Realstory. Как украсть пенсионные накопления или личность с помощью усиленной квалифицированной цифровой подписи

Описанная в настоящей публикации история произошла на самом деле и до сих пор не закончена, т.к. материалы переданы в уполномоченные органы и ведется следствие.

Персональные данные и реквизиты документов скрыты из соображений конфиденциальности.

Вся указанная в публикации информация имеет своей целью проинформировать широкое сообщество экспертов в области информационной безопасности и иных заинтересованных лиц об угрозах безопасности персональных данных физических лиц, способах незаконного их использования, имеющихся организационно-технических  проблемах при использовании усиленной квалифицированной электронной подписи, и не является явным или скрытым призывом к противозаконной деятельности или критикой в отношении органов власти.

История началась с того, что в один "прекрасный" момент гражданка М.  (далее - М.) решила проверить состояние накопительной части своей пенсии, которую М., как она думала, до сих пор не перевела в некоммерческий пенсионный фонд.

В Пенсионный Фонд РФ (далее - ПФР) по электронной почте был направлен запрос о предоставлении информации о состоянии накоплений.

В ответ на запрос было получено письмо, в котором ПФР информировал М., что он не является держателем её пенсионных накоплений с 2017 года, а пенсионные накопления находятся в АО НПФ "Нефтегарант".

Естественно, что М. была удивлена и возмущена, ибо отлично помнила, что пенсионные накопления из ПФР никуда не переводила. В связи с чем в ПФР был направлен запрос с требованием объяснить сложившуюся ситуацию. И тут началось...

Как оказалось, пенсионные накопления попали в АО НПФ "Нефтегарант" в качестве активов АО НПФ "Согласие-ОПС". Но и эта компания оказалась М. незнакома.

Что же это за компания АО НПФ "Согласие-ОПС" и что о ней известно?

Поиск Google выдаёт из кэша следующую информацию:

Указанная в ссылке страница более недоступна, но об обеих организациях имеется информация на www.list-org.com:

АО НПФ "Согласие-ОПС" - https://www.list-org.com/company/7965369

АО НПФ "Согласие" - https://www.list-org.com/company/1803417

Общего у этих компаний много, и в первую очередь генеральный директор.

Что говорят о компании клиенты и "клиенты" можно почитать в отзывах Google 

Как видно проблема М. не единичный случай, а настойчивые рекомендации М. своим знакомым проверить состояние их пенсионных накоплений только подтвердил данные из сети Интернет, у троих знакомых М. накопления тоже "волшебным образом" оказались в АО НПФ "Нефтегарант" через АО НПФ "Согласие-ОПС".

Давайте разберёмся как же это могло произойти.

Читаем ответ ПФР дальше и видим:

Оказывается со стороны АО НПФ "Согласие-ОПС" в ПФР был предъявлен договор м/у АО НПФ "Согласие-ОПС" и М., да ещё в республике, в которой М. никогда в своей жизни не была.

А ещё от имени М. было подано заявление о переводе пенсионных накоплений из ПФР в АО НПФ "Согласие-ОПС". И опять из республики, в  в которой М. никогда в своей жизни не была. 

А из присланного Отделением ПФО по Республике Коми скан-копии договора следует, что договор якобы был заключен в г. Москва.

Но самое интересное в скан-копии это то, что договор имеет рукописные подписи которые никоим образом не могут принадлежать М., поскольку даже визуально абсолютно не соответствуют образцу подписи М., зафиксированному в паспорте М.

Но тогда возникает вопрос: на каких основания ПФР перевел деньги М. в АО НПФ "Согласие-ОПС"?

Ответ на этот вопрос даёт ответ из Отделения ПФР по Республике Татарстан:

Заявление поступило в электронной форме и сопровождалось усиленной кваоифицированной электронной подписью, выданной на имя М.!

Но М. не только не обращалась в ООО "Аксиком" с целью оформления усиленной квалифицированной электронной подписи (далее - УКЭП), но и в дату выдачи указанной в письме Отделения ПФР по Республике Татарстан УКЭП вообще не могла находится в городе Москва.

Тогда каким образом на имя М. была оформлена УКЭП? Ответ на данный вопрос находится на странице описания удостоверяющего центра ООО "Аксиком"

Удостоверяющий центр (далее - УЦ) ООО "Аксиком" осуществляет или осуществлял ранее (регламент удостоверяющего центра, опубликованный на сайте имеет дату утверждения 15 января 2019 года) изготовление сертификатов УКЭП без очной явки заявителя, принимая заявления посредством электронной почты, почтовой либо курьерской связи.

Т.е. в УЦ ООО "Аксиком" достаточно было направить заполненное по типовой форме заявление, скан-копию паспорта и скан-копию СНИЛС лица, на чьё имя желали получить УКЭП. (Где и как злоумышленники получили скан-копию паспорта и скан-копию СНИЛС М. будут выяснять уполномоченные органы.)

В таких условиях единственное что мог сделать оператор УЦ ООО "Аксиком" - это визуально сравнить подпись в заявлении с изображение экземпляра подписи в скан-копии паспорта. Представляется излишним долго рассуждать над тем насколько легко изобразить подобие подписи по имеющемуся изображению, и невозможности однозначно подтвердить идентичность подписи без графологической экспертизы.

Получение ключевого носителя с УКЭП, выданной на имя иного лица, при отсутствии необходимости очной явки в УЦ ООО "Аксиком" также очень просто. Ряд УЦ, в том числе в нашем регионе, осуществляют курьерскую доставку ключевых носителей по адресу, указанному в сопроводительном письме к заявке на выдачу УКЭП. При этом далеко не всегда у получателя проверяют паспорт, чаще просто достаточно указать данные паспорта и поставить подпись.

Теперь сложилась полная картина как можно похитить чужие пенсионные накопления с помощью УКЭП.

Сейчас получить государственную или муниципальную услугу, отправив заявление и скан-копии документов, заверенные УКЭП, по электронной почте, можно в большинстве государственных и муниципальных органов власти. Что и было осуществлено в отношении пенсионных накоплений М.

Но это только одна из огромного множества возможностей, которые появляются у злоумышленника, обладающего УКЭП, выданной на имя иного лица. С помощью УКЭП возможна так называемая "кража личности", т.е. подмена данных о личности, переоформление и получение документов, переоформление и продажа недвижимого и движимого имущества, и т.д. и т.п. 

На сайте www.gosuslugi.ru имеется механизм получения доступа к этим возможностям каждому у кого имеется УКЭП, электронные скан-копии паспорта и СНИЛС. 

Естественно, что при регистрации учетной записи злоумышленник указывает желаемые адрес электронной почты и номер телефона.

Другая возможность, связанная с функционалом Единой системы идентификации и аутентификации портала gosuslugi.ru (далее - ЕСИА) - это возможность входа в личный кабинет пользователя портала gosuslugi.ru с помощью УКЭП.

Дело в том, что при активации функции авторизации в ЕСИА с помощью УКЭП вход в личный кабинет портала gosuslugi.ru становится доступен с помощью любой УКЭП, выданной на имя зарегистрированного на портале gosuslugi.ru лица. Количество, места и даты выдачи УКЭП на имя одного и того же физического лица никто не отслеживает и не контролирует/