций. Где вы видели чтобы с ПЭП применялась метка доверенного времени? Кто будет поставщиком сертификатов для служб TSA вопрос отдельный, надеюсь ЦБ об этом подумал.
Please open Telegram to view this post
VIEW IN TELEGRAM
На прошлой неделе мне рассказали историю, как процесс получения налогового вычета был прерван из-за боязни применения электронной подписи.
Знакомая многим ситуация, в личном кабинете налогоплательщика нужно подать заявление на получение налогового вычета - загрузить подтверждающие документы, подписать электронной подписью и направить в инспекцию. При отсутствии сертификата система сообщит об этом и предложит его получение. Мой собеседник на самом первом шаге электронной подписи испугался...
Личный кабинет налогоплательщика для подписания документов предлагает
🔹использовать КЭП, если сертификат ранее был получен по "классической" технологии - с использованием токена.
🔹 получить сертификат НЭП с хранением ключа электронной подписи в облаке (рекомендованный вариант) или локально на своём компьютере.
Рекомендую использовать рекомендованный вариант - НЭП с ключом в облаке, он проще для подавляющего большинства пользователей и боязни точно не стоит. Область применения НЭП ограничена только личным кабинетом налогоплательщика.
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Если мошенники получили доступ к вашему личному кабинету на портале Госуслуг – действуйте быстро, чтобы минимизировать ущерб.
Подобные памятки распространяют МФЦ, это похвально, но взлом Госуслуг - это только начало атаки, основной обман связан с хищением денежных средств и идёт позднее.
Но что даёт мошенникам сам доступ к учётной записи Госуслуг?
Возможность получить неквалифицированный сертификат Госключа - сомнительно ради этого взламывать Госуслуги.
Оформить онлайн кредит - да, ряд микрофинансовых организаций используют Госуслуги, к сожалению запрета в законодательстве на такую идентификацию нет, но можно установить самозапрет на кредиты.
Всё будет упираться в обман, запугивание ("вы оформили доверенность и подписали электронной подписью") с целью кражи денежных средств, а учётку Госуслуг можно довольно быстро восстановить и онлайн через приложение Банка, не обязательно обращаться в МФЦ.
Очередная статья от ИИТ под названием: Электронная подпись для физлиц: какой она бывает и как ее получить
Что могли пойти на так? Да всё что угодно.
Попытались скопировать термины по материалам статьи 2 № 63‑ФЗ, ну криво же...
Ключа какого? ЭП или проверки?
Дожили... Так бывает, когда статьи пишет человек далёкий от нашей сферы. Вас же журналисты читают, цитируют ещё.
На минуточку, статья называется - Электронная подпись для физлиц. Давайте поможем ИИТ найти логику.
Максимум, но далеко не всегда.
Сколько из данных СКЗИ вы найдете в выписке ФСБ России?
Что могли пойти на так? Да всё что угодно.
Попытались скопировать термины по материалам статьи 2 № 63‑ФЗ, ну криво же...
сертификат ключа проверки ЭП... подтверждающий принадлежность ключа владельцу сертификата.
Ключа какого? ЭП или проверки?
Разновидность ЭП, обладающая всеми характеристиками УНЭП, но имеющая дополнительные особенности: ключ ЭП используется в составе квалифицированного сертификата
Дожили... Так бывает, когда статьи пишет человек далёкий от нашей сферы. Вас же журналисты читают, цитируют ещё.
Облачное решение ФНС... заверение документов реализуется через специализированное мобильное приложение «Подпись для бизнеса»
На минуточку, статья называется - Электронная подпись для физлиц. Давайте поможем ИИТ найти логику.
При хранении ключей в аппаратном токене и смарт-карте период действия ключа ЭП составляет 3 года.
Максимум, но далеко не всегда.
Мобильные устройства (смартфон или планшет) с установленным мобильным приложением со встроенным СКЗИ: Госключ, Моя подпись (ФНС России), КриптоКлюч, SmartToken‑PRO.
Сколько из данных СКЗИ вы найдете в выписке ФСБ России?
В мобильном приложении Госуслуг есть инструмент под названием "Госкан", который позволяет сканировать и проверять QR-коды.
Минцифры на этот счёт размещены две инструкции:
🔹Инструкция использования Госкана в мобильном приложении «Госуслуги» для считывания QR-кодов физическими лицами и ИП
🔹Инструкция использования Госкана в мобильном приложении «Госуслуги» для проверки QR-кодов граждан России юридическими лицами
Посмотрим, как это работает для двух сторон: кто проверяет и кто предъявляет.
🔍 Для юридических лиц и их сотрудников:
Если организация должна проверять документы (например, удостоверения многодетной семьи для предоставления льгот), то нужно:
1. Выдать сотруднику машиночитаемую доверенность (МЧД) в Личном кабинете юрлица на портале Госуслуг. Очередное применение МЧД не по назначению.
2. Иметь подтвержденную учетную запись Госуслуг и установленное приложение.
3. В приложении зайти в Госкан, выбрать свою организацию из списка (если доверенностей несколько) и отсканировать QR-код.
✅ При успешной проверке отобразятся актуальные данные из государственной системы (например, из банка данных многодетных семей).
❌ Если что-то пошло не так: нет доверенности, она просрочена или документ не найден — приложение покажет соответствующую ошибку.
📱 Для граждан и индивидуальных предпринимателей:
Чтобы предъявлять QR-коды своих документов нужно:
1. Подтвердить учетную запись в ЕСИА.
2. Установить приложение Госуслуг, а также приложение одного мессенджера.
3. Создать цифровой ID в этом мессенджере. Функционала только приложения Госуслуг недостаточно. Отличный сервис от государства. Аналог паспорта отдан в частные руки.
Создание цифрового ID возможно следующими способами:
🔹По существующей биометрии.
🔹По загранпаспорту нового образца.
🔹По водительским правам.
В зависимости от способа создания ID можно предъявлять QR-код паспорта, прав или подтверждать возраст.
Please open Telegram to view this post
VIEW IN TELEGRAM
❌ЕГАИС: баг или фича
Подписчик поделился историей:
УТМ - универсальный транспортный модуль, который устанавливается на компьютер, к которому подключен токен с ключом электронной подписи. УТМ по факту шлюз, отвечающий за передачу в ЕГАИС данных о торговле алкоголем, и за получение от ЕГАИС данных, например, накладных.
Не известно насколько это массовое тема, но вполне допускаю, что на каком-то этапе разработчики УТМ могли и забыть про прошлогоднюю норму закона о сроке действия ключа электронной подписи с 01.09.2024. Забыли же они про хэш-функцию согласно ГОСТ 2012.
Подписчик поделился историей:
Интересная вещь! Неужели УТМ все ровно на закрытый ключ, главное чтобы был действующий открытый ключ и сертификат RSA. Клиент не перевыпускает КЭП второй год, только перезаписывает rsa на главной странице УТМ.. и все работает.
УТМ - универсальный транспортный модуль, который устанавливается на компьютер, к которому подключен токен с ключом электронной подписи. УТМ по факту шлюз, отвечающий за передачу в ЕГАИС данных о торговле алкоголем, и за получение от ЕГАИС данных, например, накладных.
Не известно насколько это массовое тема, но вполне допускаю, что на каком-то этапе разработчики УТМ могли и забыть про прошлогоднюю норму закона о сроке действия ключа электронной подписи с 01.09.2024. Забыли же они про хэш-функцию согласно ГОСТ 2012.
This media is not supported in your browser
VIEW IN TELEGRAM
ФНС России совместно с оператором ЕБС АО «Центр биометрических технологий» подготовили видеоролик «Как получить сертификат УКЭП по биометрии в приложении «Моя подпись»