Что такое гос ключ на госуслугах
Перейти к содержимому

Что такое гос ключ на госуслугах

  • автор:

Приложение Госключ: Как выпустить электронную подпись со смартфона бесплатно

Наверное, каждый, кто пользуется государственными услугами через интернет, видел, что для выполнения большинства действий требуется электронная цифровая подпись. Если подписи нет — будьте добры пожаловать на очный приём с паспортом в МФЦ или госорган, с которым вы взаимодействуете, а это, как вы понимаете, не очень удобно. Ведь кому захочется отпрашиваться с работы, потому что рабочие часы и у вас, и у них совпадают, а затем стоять длинную очередь, только чтобы тётенька за стеклом приняла ваше заявление. Ну не идиотизм ли? Пожалуй, что так. Но будь у вас подпись, всё это можно было сделать онлайн всего в несколько нажатий.

Приложение Госключ: Как выпустить электронную подпись со смартфона бесплатно. Электронную подпись можно выпустить прямо в приложении Госключ. Фото.

Электронную подпись можно выпустить прямо в приложении Госключ

⚡️ПОДПИСЫВАЙСЯ НА НАШ КАНАЛ В ДЗЕНЕ И ЧИТАЙ ЛУЧШИЕ СТАТЬИ НАШИХ АВТОРОВ БЕСПЛАТНО, ПОКА НЕ ЗАПРЕТИЛИ

Электронная подпись — это, если говорить простым языком, цифровой ключ, в который зашифрована информация о конкретном человеке: его ФИО, паспортные данные, адрес прописки или текущего проживания, а иногда и биометрия. Это позволяет использовать их для удостоверения онлайновых операций с государственными органами.

Как получить электронную подпись

Как получить электронную подпись. Госключ — это официальное приложение от Госуслуг. Фото.

Госключ — это официальное приложение от Госуслуг

Если у вас есть подпись, вы можете подать заявление на получение налогового вычета, декларацию о доходах, уточнить свои данные в налоговой и даже оформить или закрыть ИП. В общем, удобно. Но подписи тоже бывают разные. Разбирать, что из себя представляет простая электронная подпись, которая не годится почти ни для чего, мы не будем, а остановимся на отличиях УНЭП и УКЭП.

УНЭП — это усиленная неквалифицированная цифровая подпись. Она подходит только для работы с госорганами и подписания трудового договора с удалёнными сотрудниками, но не заменяет собственноручную подпись.

УКЭП — это усиленная квалифицированная цифровая подпись. Она годится для всего вышеперечисленного и при этом заменяет собственноручную подпись. Как правило, это нужно предпринимателям, подписывающим договора и счета-фактуры с контрагентами онлайн.

⚡️ПОДКЛЮЧАЙСЯ К НАШЕМУ ЧАТИКУ В ТЕЛЕГРАМЕ, ТАМ ТЕБЕ ОТВЕТЯТ НА ЛЮБЫЕ ВОПРОСЫ ОБ АЙФОНАХ И НЕ ТОЛЬКО

Немногие знают, что в России уже довольно давно существует государственное приложение Госключ, которое и позволяет получить электронную подпись прямо из дома:

  • Скачайте приложение Госключ из Google Play или из RuStore;
  • Запустите его и авторизуйтесь со своей учётной записью Госуслуг;

Как получить электронную подпись. Для начала нужно войти в свой аккаунт Госуслуг. Фото.

Для начала нужно войти в свой аккаунт Госуслуг

  • Пройдите регистрацию, следуя инструкциям, представленным на экране;

Как получить электронную подпись. Оформите УНЭП, следуя инструкциям на экране. Фото.

Оформите УНЭП, следуя инструкциям на экране

  • Запишите пароль доступа, который сгенерирует Госключ, чтобы не забыть — вход будет осуществляться только по нему;
  • Проверьте свои данные и подтвердите выпуск усиленной неквалифицированной электронной подписи.

Квалифицированная подпись и неквалифицированная

Если вы выпускаете подпись для взаимодействия с госорганами, то вам хватит и неквалифицированной подписи. Она позволит вам обращаться в любые службы, подавать заявления и реагировать на их обращения прямо из дома. Однако, если вы считаете, что вам нужна квалифицированная подпись, можно выпустить и её. Правда, тут есть кое-какие особенности.

Квалифицированная подпись и неквалифицированная. Подписание документов производится с помощью портала Госуслуг. Фото.

Подписание документов производится с помощью портала Госуслуг

На сайте сервиса, а также на Госуслугах утверждается, что для получения усиленной квалифицированной электронной подписи, вам понадобится смартфон с NFC и заграничный паспорт нового образца с биометрией. Но вот проблема — нигде не пишут, как выпустить УКЭП, потому что Госключ не имеет соответствующей кнопки.

Как получить УКЭП

Оказывается, всё дело в том, что выпуск УКЭП становится возможен только после того, как вы загрузите себе в Госключ хотя бы один документ на подпись с помощью УНЭП. Вот как это делается:

  • Перейдите в раздел подписания документов на сайте Госуслуг и авторизуйтесь;
  • Нажмите “Начать” для отправки документов на подпись в приложение Госключ;

Как получить УКЭП. Добавьте документ, который хотите подписать, в формате ПДФ. Фото.

Добавьте документ, который хотите подписать, в формате ПДФ

  • Загрузите документ, который хотите подписать, в формате PDF и весом менее 100 МБ;
  • После этого нажмите продолжить и запустите приложение Госключ на смартфоне;
  • Подпишите документ, который появится в списке;

Как получить УКЭП. Вес документа должен не превышать 100 МБ. Фото.

Вес документа должен не превышать 100 МБ

  • После этого вам станет доступна возможность выпустить УКЭП;

Как получить УКЭП. Посмотреть свои подписи можно в разделе Мои сертификаты. Фото.

Посмотреть свои подписи можно в разделе Мои сертификаты

  • Дайте согласие на выпуск УКЭП, а затем приложите смартфон задней крышкой к пластиковой вставке с данными вашего загранпаспорта;
  • После идентификации подтвердите выпуск квалифицированной подписи.

В принципе, ничего сложного. Но выпуск УКЭП через Госключ не выглядит как очевидная процедура. Мне удалось выяснить, что квалифицированную подпись выпускают только после загрузки в приложение первого документа, почитав отзывы разработчика на отзывы пользователей к приложению в Google Play. На других ресурсах, в том числе официальных, эта информация отсутствует.

⚡️ПОДПИСЫВАЙСЯ НА ТЕЛЕГРАМ-КАНАЛ СУНДУК АЛИБАБЫ И ПОКУПАЙ ТОЛЬКО ЛУЧШИЕ ТОВАРЫ С АЛИЭКСПРЕСС

Кроме того, важно понимать, что ваша подпись привязывается не к учётной записи, а к конкретному устройству, на котором вы её выпускаете. Таким образом, если у вас два смартфона, вы можете выпустить подпись дважды, как это по незнанию сделал я. Насколько мне известно, за это не предусмотрено никаких санкций, просто у меня теперь есть две подписи, которыми я могу пользоваться равнозначно.

Многие думают, что на iPhone выпустить УКЭП не получится, даже если у вас есть биометрический загранпаспорт, поскольку NFC в смартфонах Apple задушен. Якобы не удастся отсканировать метку, вшитую в паспорт, а значит, и подать заявку на получение квалифицированной подписи тоже. Однако это не так. Снимите чехол со своего Айфона, положите паспорт на стол, а на него — сам смартфон, и медленно ведите по нему, пока не начнётся сканирование. Главное — во время распознавания не трогать ни аппарат, ни документ, чтобы процесс не прервался.

Новости, статьи и анонсы публикаций

Свободное общение и обсуждение материалов

С момента выхода первых Bluetooth-наушников прошло немало лет, но мы даже не заметили, как быстро они вытеснили проводные модели. Сейчас, когда цена беспроводных гарнитур стартует с отметки в пару-тройку сотен рублей, обычным потребителям, далеким от всех этих «графенов» и «драйверов», нет смысла путаться в проводах. Поэтому буквально каждый день появляются новые пользователи Bluetooth-наушников, которые задают немало вопросов. И по большей части людей интересует, как зарядить наушники.

Для большинства покупателей камера смартфона является главным параметром, напрямую влияющим на выбор того или иного устройства. Мы изучаем характеристики и смотрим сравнения, но в конечном итоге все это не имеет никакого смысла, если вы, выйдя на улицу, заметите, что запотела камера. Скопившийся под стеклом конденсат не дает матрице уловить свет, из-за чего фотография получается мыльной. Ситуация не из приятных, но она не является безвыходной. Сегодня вы узнаете, что делать, если запотела камера, но сначала нужно понять, почему это произошло.

К 2023 году разница между недорогими смартфонами за 15-25 тысяч рублей и флагманами, которые стоят в 3-4 раза дороже, почти незаметна. OIS есть в дешевом Samsung Galaxy A23, 108-мегапиксельную камеру может предложить даже realme 9, зарядка 120 Вт доступна владельцам Redmi Note 11 Pro+ 5G, а существенным преимуществом дорогих моделей является, пожалуй, только мощность. Чтобы сделать разницу более ощутимой, заставив тем самым людей покупать флагманы, производители намеренно лишают доступные устройства интересных функций. Особенно этим славятся китайцы. И сегодня мы поговорим о функциях Xiaomi, которые есть только у дорогих смартфонов этой компании.

Что такое «Госключ» и как с его помощью делать покупки на маркетплейсах?

С 1 апреля 2022 года в России стартует второй этап эксперимента по распространению использования усиленной электронной подписи, об этом сообщает «Парламентская газета» со ссылкой на пресс-службу Минцифры. В частности, речь идет о расширении перечня документов, которые можно будет подписать с помощью электронного «Госключа».

«Сейчас с помощью приложения можно подписать договор с мобильным оператором на оказание услуг связи, на перенос номера, подтвердить свои аккаунты в агрегаторах. В будущем перечень сделок и юридически значимых документов, которые можно подписывать с помощью этого сервиса, расширят. В частности, планируется, что в этом году «Госключ» можно будет задействовать в кадровом электронном документообороте», — отмечает издание.

С 1 февраля текущего года россияне могут заключать договоры на покупку товаров и услуг на маркетплейсах с помощью государственного приложения для онлайн-покупок «Госключ». Об этом сообщил вице-премьер РФ Дмитрий Чернышенко.

С помощью приложения можно подтвердить свой аккаунт в агрегаторах и дистанционно заключить договор на покупку товара. Одной из первых площадок, поддержавших интеграцию приложения, стала компания Avito. Всего в пилотном проекте участвует десять компаний, ответственных за работу 12 сайтов и приложений.

Напомним, на первом этапе эксперимента, который стартовал в июле 2021 года, было создано мобильное приложение «Госключ», которым могут воспользоваться пользователи портала «Госуслуг».

Что такое «Госключ»?

«Госключ» — это приложение для подписания юридически значимых документов в электронном виде. В приложении можно оформить усиленную неквалифицированную электронную подпись (УНЭП). Ключ электронной подписи создается, хранится и применяется в приложении: не нужны USB-токены, СМС-пароли и, самое главное, все функции доступны без личной явки и без бумаги.

После установки в приложении можно:

— дистанционно заключать договоры на услуги связи;

— подписывать документы, требующие усиленной неквалифицированной электронной подписи;

— совершать сделки на коммерческих площадках.

Приложение «Госключ» запустили еще в августе 2021 года. Тогда с его помощью можно было дистанционно заключить договор с оператором мобильной связи без необходимости посещать офис, чтобы подтвердить свою личность.

Где можно скачать приложение?

«Госключ» можно скачать в Google Play, AppStore и AppGalery. Сертификат электронной подписи пользователя создается бесплатно. Получить электронную подпись пользователь может менее чем за три минуты.

Чтобы получить электронную подпись в «Госключе», нужно:

— зарегистрироваться и принять правила сервиса;

— оформить электронную подпись.

Проверить статус электронной подписи, полученной в Госключе, можно по номеру сертификата.

Как делать покупки на маркетплейсах с помощью «Госключа»?

Чтобы использовать приложение «Госключ», требуется подтвержденная запись на портале «Госуслуги». Подтвердить свою личность можно несколькими способами:

— онлайн-подтверждение через банк пользователя;

— через центр обслуживания, куда необходимо прийти с паспортом и СНИЛС.

Чтобы безопасно совершать покупки, пользователь приложения «Госключ» должен связать свою учетную запись со своим профилем в маркетплейсе. После подтверждения личности на онлайн-платформе автоматически появляется значок, подтверждающий наличие аккаунта на портале «Госуслуги». Таким образом, приложение позволяет удостовериться, что человек, у которого вы собираетесь купить товар, имеет подтвержденный профиль на портале государственных и муниципальных услуг РФ.

В Минцифры отмечают, что информация о наличии аккаунта на «Госуслугах» повысит уровень доверия к продавцам и покупателям.

«Это сильно снижает вероятность мошенничества и недобросовестных действий. Верификация через Госуслуги — это один из этапов эксперимента Минцифры России по синхронизации агрегаторов с порталом Госуслуг», — сказал замглавы Минцифры Олег Пак.

«Госключ» пошел в массы». Учетные записи на маркетплейсах можно будет подвердить электронной подписью ⁠ ⁠

«Госключ» – совместная разработка «Ростелекома» и ВТБ по заказу Минцифры. Это дополнительный сервис для владельцев подтвержденной учетной записи на «Госуслугах». Он выпущен в августе 2021 года.

Приложение позволяет генерировать пару из секретного и открытого ключа для усиленной неквалифицированной электронной подписи. Разработчики обещают добавить в приложение возможность подписывать документы и квалифицированной подписью тоже (как она делается сейчас и чем отличается от неквалифицированной, мы подробно рассказывали).

До недавнего времени «Госключ» позволял подписывать только договоры с мобильными операторами на услуги связи. В перспективе приложение позволит подписывать и другие договоры, но – только приходящие через «Госуслуги». Для сторонних документов такая подпись не годится.

Один из шагов по расширению функционала «Госключа» – подтверждение учетных записей на маркетплейсах. С 1 февраля первым среди таких сервисов стал «Авито». На очереди Авто.ру, ЦИАН, Headhunter и еще 6 компаний, владеющих 12 сайтами и приложениями. Все они – участники пилотного проекта Минцифры по подключению агрегаторов товаров и услуг в интернете к Единой системе агрегации и аутентификации (ЕСИА).

А БЕЗОПАСНО ЛИ?

Разработчики утверждают, что «Госключ» надежно защищен, но ряд экспертов по кибербезопасности и пользователи высказывают свои опасения: алгоритм работы программы или исходные коды не опубликованы, известны случаи, когда люди делали электронную подпись через «Госключ», зная логин и пароль от «Госуслуг», но со смартфона, никак не связанного с ними лично.

Не стоит забывать, что пары логин-пароль от «Госуслуг» массово продаются в даркнете. Так что терять бдительность не стоит даже если перед вами подтвержденный аккаунт.

ПОЛЬЗОВАТЬСЯ ИЛИ НЕТ?

Подключение маркетплейсов к ЕСИА через «Госключ» и, в перспективе, расширение спектра документов, которые подписываются через это приложение, приводят нас к логичным и очевидным рекомендациям:

— срочно подключать двухфакторную аутентификацию, если это еще не сделано

— не забывать периодически менять пароль на «Госуслугах»

— установить антивирус и пользоваться им.

«ЧТО ТАКОЕ ХОРОШО И ЧТО ТАКОЕ ПЛОХО?»

На наш взгляд, несмотря на все опасения, возможность подтверждения аккаунта на маркетплейсах через «Госуслуги» и «Госключ» – это хорошо. Хотя бы потому, что стимулирует установить в профиле на «Госуслугах» двухфакторную аутентификацию, пока мошенники с подтвержденными аккаунтами не начали от вашего имени подписывать договоры и торговать на маркетплейсах.

«Авито» и, в будущем, другие площадки с подачи государства предлагают пользователям инструмент. Доверять ему полностью нельзя. Даже самый защищенный способ аутентификации мошенники могут обойти. Вопрос в степени затрат на эту операцию и в соотношении цены и полученной прибыли.

Безопасность при работе с сервисами, какие бы нововведения не появлялись, зависит от соблюдения самими пользователями элементарных правил:

— не переходить по ссылкам из чата маркетплейса на сторонние сайты

— не переводить общение в мессенджер

— не вносить предоплату, если покупка оформляется не через доставку сервиса

До введения обязательной двухфакторной аутентификации на «Госуслугах» серьезных изменений в безопасности маркетплейсов ожидать не приходится.

Сервис «Авито» движется, однозначно, в правильном направлении: ищет и внедряет технические решения, которые могут дополнительно обезопасить пользователей. Компания адекватно оценивает нововведение и не считает его панацеей.

КАК ПОДКЛЮЧИТЬ?

Чтобы подключить «Госключ» в приложении Avito, вам понадобятся подтвержденная учетная запись на «Госуслугах» (делается в любом МФЦ) и установленное приложение «Госключ».

Далее необходимо зайти в профиль и выбрать вариант подтверждения данных по профилю на Госуслугах.

«Госключ» пошел в массы». Учетные записи на маркетплейсах можно будет подвердить электронной подписью Авито, Госуслуги, Информационная безопасность, Длиннопост

Во, отлично. Наконец то сделают вход в соцсети и прочие публичные сервисы через госуслуги. Одобряю.

Ага, значит вот почему участились настойчивые попытки угона «госуслуг» через разводку по телефону!

следующим этапом видимо будет брать налоги с продажи я так думаю. охуительный бизнес, ничего не скажешь

Ответ на пост «Следователь и мошенничество с Госуслугами»⁠ ⁠

Автор первого поста описал ситуацию, в которой у него выманивали логин и пароль госуслуг очень настойчиво. Я же опишу ситуацию, которую лично наблюдаю уже второй день, и тут человек сам прям хочет передать эти данные.
В общем: есть у меня знакомый. У знакомого мать. Мать у него врач, и сейчас у нее пришло время продлевать аккредитацию. Обучение она прошла, а чтоб продлиться, нужно передать данные после обучения в регистр медицинских сотрудников. Это делается двумя способами: либо через сайт регистра, который подвязан к гос услугам, либо по почте России. И вот сейчас, к моменту отправки документов, учебный центр, который проводит это обучение, прям требует от нее логин и пароль. Женщина в возрасте, поэтому данные эти не помнит. Но их помнит ее сын. И он справедливо отказывается их куда либо отсылать. А она прям хочет этого потому что все коллеги так сделали, и ничего. К слову, вся эта процедура длится примерно 2 месяца, и, соответственно, эти 2 месяца хрен пойми кто будет иметь доступ к ее гос услугам. Учебный центр давит на то, что это сложная процедура, и без пол литра там не разберешься, поэтому дайте данные.
Ради интереса я попробовал пройти те шаги, что требуется для подачи документов. Да, есть сложности, и сайт регистра кривой, но разобраться, в принципе, не сложнее чем зарегистрироваться в какой нибудь онлайн игруле.
Так вот, к чему я это: цифровизация это прекрасно, и такой документооборот тоже, но она всё это не учитывает никаким образом людей в возрасте, которые кнопку вкл на компе ищут 10 минут. И соответственно сами с большим желанием нарушают цифровую гигиену, только бы не лезь в это своими руками. А потом удивляемся, почему так легко обманывают и обкрадывают пожилых людей

Угон учётной записи Госуслуг с 2fa-авторизацией⁠ ⁠

Недавно я получил по электронной почте уведомление о входе в мой личный кабинет Госуслуг.

Удивился, поскольку не входил. Удивился еще больше вспомнив, что у меня настроена двухфакторная аутентификация, а смс с кодом в этот раз не приходило.

Попытался авторизоваться — не получилось. Мой пароль был изменен злоумышленником.
С помощью процедуры восстановления пароля вернул себе доступ к личному кабинету.
Стал разбираться. Открыл в профиле раздел «Безопасность / Действия в системе». Там увидел запись о «восстановлении пароля в результате личного обращения». После которой обнаружил записи об успешной авторизации неизвестных лиц.

Обнаружил также, что двухфакторная аутентификация была просто выключена в процессе этого «восстановления пароля в результате личного обращения». Без каких-либо уведомлений-оповещений.

Обратился в техподдержку Госуслуг. Началась долгая переписка. Техподдержка очень не хотела разбираться с проблемой и несколько раз пыталась закрыть мое обращение. Проявил настойчивость и заставил работать. В результате они нашли злоумышленника. Им оказался работник клиентской службы провинциального отделения ПФ РФ.

Потом мне звонил руководитель этого отделения и уговаривал меня написать заявление, будто бы я сам обратился к ним для восстановления пароля. Объяснял это тем, что злоумышленник — очень ценный сотрудник, и они очень хотят спустить эту историю на тормозах. Вежливо послал его по известному адресу.

Однако мои наивные надежды, что сотрудники Госуслуг инициируют служебное расследование и накажут злоумышленника быстро разбились о суровую реальность глубокого пофигизма этих самых сотрудников. Видимо, они не посчитали этот инцидент заслуживающим внимания.
Мотивацию злоумышленника предполагаю, но не уверен.

В сухом остатке имеем следующее:

Сотрудник провинциальной клиентской службы может запросто сбросить ваш пароль одновременно выключив двухфакторную аутентификацию. Потом спокойно авторизоваться в вашем ЛК и сделать все, что ему нужно. И, главное, ему потом за это ничего не будет, если он дружит со своим начальством.

Интересно, сколько стоит сегодня на рынке предоставление доступа к чужим учетным записям через ЕСИА по описанному выше алгоритму…

Avito, а вы не ошалели?⁠ ⁠

Avito, а вы не ошалели? Аквариум, Цены, Наглость, Авито, Длиннопост, ID, Информационная безопасность, Безопасность, Биометрия

Это был полезный сайт. Но когда я улиток в аквариум захотела купить, и с меня требуют фейс лица, это перебор.
Покрутить головой? Показать, что у меня 49,5?

Электронная подпись: как обходиться без бумаги и при этом не отдать все свои активы мошенникам?⁠ ⁠

Электронная подпись появилась в России еще в прошлом веке, когда компьютеры были большими, а интернет был по диал-апу. С тех пор применение усиленной электронной подписи (ЭП) расширяется. Её регистрируют как крупные организации, так и совсем небольшие ИП.

После начала пандемии коронавируса случился настоящий бум получений ЭП, ведь иначе бизнес бы встал. В результате за 2020 год было выдано почти вдвое больше сертификатов ЭП, чем в 2019-м. Разберемся, что такое ЭП, почему она так привлекательна для мошенников и как защитить ее от злоумышленников.

ЧТО ТАКОЕ ЭЛЕКТРОННАЯ ПОДПИСЬ?

В этом материале мы говорим об усиленной электронной подписи – идентификаторе человека при дистанционном обмене информацией, имеющем юридическую силу.

Бывает еще простая электронная подпись, подтверждающая, что документ отправил конкретный пользователь. Ее можно сделать с помощью обычных офисных программ, но уровень ее защищенности таков, что всерьез ее воспринимать сложно. Однако простые подписи используются широко. Например, ими незаметно для клиента заверяются все операции по банковским картам. Простая подпись может быть доказательством в арбитражном суде.

Чтобы ввести электронный документооборот, требовался инструмент, одновременно достаточно защищенный, чтобы ему можно было доверять, и достаточно простой, чтобы им мог пользоваться обычный пользователь ПК. Так появилась усиленная электронная подпись.

Усиленная ЭП – это реквизит документа, подтверждающий его авторство и отсутствие изменений в данных с момента подписания. Она защищена криптографическими методами, и взломать ее практически невозможно.

Чтобы подписать документ, нужна пара из секретного и открытого ключа.

Когда человек ставит электронную подпись, алгоритм считает контрольную сумму данных и зашифровывает получившееся значение секретным ключом.

Получатель документа с помощью парного открытого ключа узнаёт, кем именно был подписан документ и проверяет совпадение контрольной суммы. Если после подписи в документе хотя бы переставят запятую или удалят пробел, она будет уже другой. Значит, подпись недействительна.

Из всех ЭП юридической силой собственноручной подписи обладает только усиленная квалифицированная. Чтобы получить ее, нужно, чтобы соответствующий открытый ключ был подписан секретным ключом УЦ.Открытый ключ с метаданными владельца и подписью УЦ и называется сертификатом электронной подписи.

Неквалифицированная подпись используется в основном в деловой среде. Ее может выдать любой удостоверяющий центр (УЦ), в том числе и внутренний УЦ предприятия. Сообщение с неквалифицированной электронной подписью может (по предварительной договоренности сторон и в специально предусмотренных законом случаях) быть приравнено к бумажному документу, подписанному собственноручно.

Квалифицированная подпись по закону считается официальным документом. Она позволяет удаленно работать с налоговой инспекцией, присылать документы в суд – делать все то же, для чего нужна собственноручная подпись. Она подтверждается сертификатом от аккредитованного удостоверяющего центра.

НЕМНОГО ИСТОРИИ

С помощью сотрудников Музея криптографии, который скоро откроется в Москве, мы смогли составить хронологию использования ЭП в России.

1994 – в России принят первый стандарт электронной подписи – ГОСТ Р 34.10-94 (сейчас действуют национальный стандарт ГОСТ Р 34.10-2012 и межгосударственный ГОСТ 34.10-2018)

2002 – вступил в силу первый закон, призванный регулировать использование ЭП – 1-ФЗ «Об электронной цифровой подписи». Он содержал слишком серьезные требования к ЭП и сильно ограничивал возможности по применению электронных документов.

2011 – вышел закон 63-ФЗ «Об электронной подписи», значительно облегчающий ее применение. Это создало основу для перехода к безбумажному документообороту.

2018 – ЭП стала использоваться на портале «Госуслуги»

2019 – появление облачной подписи, которую можно оформить удаленно.

2020 – ключи ЭП можно получать через МФЦ.

2020 – ЭП активно используется в банках для защиты переводов.

Электронная подпись стала по-настоящему доступна. Но так ли это хорошо?

ОХОТА ЗА КЛЮЧОМ

Секретный ключ чужой электронной подписи для мошенников поистине золотой. Имея его, для всего цифрового мира злоумышленник может оставить её настоящего владельца без банковского депозита, бизнеса и единственного жилья.

Самые распространенные преступления с использованием ЭП:

— вывод средств со счетов компании;

— заключение договора дарения или купли-продажи на собственность человека или компании, включая недвижимость и дорогую технику;

— различные манипуляции с организацией: смена руководителя компании, главбуха, других ключевых сотрудников, ограничение доступа организации к госзакупкам и даже ликвидация компании.

Чтобы осознать полный спектр возможностей мошенников, представьте, что вы решили очень сильно навредить собственному материальному положению. Что вы можете для этого сделать? Мошенник с вашим секретным ключом может сделать все то же самое.

Открытый ключ на то и открытый, что давать его можно всем, кому требуется подтвердить вашу электронную подпись. Им можно:

— зашифровать что-то так, что расшифровать сможет только владелец парного секретного ключа;

— проверить подпись, созданную с использованием парного секретного ключа.

Имея доступ к открытому ключу, получить секретный невозможно. Поэтому его можно безопасно предоставлять всем, кому нужно прочитать ваши документы.

УДОСТОВЕРЯЮЩИЙ ЦЕНТР: ЗАЧЕМ ОН НУЖЕН?

На всех сайтах удостоверяющих центров говорится: чтобы получить электронную подпись, нужно получить в УЦ ключевую пару и сертификат. Создается впечатление, что ключевую пару могут сделать только там. Но это а) не так, б) нарушает главное правило работы с ЭП: секретный ключ не должен оказываться в чужих руках. Тем более – в непонятно чьих.

Удостоверяющие центры – это частные организации (порой ИП или вообще частные лица), которые не в полной мере контролируются государством. До 2020 года существовали сотни УЦ, среди которых встречались созданные с мошенническими целями – как раз для кражи секретных ключей. Теперь требования к ним значительно ужесточили, и многие недобросовестные игроки с этого рынка отсеялись. Но все ли? Вряд ли вам хочется проверить это ценой собственной квартиры или бизнеса.

Поэтому если УЦ не аккредитован в Минкомсвязи, с ним можно иметь дело только если:

— это собственный УЦ вашего предприятия;

— он сертифицирует подписи для участия в конкретных мероприятиях (например, в торгах, и тогда УЦ должен иметь аккредитацию не менее чем шести торговых площадок).

Смысл создания аккредитованных УЦ – в дополнительной защите подписи путем сертификации. Сертификат УЦ говорит о том, что его сотрудники удостоверились в том, что конкретный гражданин пришел к ним с паспортом и заявил, что принесенная им ключевая пара принадлежит ему. Для такой идентификации достаточно предоставить в УЦ открытый ключ. Но явиться лично и с паспортом придется. Дистанционные способы подтверждения личности в таком важном деле, как получение сертификата, могут применяться только в исключительных случаях. Если УЦ предлагает такие варианты просто по желанию клиента, возможно, организация настолько же непринципиальна и в других вопросах информационной безопасности.

Кроме выдачи сертификата электронной подписи, УЦ по заявлению владельца может приостановить действие сертификата или отозвать его, и тогда ЭП потеряет силу. Об этом пользователю, имеющему парный открытый ключ, сообщит программа, проверяющая подпись. В сообщении будет сказано: «Подпись верна, сертификат недействителен». Но между тем, как секретный ключ станет кому-либо известен, до тех пор, пока УЦ поместит сертификат открытого ключа в список отозванных, пройдет какое-то время. За этот промежуток злоумышленник вполне может провести операции, которые будут считаться легитимными.

КЕЙС: КАК СДЕЛАТЬ СЕБЕ ЭП

Верный способ защитить секретный ключ от утечек на начальном этапе – сделать на предприятии собственный УЦ. Он не будет аккредитованным, зато вы точно будете знать, кто имеет доступ к настолько важным данным. Приведем кейс от дружественной компании, которая не поленилась немного поработать, и теперь ее руководство спит спокойно. Ну, почти спокойно: инсайдерское в+оздействие (то есть, злой умысел сотрудника) никто не отменял, но это уже другая задача.

Для создания ключевой пары и последующей работы с цифровой подписью мы использовали отдельный компьютер с заведомо «чистой» системой. Мы протестировали несколько систем, и остановились на российском Alt Linux. Для добавления поддержки шифрования и цифровой подписи по ГОСТ в ней оказалось достаточно установить пакет openssl-gost-engine и добавить в начало конфигурационного файла несколько строчек:

openssl_conf = openssl_default

[ openssl_default ]

engines = engine_section

[ engine_section ]

gost = gost_engine_section

[ gost_engine_section ]

engine_id = gost

default_algorithms = ALL

В других системах на основе GNU/Linux все тоже заработало, но усилий приложить потребовалось чуть больше. Нам удалось настроить софт для создания ключевой пары под Windows и MacOS, но в этих случаях гораздо острее встает проблема вредоносного ПО, нацеленного на кражу секретного ключа.

После создания ключевых пар мы обратились в аккредитованный УЦ и зарегистрировали их по установленной законом процедуре. Мы предъявили в УЦ открытые ключи и необходимые документы как для физических лиц, так и для организации. Этот этап оказался самым сложным: сотрудники УЦ не сразу поняли, что нам не нужна медвежья услуга по созданию ключевой пары, а достаточно просто подписать уже существующий открытый ключ.

Мы ссылались на ФЗ-63 «Об электронной подписи». В ст. 2 этого закона и во многих других статьях сказано, что сертификат электронной подписи, в том числе квалифицированной, выдает УЦ. Но нет ни слова о том, что УЦ выдает ключевую пару. Сотрудники сначала аргументировали отказ в выдаче сертификата доводами вроде «Ну мы всегда так делали». Но затем они, вероятно, все же почитали закон и посоветовались с юристами. В результате наше законное требование было выполнено, мы успешно избежали навязанной и небезопасной услуги.

С 1 января 2022 года вступят в силу изменения к ФЗ-63, но принципиально поменяется только выбор УЦ, в которых могут получить сертификат руководители предприятий, индивидуальные предприниматели и нотариусы. Список компаний, которые смогут выдать сертификат в таких случаях, будет ограничен УЦ ФНС и организаций, которые налоговая служба сочтет доверенными. Получать ключевую пару именно в них закон по-прежнему не требует.

Как хранить секретный ключ

Ключевую пару можно хранить в специализированном устройстве. Для этого обычно используют рутокен или е-токен. УЦ выдает секретные ключи именно на этих устройствах, но их вполне можно приобрести самостоятельно.

Внешне токен похож на обычную USB-флешку, но внутри содержит не накопитель, а криптопроцессор – устройство, хранящее секретные ключи и осуществляющее внутри себя все необходимые криптопреобразования. Поместить секретные ключи в эти устройства можно, но извлечь их оттуда уже не получится, что обеспечивает дополнительный уровень защиты.

Две главных опасности для секретного ключа – это вредоносное ПО и действия пользователя. Надеяться только на антивирусные программы недостаточно. Важно соблюдать правила:

— не оставлять токен подключенным к компьютеру дольше необходимого;

— не оставлять устройство без присмотра (его нужно всегда иметь при себе или хранить в сейфе);

— ни в коем случае не помещать секретный ключ в облачное хранилище и вообще не использовать для его хранения Интернет.

ЭП: ТЕХНИКА БЕЗОПАСНОСТИ

1. Изучите компьютерную грамотность сами и обучите ей сотрудников или родственников! Антивирусы – это хорошо, но лучшая защита пользователя от кибермошенничества – его собственная голова. Люди, которые могут хотя бы подойти к вашему компьютеру, должны знать, что такое фишинг, как отличить настоящий сайт от подделки и почему нельзя открывать все ссылки подряд.

2. Поддерживайте антивирусную защиту актуальной! Самый распространенный способ «украсть ЭП» (а точнее секретный ключ) на сегодня – зловредные программы, которыми преступники заражают компьютеры.

3. Не используйте токен на компьютере, в защищенности которого вы не уверены.

4. Ключевую пару можно и нужно создать самостоятельно.

5. Не пользуйтесь услугами неаккредитованных удостоверяющих центров, если это не ваш собственный УЦ.

6. Секретный ключ, в том числе содержащий его токен, нельзя передавать никому. Даже родным и близким. Сотрудникам, которые имеют право подписывать документы, сделайте их личные ключи.

7. Паспортные данные и тем более сканы документа должны храниться максимально надежно. Нельзя размещать их в Интернете, даже в якобы безопасных хранилищах. Если при получении какой-либо услуги вместо паспорта допустимо предъявить другой документ, так и поступите. Иначе есть риск обзавестись неучтенной цифровой подписью.

8. Установите пароли на токен и компьютер. Пароль должен иметь достаточную длину и содержать как буквы в разных регистрах, так и цифры со спецсимволами. Еще лучше использовать ключевую фразу (passphrase): это набор слов, разделенных цифрами или спецсимволами. Например, 1k*СпОc0бОв/=\zaS4itit`+token|_|. Его придется выучить наизусть. Записанный на бумажке, даже самый сложный пароль теряет смысл. Достаточно один раз забыть такой листок на столе – и в лучшем случае просто придется заказывать новую подпись.

9. Не храните незащищенный секретный ключ на жестком диске компьютера.

10. Если вы – руководитель, и у ваших подчиненных есть ЭП, дающая право подписывать документы от имени предприятия, при увольнении сотрудника отзывайте его подпись даже раньше, чем он получит расчет.

Как потерять профиль на Авито⁠ ⁠

Был у меня на Авито профиль, пользовался им несколько лет, много чего своего продал, не мало купил за эти годы. Но вчера мой профиль был заблокирован по причине обнаружения признаков взлома. Написал в поддержку, на что сегодня был получен ответ:

Как потерять профиль на Авито Авито, Бомбануло, Мошенничество, Информационная безопасность, Негатив

При этом никогда ничего запрещённого я не продавал, никого не обманывал, вся история переписок и объявлений сохранены в моем профиле. Отправляю этот текст в ответном письме, на что мне ответили следующее:

Как потерять профиль на Авито Авито, Бомбануло, Мошенничество, Информационная безопасность, Негатив

У меня вопрос к службе "безопасности" Авито:
даже тут на Пикабу регулярно появляются посты о том, как людей обманывают с помощью вашей площадки, в том числе с помощью сервиса "Авито-доставка", но несмотря на это на сегодняшний день эта самая информационная безопасность попросту отсутствует, людей продолжают обманывать. Речь конкретно о наличии технической возможности совершения недобросовестных действий с помощью вашего сервиса. Почему у честных и порядочных пользователей, владеющих профилем несколько лет, вы можете просто отнять его, потому что по результатам ваших секретных "методов проверки" там было обнаружено что-то подозрительное, а мошенники продолжают "угонять" чужие профили с многолетним стажем, для совершения своих обманных схем? Может уже пора уязвимости закрывать и жуликов блокировать, а не нормальных пользователей?

Как обезопасить аккаунт Госуслуг⁠ ⁠

Просто некоторые, далеко не исчерпывающие, рекомендации.

1) Установите у оператора кодовое слово на свой номер, чтобы никто не мог произвести с номером любые действия, вплоть до блокировки, просто зная ваше ФИО и паспортные данные, которые вы светите сплошь и рядом. И обязательно проверьте — работает ли опция так как вам нужно, потому что далеко не факт, что получится сразу сделать то, что требуется. Про МТС и борьбу с ним по этому вопросу я писал сегодня — МТС и кодовое слово. Важный комментарий

2) Укажите вашу электронную почту, на которую будут приходить оповещения об авторизации в Госуслугах.

3) В настройках Госуслуг (я делал через браузер на ПК, не знаю есть ли эта возможность в приложении для смартфонов) установите контрольный вопрос и ответ на него. Вопрос — произвольный, тут нет шаблонов типа «Назовите девичью фамилию вашей матери» или «В каком году у вас первый раз угнали аккаунт ВК» — можно придумать всё, что угодно. Согласно информации с Госуслуг, контрольный вопрос задаётся обязательно при попытке восстановить пароль. Пикрелейтед.

PS И обязательно включите опцию Вход с подтверждением по SMS — это и есть та самая двухфакторная авторизация, про которую так много все говорят и игнорируют.

Как обезопасить аккаунт Госуслуг Госуслуги, Информационная безопасность, Длиннопост

Как обезопасить аккаунт Госуслуг Госуслуги, Информационная безопасность, Длиннопост

Очередные мошенники с Авито. yandex-wallet.ru⁠ ⁠

Настало время выйти из readonly режима. Вот и до меня дошла эстафета с авито-мошенниками.
Я выставил на продажу старую детскую кровать за 10к. Буквально через несколько минут сообщение в богомерзкий whatsapp, мол, актуально ли объявление. Есть ли трещины, сколы. Разберу ли я сам для них кровать. Просит сделать скидку, прислать видео. Потом "совещается с супругом". И выносит вердикт, что супругу "тоже понравился ваш товар". Товар, у меня? Ну ладно. Это был первый звоночек. Но я радуюсь, что нашёлся покупатель, и особо внимания этому не придаю. А дальше самая мякотка — мошенник начинает меня убеждать воспользоваться яндекс доставкой, через которую мне оплатят, и грузчики которой кровать заберут. Высылает ссылку для получения денег на сайт yandex-wallet.ru . И тут всё становится понятно.
1)Поисковики ничего не знают про этот yandex-wallet.ru , и про мошенников с этого сайта тоже. При переходе в корень сайта происходит переадресация на yandex.ru . Пока что похоже на правду.
2) Перехожу по ссылке (это я, конечно, сглупил; с телефона такие сайты открывать нельзя). И вижу стандартную форму ввода всех данных банковской карты. Ха-ха. И доставка в Кемерово. Которая в самой дешёвой транспортной компании будет стоить не меньше тех же 10к, а уж яндекс доставкой раз в 5 дороже. До этого момента у меня ещё теплилась надежда, что я продал кровать. Написал мошеннику, что сайт то мошеннеческий. На этом разговор закончился. Ещё на странице "с получением средств" была красивая ссылка с картинкой на моё объявление.
3) Добрался до компьютера и посмотрел на сайт повнимательнее. Домен зарегистрирован в декабре прошлого года на частное лицо (для просмотра истории регистрации сайта спросите у любого поисковика whois имя.сайта)

Очередные мошенники с Авито. yandex-wallet.ru Авито, Мошенничество, Информационная безопасность, Длиннопост, Негатив

4) Смотрю ssl сертификат сайта. Сравните

Очередные мошенники с Авито. yandex-wallet.ru Авито, Мошенничество, Информационная безопасность, Длиннопост, Негатив

С сертификатом основного сайта яндекса

Очередные мошенники с Авито. yandex-wallet.ru Авито, Мошенничество, Информационная безопасность, Длиннопост, Негатив

Для просмотра сертификата нажмите на значок замочка в адресной строке браузера.
5) К сожалению, страница оплаты уже была недоступна. И самое интересное я посмотреть не смог. Предположу, что мошенник, поняв, что от меня ничего не добиться, сделал эту ссылку неактивной. В тор браузере сайт вообще не открылся, что тоже характерно.
6) В принципе, уже давно всё стало понятно. Но я решил спросить у поисковиков про сервера доменных имён этого сайта (см. п.3). И вижу что-то до боли знакомое

Очередные мошенники с Авито. yandex-wallet.ru Авито, Мошенничество, Информационная безопасность, Длиннопост, Негатив

Очередные мошенники с Авито. yandex-wallet.ru Авито, Мошенничество, Информационная безопасность, Длиннопост, Негатив

Очередные мошенники с Авито. yandex-wallet.ru Авито, Мошенничество, Информационная безопасность, Длиннопост, Негатив

Вера в честность людей чуть меня не подвела. Вне всякого сомнения, это были мошенники. Ну и переписка на память.

Очередные мошенники с Авито. yandex-wallet.ru Авито, Мошенничество, Информационная безопасность, Длиннопост, Негатив

Очередные мошенники с Авито. yandex-wallet.ru Авито, Мошенничество, Информационная безопасность, Длиннопост, Негатив

Очередные мошенники с Авито. yandex-wallet.ru Авито, Мошенничество, Информационная безопасность, Длиннопост, Негатив

Очередные мошенники с Авито. yandex-wallet.ru Авито, Мошенничество, Информационная безопасность, Длиннопост, Негатив

Очередные мошенники с Авито. yandex-wallet.ru Авито, Мошенничество, Информационная безопасность, Длиннопост, Негатив

Очередные мошенники с Авито. yandex-wallet.ru Авито, Мошенничество, Информационная безопасность, Длиннопост, Негатив

Очередные мошенники с Авито. yandex-wallet.ru Авито, Мошенничество, Информационная безопасность, Длиннопост, Негатив

Очередные мошенники с Авито. yandex-wallet.ru Авито, Мошенничество, Информационная безопасность, Длиннопост, Негатив

Поисковики хорошо работают с сайтом пикабу. Так что скоро в них по запросу "мошенники yandex-wallet.ru " будет показываться этот пост вместо пустотой выдачи.

Что бы такое сделать, чтобы не работать и улучшить статистику. Залезем в чужой профиль на Госуслугах, а потом его удалим!⁠ ⁠

Сегодня я планировала утренний отдых и радостное сжигание масленицы, но что-то пошло не так.

Предыстория. В этом году у нас как всегда неожиданно для коммунальщиков выпал снег. И, как всегда, «техника не справлялась, подрядчик подводил». Пару лет назад я плюнула на написание жалоб на такое поведение на наш подмосковный Добродел, потому что приходили отписки «мы все убрали!» с левыми фотками. Нынче я решилась опять им писать. Создала заявку, что мол, вокруг нашего дома не чистят, снег тает и образуется огромная лужа. Жалобу эту прикрыли из-за «нескольких проблем в описании». Ну думаю, раз вы не хотите по-хорошему убирать снег, прицепившись к словам, что еще и лужа от него есть, то наделаю-ка я вам заявок на каждую беспокоящую меня проблему рядом с домом отдельно. В итоге получилось семь жалоб (наш дом, соседний, 3 снежных навала, парковочный карман и проезд у мусорной площадки). Решила вчера перед сном проверить как и что отписываются (из окна-то видела, что делают, но не доделывают).

Собственно, что было дальше. Вход на Добродел только через госуслуги. Пишет, что пароль неверный. Пробую телефон вместо почты — тот же ответ. В приложении после прикладывания пальца пишет, что нужно входить по логину-паролю, т.к. я якобы отключила возможность заходить из мобильного приложения с этого мобильного устройства. Хорошо, пробую через браузер заходить — не пускает. Тогда пробую сменить пароль, но мне ответ, что такого пользователя нет. WTF. Ну ладно, думаю, разберусь утром.

Сегодняшнее утро. На компе все тоже самое. И при попытке ввода снилса тоже. Гуглю. Нахожу, что можно регистрироваться через Сберонлайн. Регаюсь. И захожу в девственно чистый новенький профиль. Проверяю госуслуги Московской области, теперь на них тоже стало можно зайти (вход только через госуслуги) и записать дочку к врачу. Но надо опять ввести снилсы-даты рождения. На Доброделе тоже все пусто. Проверяю карту сообщений по моему району — не нахожу. Пишу в чат на госуслуги, мол, что это за фигня, почему удален аккаунт. А у него вход либо по отпечатку пальца из приложения, либо по паролю из смс. Т.е. я в любом случае узнаю про попытку входа. Мне говорят, что может я заходила в центр обслуживания и просила удалить профиль.

А дальше произошло самое интересное! Я решила не только войти в папочку «Госуслуги» в моей почте, но и тыкнуть в «Госуслуги МО». И что я вижу.

Что бы такое сделать, чтобы не работать и улучшить статистику. Залезем в чужой профиль на Госуслугах, а потом его удалим! Интернет-портал Добродел, Длиннопост, Отписка, Чиновники, Халатность, Госуслуги, Свинство, Взлом, Информационная безопасность

Захожу во внутрь каждого письма, а там пишут, что я сама все эти проблемы позакрывала! Вот почему на карте сообщений эти обращения отсутствовали!

Пруфы на проблемы по ссылкам

Кому не хочется тыкать, выглядит оно примерно вот так

Что бы такое сделать, чтобы не работать и улучшить статистику. Залезем в чужой профиль на Госуслугах, а потом его удалим! Интернет-портал Добродел, Длиннопост, Отписка, Чиновники, Халатность, Госуслуги, Свинство, Взлом, Информационная безопасность

Все закрыто подряд с 11:08 по 11:10. Это вообще как? На госуслугах мне ответа никакого пока не дали, кроме того, что по моим данным есть только одна учетная запись. Муж, работает в информационной безопасности, говорит, что должны быть логи про мою первую запись и что бесследно такое делать не получится. Кстати, именно он мне и порекомендовал в свое время сделать двухфакторную аунтификацию, иначе бы реально можно было съехать ответственным, что это аккаунт у меня увели из-за моей беспечности. Кстати, еще неизвестно, что за инфу оттуда могли взять, если это из-под него делалось.

В общем, теперь у меня однозначно нет доверия ни к нашей администрации, которая пытаясь улучшить статистику по ответам на заявки творит самоуправство, ни к сайту госуслуг. Данные я конечно про себя-детей внесла, но если опять подгадят уже удивляться не буду.

В общем, будьте и вы в курсе, что с вами на ровном месте такое может быть!

P.S. Путинские 10 т.р. за июль до меня тоже до сих пор идут, на этой неделе пенсионный отзванивался, сказали, что проблему нашли, все пришлют. Думала вначале, что учетка полетела из-за их «исправления ошибки», но похоже ноги растут из Добродела.

UPD: Уведомила сотрудников поддержки госуслуг в чатике, что т.к. мне ничего не разъяснили и игнорировали мою просьбу создать инцидент, то я буду буду обращаться в Роскомнадзор, ФСТЭК, прокуратуру и в другие органы и приложу переписку с ними как доказательство моих попыток разобраться в ситуации до обращения в эти органы. В том числе и указала, что произошедшее подпадает под статью 272 УК РФ. И таки они завели инцидент, правда с оговоркой, что «В зависимости от сложности срок решения может составить до нескольких дней.» Пару дней подожду, что за ответ мне придет

Рекомендую пока не пользоваться Авито Доставкой, т.к. можете не получить деньги за отправленный товар⁠ ⁠

Это актуально для ВСЕХ, кто продаёт через АвитоДоставка. И не важно какой сложности стоят пароли и т.д., т.к. мошенники используют лазейку в самом Авито и вывод денег происходит через сотрудников Авито, минуя самого продавца.

Что больше всего поразило — это отношение Авито к этой дыре в своей системе безопасности. Продавец с декабря прошлого года пытался выяснить, как у него вывели 119 тыс., но все обращения в службу поддержки ничего не дали. И даже когда продавец сам выяснил причину, то Авито написали, что меняйте почаще пароли (что не имеет никакого отношения к проблеме) и всё, больше ничем помочь не можем. И реакция от Авито и признание проблемы произошло только после того, как пост попал на новостные порталы и поднялся шум. Т.е. Авито, зная о проблеме как минимум с декабря прошлого года (скорее ещё раньше), не сделал ничего, чтобы закрыть эту дыру в своей системе безопасности и предотвратить потерю денег у своих пользователей. Действительно, зачем? Авито же получило комиссию со сделки, а то что продавец не получил деньги — так им от этого не горячо, не холодно. После публикации поста в новостях, Авито всё же признали проблему, обещали устранить в ближайшее время и вернули деньги, но только одному этому продавцу, вокруг которого поднялась шумиха. Что со всеми остальными, кто из-за проблем Авито лишились своих денег? Да ничего! Они же в новости не попали, так зачем на них обращать внимание.

Мне не повезло с тем, что я воспользовался АвитоДоставкой когда о дыре в своей системе безопасности они давно знали, но шумиха в новостях ещё не поднялась и ничего по устранению не было сделано. После публикации моего поста на Пикабу, они подождали несколько дней. Поняли, что в новости это не попадёт (новостным порталам повтор, тем более с меньшей суммой стал не интересен) и дали стандартную отписку, чтобы я почаще пароль менял и всё.

Этот пост создан с целью, чтобы как можно больше пользователей Авито узнали о проблеме с АвитоДоставкой и не попали на деньги. Узнай я об этом до отправки заказа, то не стал бы пользоваться и не попал бы. Сейчас я уже на всех своих объявлениях отключил АвитоДоставку и остальным пока не рекомендую пользоваться.

А теперь распишу всё по порядку.
8 февраля в 11:52 у меня оформили заказ через АвитоДоставку. До этого я несколько раз отправлял ей, принцип работы знал. Это сейчас я понимаю, что мне тогда просто везло.

Рекомендую пока не пользоваться Авито Доставкой, т.к. можете не получить деньги за отправленный товар Авито, Доставка, Длиннопост, Безопасность, Мошенничество, Негатив, Информационная безопасность

На следующий день, 9 февраля я передал упакованный заказ в пункт БоксБерри. После передачи получил вот такую накладную:

Рекомендую пока не пользоваться Авито Доставкой, т.к. можете не получить деньги за отправленный товар Авито, Доставка, Длиннопост, Безопасность, Мошенничество, Негатив, Информационная безопасность

В принципе обычная накладная. Только небольшое замечание: теперь в дополнение к Авито ещё и любой сотрудник БоксБерри, имеющий доступ к базе, может посмотреть мой номер телефона и сумму, которую я должен получить после доставки (выделено красным).

Пока ничего особо криминально нет. Ну узнает кто-то мой номер телефона и сумму — ну и что?

А вот тут начинается самое интересно. Я тоже сначала не мог понять как вошли в мой профиль и вывели деньги. Помог разобраться пост об украденных 119 тыс. (там всё подробно описано).

10 февраля, в день когда покупатель должен был получить посылку, а я деньги за неё, с номера телефона с поддельным ID, который повторяет цифры в номере телефона в накладной и профиле совершается звонок в службу поддержки Авито. Оператор Авито, думая что звонит владелец аккаунта и не запрашивая дополнительных подтверждающих данных, меняет почту в профиле. Почему так просто? Зачем продавцу нужно менять почту, которая у меня с момента регистрации на Авито, т.е. с мая 2011 года (почти 10 лет!) и именно в день получения денег за заказ, не понятно. При этом на старую почту никаких уведомлений не приходит! Авито, по-моему гениально! Почему нельзя сделать отправку уведомления на почту, которую отвязывают и предупредить об этом? Было бы это уведомление, то возможно всё получилось бы по другому.
В тех.поддержке мне написали, что уведомление приходит только на новую почту (логика? нет, не слышали).

Рекомендую пока не пользоваться Авито Доставкой, т.к. можете не получить деньги за отправленный товар Авито, Доставка, Длиннопост, Безопасность, Мошенничество, Негатив, Информационная безопасность

В качестве доказательства, что этот звонок был совершён не мной или может с использованием вредоносного ПО или клона сим-карты прикладываю выписку оператора связи за этот период времени.

Рекомендую пока не пользоваться Авито Доставкой, т.к. можете не получить деньги за отправленный товар Авито, Доставка, Длиннопост, Безопасность, Мошенничество, Негатив, Информационная безопасность

Хорошо, что я ещё догадался сделать фото экрана с этим обращением. Правда меня тогда смутило только время: что это за обращение в 4 часа ночи для настройки профиля. И если бы не пост об украденных 119 тыс., то я бы так и не придал значения этому обращению.

Ещё интересный момент: после долгого общения с тех.поддержкой Авито с вопросом как был осуществлён доступ к профилю и вывод денег (ответ был: мы не знаем), вся история обращений до 10.02.21 15:58 на сайте была удалена (удалены все обращения: и мои и не мои). Мои то обращения я могу посмотреть у себя на почте, т.к. они туда дублируются, а вот какие ещё были — уже нельзя посмотреть. На мою просьбу в тех.поддержку прислать список всех обращений за 9-10 февраля, мне написали смотрите на сайте, если их там нет, значит нет. Вот так вот.

Далее мошенники делают сброс пароля с использованием новой почты и получают полный доступ к профилю. Всё! И пользователь никак не может повлиять или защититься от этого. Будь у тебя хоть супер-пупер сложный пароль, вот так с помощью звонка в тех.поддержку Авито можно поменять почту, а затем сбросить любой пароль и поставить свой.

Скрин экрана с фиксацией входа по новой почте:

Рекомендую пока не пользоваться Авито Доставкой, т.к. можете не получить деньги за отправленный товар Авито, Доставка, Длиннопост, Безопасность, Мошенничество, Негатив, Информационная безопасность

Ну вот и всё. Теперь мошенникам остаётся только дождаться сообщения об удачной продаже и вывести деньги. Правда в отличие от поста про 119 тыс. тут они немного поторопились, думая что заказ заберут утром.

Я утром тоже решил проверить состояние заказа и попытался войти на сайт. Естественно это у меня не получилось. Начинаю вспоминать истории, когда после отправки заказа профиль специально блокировали, чтобы покупатель смог получить товар, а потом и деньги вернуть, т.к. продавец при блокировке не может вывести деньги. Кто же знал, что тут другая схема.

Доступ тех.поддержка мне восстанавливает, но опять никаких уведомлений или сообщений, что старая почта заменена на новую нет. Правда немного успокаивает то, что я поменял все пароли и написал в тех.поддержку письмо с просьбой блокировки возможности вывода денег, т.к. не случайно всё это произошло в день когда я должен был получить деньги — не верю я в такие совпадения.

Во второй раз доступ к профилю у меня сохраняется ровно до того момента, как покупатель не забрал посылку (почта в профиле же остаётся левая). Только в этот раз, чтобы я им опять не помешал мой номер телефона меняется на 8-963-3830359. И опять никаких смс или других уведомлений не пришло.

В 14:26 Авито уведомляет, что покупатель забрал заказ и кидает в чат мошенникам, которым сам же, единолично предоставил доступ к профилю, ссылку на вывод денег.

В 14:51 мошенники забирают деньги и Авито их поздравляет. Отлично!

Рекомендую пока не пользоваться Авито Доставкой, т.к. можете не получить деньги за отправленный товар Авито, Доставка, Длиннопост, Безопасность, Мошенничество, Негатив, Информационная безопасность

И тут просто море вопросов:

1. Почему Авито так легко, без какой-либо проверки меняет почту и при этом никаких уведомлений не присылает?

2. Почему также легко можно поменять номер телефона в профиле. Где сообщения на старый номер, что его пытаются сменить?

3. Почему производится вывод денег в день, когда был зафиксирован факт взлома аккаунта, изменена почта, а потом ещё и номер телефона, а сам продавец просил не выводить ему деньги?

Т.е. человек отправляет заказ, а в день получения решает сменить почту, которой 10 лет, номер телефона да ещё и дать данные карты, на которую никогда не выводил деньги и на которой даже имя не совпадает. И Авито делает вид, что всё нормально, так и должно быть. Безопасность? Нет, не слышали. Или в этом есть и их интерес?
Причём на множестве подобных сайтов уже реализованы меры защиты пользователей и денег. Почему Авито это не делает — не понятно. Возможно и правда есть какой-то интерес? Потому что одной ленью это сложно оправдать.

Посмотрим, будет ли на этот пост ответная реакция от Авито. Пока пишут меняйте почаще пароли и «Мы не участвуем в мошеннических схемах и технически не можем в них участвовать, как и давать доступы к профилю третьим лицам».

Как пользоваться приложением «Госключ»

ФНС и Минцифры запустили цифровую платформу, которая даёт возможность электронно подписывать юридически значимые документы с телефона. Для этого в мобильном приложении «Госключ» можно получить усиленную квалифицированную или неквалифицированную электронную подпись (УКЭП или УНЭП).

Электронная подпись (ЭП) используется на различных онлайн-ресурсах для подписания, шифрования при передаче и сохранения неизменности электронного документа. Усиленная ЭП имеет криптографическую защиту, позволяющую сохранять конфиденциальность и целостность файлов при отправке контрагентам, чтобы данные не смогли перехватить и украсть.

Квалифицированная ЭП аналогична собственноручной подписи, её применяют для электронного документооборота с коммерческими организациями и госорганами. Все электронные документы, подписанные УКЭП, имеют юридическую значимость и приравниваются бумажным.

Неквалифицированную ЭП используют для документов, которые не требуют заверения печатью и применяется в основном во внутреннем документообороте компании. УНЭП не подойдёт для сдачи государственной отчётности, заключения договоров и т. д. С юридической стороны, чтобы правомерно обмениваться документами с контрагентами, потребуется заключить дополнительное соглашение.

В статье подробнее расскажем, как пользоваться приложением «Госключ» и получить там электронную подпись, чтобы упростить свой документооборот.

Кто может воспользоваться приложением

Мобильным приложением «Госключ» могут воспользоваться все владельцы смартфонов на базе управления:

  • Android 5.0 и выше;
  • iOS 11.3 и выше;
  • macOS 11.0 и выше.

Скачать его можно из App Store, Google Play или App Gallery. После установки сервис запрашивает доступы к камере, файлам и настройкам, при этом не затронув личные данные владельца.

Чтобы пользоваться приложением, необходима подтверждённая учётная запись портала Госуслуг. Сделать это можно онлайн, если вы клиент какого-либо из перечисленных банков, или офлайн в центре обслуживания и на Почте России.

Как подписать электронный документ

Для подписания любого документа в приложении «Госключ» нужна электронная подпись. Если её нет — можно бесплатно получить ключ и сертификат электронной подписи в приложении. Процедура занимает немного времени, не требует посещения центров, где выдают ЭП, и никаких бумажных заявлений.

Приложение создаёт, хранит и применяет ключ ЭП в соответствии с мерами информационной безопасности. Не требуется никаких USB-токенов и SMS-паролей, все данные находятся в облачном хранилище. Главное — иметь подтверждённый профиль в ЕСИА и определиться с вариантом электронной подписи.

При оформлении УНЭП нужно учитывать, что придётся заключать дополнительное соглашение с контрагентами об использовании данной подписи и её юридической силе. В работе с УКЭП этого делать не нужно, так как её правовую силу регулирует федеральный закон № 63-ФЗ «Об электронной подписи», что автоматически наделяет подпись юридической значимостью.

После выбора подходящей подписи и подтверждения учётной записи в Госуслугах нужно войти в приложение и придерживаться следующих действий:

  1. ввести номер телефона при входе и подтверждающий SMS-код;
  2. войти в профиль;
  3. принять условия лицензионного соглашения;
  4. установить пароль для входа в приложение;
  5. сгенерировать случайные числа для работы приложения (для этого нужно перемещать палец по экрану);
  6. подтвердить получение сертификата УНЭП;
  7. подтвердить передачу данных, и можно подписывать документацию.

Для получения УКЭП потребуется загранпаспорт нового образца (с биометрическими данными владельца) и смартфон с NFC-модулем.

  1. нужно зайти в раздел «Получите сертификат УКЭП»;
  2. выбрать способ идентификации по загранпаспорту нового поколения;
  3. ввести его номер и дату окончания срока действия;
  4. запустить считывание загранпаспорта с помощью NFC-модуля;
  5. поступят бланки ознакомления заявления и сертификата УКЭП;
  6. подтвердить проверку документов подписанием и можно пользоваться.

Как только поступят документы для подписания, приложение отправит push-уведомление на экран телефона. Зайдя в систему, нужно выбрать поступивший бланк, ознакомиться и подтвердить подписание с помощью ЭП.

Как перенести подпись на другое устройство

Электронная подпись приложения «Госключ» закрепляется за определённым устройством. При возникновении ситуации, когда нужно сменить смартфон, чтобы не проходить заново процедуру получения сертификата ЭП, можно сделать следующее:

  1. войти в систему;
  2. в правом верхнем углу нажать на иконку настроек;
  3. выбрать пункт «Сохранить данные» и подтвердить;
  4. сохранить файл на телефон или в облако;
  5. для защиты сертификата потребуется сгенерировать случайное число, для этого нужно перемещать палец по экрану смартфона

Так сохранится защищённая копия электронной подписи. После установки приложения на новое устройство можно будет восстановить свою электронную подпись. Для этого нужно войти в сервис, открыть скачанный файл и запустить процесс автоматического подключения сертификата к учётной записи. После завершения можно продолжать подписывать документацию своей ЭП.

Какие документы можно подписывать

Пользователь может воспользоваться приложением «Госключ» для заключения договоров, свершения сделок, отправки заявлений и других юридически значимых действий на портале Госуслуг и коммерческих площадках, интегрированных с цифровой платформой.

Приложение сотрудничает с мобильными операторами связи и в нём можно оформить договор на оказание услуг, чтобы стать абонентом; на перенос номера или перевыпуска SIM-карты. Достаточно подписать электронные документы и заказать доставку при необходимости.

С помощью сервиса можно подтверждать аккаунты в агрегаторах. С февраля этого года сервис начал взаимодействовать с торговыми онлайн-площадками. Пользователи могут заключать договоры о покупке товаров и услуг.

С апреля началось расширение списка документов и сделок, которые можно проводить с помощью приложения. До конца года планируется задействовать кадровый электронный документооборот.

Где ещё получить УКЭП

Также электронную подпись можно получить в удостоверяющих центрах, аккредитованных Минцифры. Подпись позволяет пользоваться всеми сервисами Госуслуг (от оформления загранпаспорта до получения патента на изобретение), дистанционно отправить документы во все учебные заведения, подать заявку на кредит или ипотеку, удалённо заключать трудовые договоры с работодателем и многое другое.

Подпись ИП или руководителя юридического лица получают только в удостоверяющем центре ФНС или у его доверенных лиц в соответствии с изменениями в 63-ФЗ «Об электронной подписи».

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *