Как понять к чему привязана карта сбербанка
Как Проверить Какие Подписки Подключены к Карте Сбербанка Через Интернет
В большинстве случаев регистрацию в личном кабинете сбербанковский пользователь проходит на этапе получения платежного инструмента в офисе. Позже он может менять пароль на более приемлемый для себя, когда в следующий раз авторизуется в своем аккаунте. Однако бывает и так, что регистрационный процесс клиент проходит самостоятельно.
Где и как узнать подключенные услуги на карте Сбербанка
Как узнать подключенные услуги Сбербанка? Это весьма популярный вопрос среди тех, что задают клиенты данной кредитно-финансовой организации. Особенно часто пользователи интересуются, какие платные сервисы подключены к их картам. В статье осветим эти темы и дадим конкретизированные ответы.
Для бесплатных звонков на территории Российской Федерации предназначен номер 900.
Вы можете расположить автоплатежи в нужном Вам порядке по списку. Для этого перетащите выбранный автоплатеж в любое место в списке. После этого в личном меню автоплатежи будут расположены в заданной Вами последовательности.
Как проверить подписки к карте сбербанк через интернет по номеру карты онлайн
Как узнать подключенные услуги на карте Сбербанка
Обратите внимание, что услуга СМС-банкинга работает абсолютно на всех мобильных телефонах независимо от их модели, дополнительного программного обеспечения устанавливать нет необходимости.
Как Проверить Какие Подписки Привязаны к Карте Сбербанк Через Интернет|как Проверить Подписки на Карте Сбербанка Через Сбербанк Онлайн|отключить Платные Подписки на Карте Сбербанка Как ПроверитьБольшинству клиентов банк предлагает подключить услугу Мобильный банк – это своего рода СМС-банкинг, который позволяет управлять счетом посредством текстовых сообщений. Такая услуга не входит в стоимость обслуживания карты и оплачивается клиентом отдельно. Для клиентов банк предлагает два пакета услуг:
Оператор колл-центра попросит озвучить кодовое слово, которое клиент указывал в момент подписания договора на обслуживание, чтобы идентифицировать личность звонившего.
Как отключить регулярные автоматические платежи с карты Сбербанка: 6 способов
Данный способ актуален только при подключенной услуге мобильного банка, которая позволяет получать смс-оповещения обо всех движениях средств по счету.
Услуга отключена. После этого можно еще раз зайти в Сбербанк Онлайн и убедиться в этом.
Способы отключить автоплатеж или подписку с карты Сбербанка
Вопрос: каким образом мошенники смогли узнать ВСЕ данные карты?
Привет, Пикабу! Снова я пишу пост с кучей вопросов, только не о здоровье, а о деньгах, Сбербанке и мошенниках! Я, конечно, понимаю, что тема заезженная, но я действительно хочу разобраться в том, что произошло вчера с моей банковской картой :/
Для подписчиков и всех, кому интересно, как продвигается мое лечение: отпишу чуть позже, потому что пока всё несколько таинственно и неясно, я, так сказать, в процессе, не переживайте и продолжайте беречь своё здоровье 🙂
У меня глаза по пять копеек. Кто-то пытался с моей карты расплатиться на 840 рублей на Rambler.kassa-2.
Тут следует сказать, что в плане денег и информационной безопасности я слегка параноик. То есть, я тот человек, который тихонечко дергает терминалы за лоток на всякий случай, картой не светит, к WI-FI в метро с телефона не подключается, имеет верификацию через телефонный номер в ВК и на всякий случай длиннющий пароль из 20+ знаков, карта не привязана к PlayMarket’у и так далее. Всякую не вызывающую доверия херню в инете не оплачиваю.
Сотрудница банка так же спрашивала, не было ли чего-то странного, подозрительного, никаких ли смс. Но стандартных разводилок не поступало, да и я в курсе про вот-это-вот-всё, поэтому не вариант. Так что по результату разговора ограничились перевыпуском карты со сменой всех данных соответственно.
Итак, ребята, где может быть косяк?
4. Покупки в день попытки кражи средств.
Уффф. как вы поняли, в день рождения молодого человека, определенно, покупки были.
Первое, с утра сдавала анализы очередные в лаборатории. В ней я уже в прошлом году сдавала тот же анализ крови, и все было тип-топ.
Второе, с утра магазин Лайм, но тут стопудов чисто, супермаркет в моем доме, каждый день что-нибудь покупаю, все окей.
Третье, с утра оплата проездного в метро через терминал в метро. Вот тут тоже не знаю, насколько это безопасная операция, но учитывая вполне допотопный и с виду крайне надежный аппарат. вряд ли оттуда модно выудить инфу по картам.
Четвертое, DNS. За три часа до попытки кражи средств. Покупались две флешки.
Пятое, Буквоед в торговом центре. За 3 часа до попытки кражи средств. Мелкие покупки в виде наклеечек на подарок, брелка для флешек и открытки.
Шестое, за два часа до попытки кражи. Небольшой магазинчик-ларек у дома молодого человека. Впрочем, он там стоит очень давно и там уже с карты покупались всякие мелочи раз 300, и проблем не было.
Ребята, пожалуйста, помогите Даше мне найти мошенника! Точнее понять, где и в какой момент могли быть нагло спизж*ны мои персональные данные. Мало ли вы или ваши знакомые сталкивались с чем-то подобным, и поняли, где косяк? Или вдруг вы просто во всем этом шарите всяко побольше меня?
Уж очень не хочется в какой-нибудь важный момент застрять без карточки и без возможности скорейшего посещения банка за денежкой из-за какого-нибудь мудака, который пытается нажиться за чужой счет.
Хочется оградить себя и своих близких от подобного попадалова, хотя бы за счет информированности.
Заранее спасибо, Пикабу! Всем добра!
для оплаты картой достаточно знать три набора цифр
1) номер карты (напечатан с титульной стороны)
2) срок годности (аналогично)
3) CVV код (три цифры, где роспись)
для карт США/Канады и Западной Европы нужно ее верно указать
5) почтовый индекс и адрес владельца карты
но банки Восточной Европы и Азии игнорируют этот параметр
т.е. транзакция американской карты с вбитым левым адресом банк из США отклонит, а наши банки, если данные вбиты от балды(но номер+дата+CVV указан верно) одобрят.
Дельный совет для Сбербанка:
1) заводите сберкнижку или любой другой текущий вклад(который можно пополнять и снимать без ограничений), БЕЗ привязанной карты, туда переводите ВСЕ свои средства
2) на физической карте стираете или соскабливаете CVV код (три цифры, там где роспись)
эти цифры (если гипотетически захотите платить картой в интернете) запишите где-то, отдельно от карты. а для физической оплаты в терминале магазина они не нужны вообще.
3) для покупок в интернете заведите виртуальную карту (она бесплатная)
Когда решите что-то купить, через Сбербанк Online (сайт банка) тупо переведите с вклада средства на нужную карту. тем самым, даже если данные карты украдут, все равно ни копейки снять не смогут.
Полезно заклеить CVV код, а еще лучше перейти на оплату телефоном
предположительно скомпроментирована карта, а именно cvv код, такое возможно в случае если узнали номер фио дату и cvv, скорее всего кто-то из магазинов, где расплачивались картой.
я бы исключил «считывающую приблуду». она копирует электронные данные карты, но никак не внешний вид. потом это все переписывается на чистую «болванку», как на пикче ниже и уже ей оплачивается. а покупка, как я понял совершалась онлайн на каком-то сайте. да и при снятии денег с карты в банкомате он, думаю, не запросил бы подтверждение
P.S. за шакалов извините
Если пользовались публичным Wi-Fi, то через него могли стырить. Вариантов масса. Не рекомендую вообще привязывать карту к каким либо устройствам.
Так же и комп проверять нужно, могли и оттуда.
Возможно, что какие то окна в браузере пытались вас развести на что-то. Удалите настройки для сайтов и очистите кэш. Закройте на телефоне режим разработчика если открыт.
все начинают думать на хакеров, мошенников, рептилойдов. задумайтесь кому из близких людей могли быть известны данные, а может где то сумочку оставляли (кафе, парикмахерская, больница). обычно все гораздо прозаичнее.
Либо засветились карту, с двух сторон., Либо платили картой на хакнутом либо подложном сайте.
Во-первых, молчащий Аваст вовсе не гарантия чистоты системы. Проверьте на вредоносов чем-нибудь посерьёзнее с максимально параноидальными настройками.
Во-вторых, считать сканером/граббером все данные карты невозможно. CVV, как минимум, надо посмотреть глазками.
Или вам везет или..откуда перевыпуск карты 2-3 дня? У нас карта сберу можно минимум через 8 рабочих получить
Да никак ты уже не найдёшь если идиот не пытался чего-то оплатить на свое имя/мобилу.
насколько я помню некоторое время назад базу сбера ломали и куча данных была свиснута. вот наверное отсюда ноги и растут.
Кодовое слово
Банки просят внести кодовое слово, чтобы удостовериться, что звонящий тот самый клиент. А почему они еще не ввели в обратную сторону на волне мошенничеств? Звонит вам некто, называется сотрудником банка, а вы ему,- «Назовите кодовое слово для подтверждения, что вы банк». И все.
Ответ pobedimow в «Не прокатило»
Безопасность сбербанка
Лазил тут в настройках приложения сбербанка и нашел пункт который включает или выключает иконку сбера у вашего номера что вы являетесь их клиентом. По умолчанию данный пункт включен. Следовательно это наводит на мысль что мошенникам не нужно даже искать ваши данные в каких-либо базах.
Достаточно сохранить номер, зайти в переводы и убедиться что у вас есть сбер онлайн по иконке. Дальше начать переводить деньги и узнать имя и отчество. Нужная информация у нас в кармане. Для ‘промышленных’ масштабов думаю есть и соответствующее ПО.
В общем что-бы лишний раз оградить себя и своих родных от службы безопасности банка зайдите и отключите данную опцию.
ПС если было то сильно не пинайте.
Мошенники?
И глазом не успел моргнуть
Ответ на пост «Осторожно, мошенники воруют деньги с карты»
Друга так же обманули этим летом, с тех пор «курила» инфу об этом очень подробно.
Самую исчерпывающую информацию по этой теме нашла у Сбера, в журнале «СберКлевер». Т.к. ссылки могут посчитать рекламой, перескажу своими словами:
Видели причудливые картоприёмники на банкоматах? Так вот, это не плод фантазии дизайнера-наркомана. Таким образом банк пытается избежать сходства с универсальным считывателем, который могут налепить сверху мошенники.
Благо, как было сказано выше, украсть деньги с чипа или бесконтактного модуля уже не так просто, поэтому там, где это возможно, используйте именно эти способы оплаты.
Не попадайтесь на уловки мошенников!
Осторожно, мошенники воруют деньги с карты
Недавно срочно надо было снять денег ночью. Поблизости было круглосуточное отделение красного банка: зал с банкоматами, чтобы попасть в который нужно провести картой по двери.
Зашёл, снял деньги, сделал свои дела, поехал домой и лёг спать. А наутро увидел кучу push-уведомлений о попытках снятия средств. Думал, что забыл карту в банкомате, но фиг там, она в кошельке.
Позвонил в банк, заблокировал карту. И внимание: по их словам, они не устанавливали на вход в зал замок со считывателем. Потом специально съездил-проверил, нет его там.
Пожалуйста, будьте осторожны!
Пост без рейтинга, оставил комментарий для минусов.
Ответ на пост «Страна должна знать своих героев в лицо или цыгане совсем попутали берега. »
Близится Новый год, началась уже предновогодняя суета. Люди в таком состоянии когда внимание расслаблено, очень удобный момент для разного рода мошенников. Даже у нас на Камчатке, не смотря на отдаленность и изолированность начался «предпраздничный чёс». Цыган на Камчатке видел два раза за всю жизнь в 50 лет, сказывается, что сообщение только самолётом и быстро скрыться не получится.
Сегодня при посещении отделения Сбербанка, цыганка пыталась продать телефон «с коробкой и документами». Отделение большое, есть объёмный предбанник при входе. Сначала по улице рядом толклась, потом в предбаннике обосновалась. Рядом на улице ещё пару коллег её увидел. После устного посыла пыталась ещё огрызаться. Я пошёл к сотрудникам, а у них даже охраны нет. «Мы сообщим о ситуации». К слову приходил в банк снимать крупную сумму денег.
Это я все к чему, будьте бдительны комрады, заботьтесь о своих стариках, детях, предупреждайте.
Сберлогистика: Ничего никуда не отвезём, но деньги возьмём. И посылку возьмём
И что в итоге: я пишу и звоню этим милым и вежливым роботам из сбера, они обещают помочь и очень рады, что я к ним обратилась, но толку от моих и их действий ровно ноль. Я прошу код, чтобы открыть ящик и забрать обратно посылку, обещают прислать через 30 минут. Через час тишина. Через 3 тишина. Я им «Елена, але», они мне «ожидайте».
У меня, конечно, есть универсальный ключ в форме топора, но боюсь, что если я им воспользуюсь, граждане в форме не одобрят, и вместо посылки в путешествие по России отправлюсь уже я. Как мне получить своё отправление обратно?
А, и ещё «Срок возврата не регламентирован, ожидайте СМС»
Я уже молчу о том, что «Возврат денег в данной ситуации не предусмотрен»
Это просто трэш. Цензурных слов нет.
Разоблачение попрошайки в Солигорске
Где деньги, Зин?
Целых два года назад, при проверке баланса на карте, муж заметил наличие покупки на 900$. Полез в детали- оплачена картина в частной галерее в Австралии. Так как ниже экватора мы никогда не опускались, возник вопрос: «Какого буя?» Причём задан он был в мой адрес, как раз в это время мирно бороздящей просторы Амазона. Я поспешила напомнить, что не являюсь ценителем прекрасного на холстах и мой максимум это распознать репродукцию Джоконды, если вдруг мелькнёт на экране. Тогда вопрос был закономерно переадресован банку ибо при покупке пиццы из ближайшей пиццерии на сумму выше 15$ бдительные системы сначала высылают подтверждающий код хозяину счёта, которым надо подтвердить свою покупку. Тут же ни смс, ни кода, ни вопроса «а точно ли желаете» не было. Просто в списке совершенных нами оплат оказалась ещё одна.
После устно выраженного негодования оператору банка, который, кстати, тоже робко предположил «а может жена» (гад), письменно изложенной претензии банку с приложенными распечатками, легкого пинг-понга звонками и электронными письмами, и немногим более месяца томительного ожидания деньги нам все-таки вернули. Кто их снимал, каким образом была обойдена верификация, какой именно образец современного искусства был оплачен и что это за схема мы так и не узнали. Банк считает эту информацию конфидециальной.
Сбер предупредил о новой схеме мошенничества, из-за которой жертва может лишиться жилья
Сбербанк предупредил о новой схеме мошенничества, которая предполагает не только кражу денег с карты жертвы, но и воздействие на человека таким образом, чтобы он закладывал и продавал недвижимость. Об этом сообщил начальник управления противодействия кибермошенничеству Сбербанка Сергей Велигодский в ходе форума AntiFraud Russia 2021.
Ранее сегодня Банк России отчитался о мошеннических операциях за в III квартал, сообщив что за этот период злоумышленники пытались похитить у граждан 3,2 млрд рублей, из них лишь 7,7% удалось вернуть. В прошлом году в III квартале доля возмещенных средств составила 13,1%.
Пост боли и обиды
На рейтинг пофиг, минусуйте. Хочу выговориться.
Не раз находила чужие карты, телефоны. Всегда искала владельца и возвращала. Деньги, выпавшие из карманов, иногда владельцев догонять приходилось)
А сегодня я впервые сама потеряла карту. По дурости положила в карман. И скорее всего, когда доставала перчатки, карта выпала.
Самое обидное, что на карте были деньги, которые занимали у знакомых. Не великая сумма, но крайне сейчас нужная. Потеря обнаружилась поздно, с карты уже всего понакупили.
Вот так вот, вроде стараешься жить по совести, надеешься, что на твоём месте поступят так же. Фигушки. Добро пожаловать в реальный мир.
Что если Яндекс сливает наши личные данные?
Я недавно решил подробнее узнать про Английский от Яндекс практикума. И оставил номер для звонка от консультанта. В это время у меня был включен телевизор и там шел фильм, в котором главного героя звали Прохор, мне показалось очень смешным это имя. И я указал его в графе Имени.
Консультант перезвонил мне через 3 дня. А до консультанта я получил 2 звонка от «службы безопасности Сбербанк», с известиями что с моего счета списывают деньги или я перевожу кому-то деньги и они очень хотят меня уберечь от мошенников. И один звонок от «СБ Альфа-банка» с той же самой проблемой. И все бы ничего, но все эти «представители СБ» называли меня Прохором.
Так же уже спустя месяц получил еще один звонок от Альфа банка и после моего ответа, что меня уже достали службы безопасности и имя Прохор, я был покрыт трехэтажным матом и отправлен в пешее эротическое путешествие. И я не выдержал и написал сюда.
Вот как можно после этого доверять Яндексу?
Электронная подпись: как обходиться без бумаги и при этом не отдать все свои активы мошенникам?
Электронная подпись появилась в России еще в прошлом веке, когда компьютеры были большими, а интернет был по диал-апу. С тех пор применение усиленной электронной подписи (ЭП) расширяется. Её регистрируют как крупные организации, так и совсем небольшие ИП.
После начала пандемии коронавируса случился настоящий бум получений ЭП, ведь иначе бизнес бы встал. В результате за 2020 год было выдано почти вдвое больше сертификатов ЭП, чем в 2019-м. Разберемся, что такое ЭП, почему она так привлекательна для мошенников и как защитить ее от злоумышленников.
ЧТО ТАКОЕ ЭЛЕКТРОННАЯ ПОДПИСЬ?
В этом материале мы говорим об усиленной электронной подписи – идентификаторе человека при дистанционном обмене информацией, имеющем юридическую силу.
Бывает еще простая электронная подпись, подтверждающая, что документ отправил конкретный пользователь. Ее можно сделать с помощью обычных офисных программ, но уровень ее защищенности таков, что всерьез ее воспринимать сложно. Однако простые подписи используются широко. Например, ими незаметно для клиента заверяются все операции по банковским картам. Простая подпись может быть доказательством в арбитражном суде.
Чтобы ввести электронный документооборот, требовался инструмент, одновременно достаточно защищенный, чтобы ему можно было доверять, и достаточно простой, чтобы им мог пользоваться обычный пользователь ПК. Так появилась усиленная электронная подпись.
Усиленная ЭП – это реквизит документа, подтверждающий его авторство и отсутствие изменений в данных с момента подписания. Она защищена криптографическими методами, и взломать ее практически невозможно.
Чтобы подписать документ, нужна пара из секретного и открытого ключа.
Когда человек ставит электронную подпись, алгоритм считает контрольную сумму данных и зашифровывает получившееся значение секретным ключом.
Получатель документа с помощью парного открытого ключа узнаёт, кем именно был подписан документ и проверяет совпадение контрольной суммы. Если после подписи в документе хотя бы переставят запятую или удалят пробел, она будет уже другой. Значит, подпись недействительна.
Из всех ЭП юридической силой собственноручной подписи обладает только усиленная квалифицированная. Чтобы получить ее, нужно, чтобы соответствующий открытый ключ был подписан секретным ключом УЦ.Открытый ключ с метаданными владельца и подписью УЦ и называется сертификатом электронной подписи.
Неквалифицированная подпись используется в основном в деловой среде. Ее может выдать любой удостоверяющий центр (УЦ), в том числе и внутренний УЦ предприятия. Сообщение с неквалифицированной электронной подписью может (по предварительной договоренности сторон и в специально предусмотренных законом случаях) быть приравнено к бумажному документу, подписанному собственноручно.
Квалифицированная подпись по закону считается официальным документом. Она позволяет удаленно работать с налоговой инспекцией, присылать документы в суд – делать все то же, для чего нужна собственноручная подпись. Она подтверждается сертификатом от аккредитованного удостоверяющего центра.
С помощью сотрудников Музея криптографии, который скоро откроется в Москве, мы смогли составить хронологию использования ЭП в России.
1994 – в России принят первый стандарт электронной подписи – ГОСТ Р 34.10-94 (сейчас действуют национальный стандарт ГОСТ Р 34.10-2012 и межгосударственный ГОСТ 34.10-2018)
2002 – вступил в силу первый закон, призванный регулировать использование ЭП – 1-ФЗ «Об электронной цифровой подписи». Он содержал слишком серьезные требования к ЭП и сильно ограничивал возможности по применению электронных документов.
2011 – вышел закон 63-ФЗ «Об электронной подписи», значительно облегчающий ее применение. Это создало основу для перехода к безбумажному документообороту.
2018 – ЭП стала использоваться на портале «Госуслуги»
2019 – появление облачной подписи, которую можно оформить удаленно.
2020 – ключи ЭП можно получать через МФЦ.
2020 – ЭП активно используется в банках для защиты переводов.
Электронная подпись стала по-настоящему доступна. Но так ли это хорошо?
Секретный ключ чужой электронной подписи для мошенников поистине золотой. Имея его, для всего цифрового мира злоумышленник может оставить её настоящего владельца без банковского депозита, бизнеса и единственного жилья.
Самые распространенные преступления с использованием ЭП:
— вывод средств со счетов компании;
— заключение договора дарения или купли-продажи на собственность человека или компании, включая недвижимость и дорогую технику;
— различные манипуляции с организацией: смена руководителя компании, главбуха, других ключевых сотрудников, ограничение доступа организации к госзакупкам и даже ликвидация компании.
Чтобы осознать полный спектр возможностей мошенников, представьте, что вы решили очень сильно навредить собственному материальному положению. Что вы можете для этого сделать? Мошенник с вашим секретным ключом может сделать все то же самое.
Открытый ключ на то и открытый, что давать его можно всем, кому требуется подтвердить вашу электронную подпись. Им можно:
— зашифровать что-то так, что расшифровать сможет только владелец парного секретного ключа;
— проверить подпись, созданную с использованием парного секретного ключа.
Имея доступ к открытому ключу, получить секретный невозможно. Поэтому его можно безопасно предоставлять всем, кому нужно прочитать ваши документы.
УДОСТОВЕРЯЮЩИЙ ЦЕНТР: ЗАЧЕМ ОН НУЖЕН?
На всех сайтах удостоверяющих центров говорится: чтобы получить электронную подпись, нужно получить в УЦ ключевую пару и сертификат. Создается впечатление, что ключевую пару могут сделать только там. Но это а) не так, б) нарушает главное правило работы с ЭП: секретный ключ не должен оказываться в чужих руках. Тем более – в непонятно чьих.
Удостоверяющие центры – это частные организации (порой ИП или вообще частные лица), которые не в полной мере контролируются государством. До 2020 года существовали сотни УЦ, среди которых встречались созданные с мошенническими целями – как раз для кражи секретных ключей. Теперь требования к ним значительно ужесточили, и многие недобросовестные игроки с этого рынка отсеялись. Но все ли? Вряд ли вам хочется проверить это ценой собственной квартиры или бизнеса.
Поэтому если УЦ не аккредитован в Минкомсвязи, с ним можно иметь дело только если:
— это собственный УЦ вашего предприятия;
— он сертифицирует подписи для участия в конкретных мероприятиях (например, в торгах, и тогда УЦ должен иметь аккредитацию не менее чем шести торговых площадок).
Смысл создания аккредитованных УЦ – в дополнительной защите подписи путем сертификации. Сертификат УЦ говорит о том, что его сотрудники удостоверились в том, что конкретный гражданин пришел к ним с паспортом и заявил, что принесенная им ключевая пара принадлежит ему. Для такой идентификации достаточно предоставить в УЦ открытый ключ. Но явиться лично и с паспортом придется. Дистанционные способы подтверждения личности в таком важном деле, как получение сертификата, могут применяться только в исключительных случаях. Если УЦ предлагает такие варианты просто по желанию клиента, возможно, организация настолько же непринципиальна и в других вопросах информационной безопасности.
Кроме выдачи сертификата электронной подписи, УЦ по заявлению владельца может приостановить действие сертификата или отозвать его, и тогда ЭП потеряет силу. Об этом пользователю, имеющему парный открытый ключ, сообщит программа, проверяющая подпись. В сообщении будет сказано: «Подпись верна, сертификат недействителен». Но между тем, как секретный ключ станет кому-либо известен, до тех пор, пока УЦ поместит сертификат открытого ключа в список отозванных, пройдет какое-то время. За этот промежуток злоумышленник вполне может провести операции, которые будут считаться легитимными.
КЕЙС: КАК СДЕЛАТЬ СЕБЕ ЭП
Верный способ защитить секретный ключ от утечек на начальном этапе – сделать на предприятии собственный УЦ. Он не будет аккредитованным, зато вы точно будете знать, кто имеет доступ к настолько важным данным. Приведем кейс от дружественной компании, которая не поленилась немного поработать, и теперь ее руководство спит спокойно. Ну, почти спокойно: инсайдерское в+оздействие (то есть, злой умысел сотрудника) никто не отменял, но это уже другая задача.
Для создания ключевой пары и последующей работы с цифровой подписью мы использовали отдельный компьютер с заведомо «чистой» системой. Мы протестировали несколько систем, и остановились на российском Alt Linux. Для добавления поддержки шифрования и цифровой подписи по ГОСТ в ней оказалось достаточно установить пакет openssl-gost-engine и добавить в начало конфигурационного файла несколько строчек:
В других системах на основе GNU/Linux все тоже заработало, но усилий приложить потребовалось чуть больше. Нам удалось настроить софт для создания ключевой пары под Windows и MacOS, но в этих случаях гораздо острее встает проблема вредоносного ПО, нацеленного на кражу секретного ключа.
После создания ключевых пар мы обратились в аккредитованный УЦ и зарегистрировали их по установленной законом процедуре. Мы предъявили в УЦ открытые ключи и необходимые документы как для физических лиц, так и для организации. Этот этап оказался самым сложным: сотрудники УЦ не сразу поняли, что нам не нужна медвежья услуга по созданию ключевой пары, а достаточно просто подписать уже существующий открытый ключ.
Мы ссылались на ФЗ-63 «Об электронной подписи». В ст. 2 этого закона и во многих других статьях сказано, что сертификат электронной подписи, в том числе квалифицированной, выдает УЦ. Но нет ни слова о том, что УЦ выдает ключевую пару. Сотрудники сначала аргументировали отказ в выдаче сертификата доводами вроде «Ну мы всегда так делали». Но затем они, вероятно, все же почитали закон и посоветовались с юристами. В результате наше законное требование было выполнено, мы успешно избежали навязанной и небезопасной услуги.
С 1 января 2022 года вступят в силу изменения к ФЗ-63, но принципиально поменяется только выбор УЦ, в которых могут получить сертификат руководители предприятий, индивидуальные предприниматели и нотариусы. Список компаний, которые смогут выдать сертификат в таких случаях, будет ограничен УЦ ФНС и организаций, которые налоговая служба сочтет доверенными. Получать ключевую пару именно в них закон по-прежнему не требует.
Как хранить секретный ключ
Ключевую пару можно хранить в специализированном устройстве. Для этого обычно используют рутокен или е-токен. УЦ выдает секретные ключи именно на этих устройствах, но их вполне можно приобрести самостоятельно.
Внешне токен похож на обычную USB-флешку, но внутри содержит не накопитель, а криптопроцессор – устройство, хранящее секретные ключи и осуществляющее внутри себя все необходимые криптопреобразования. Поместить секретные ключи в эти устройства можно, но извлечь их оттуда уже не получится, что обеспечивает дополнительный уровень защиты.
Две главных опасности для секретного ключа – это вредоносное ПО и действия пользователя. Надеяться только на антивирусные программы недостаточно. Важно соблюдать правила:
— не оставлять токен подключенным к компьютеру дольше необходимого;
— не оставлять устройство без присмотра (его нужно всегда иметь при себе или хранить в сейфе);
— ни в коем случае не помещать секретный ключ в облачное хранилище и вообще не использовать для его хранения Интернет.
ЭП: ТЕХНИКА БЕЗОПАСНОСТИ
1. Изучите компьютерную грамотность сами и обучите ей сотрудников или родственников! Антивирусы – это хорошо, но лучшая защита пользователя от кибермошенничества – его собственная голова. Люди, которые могут хотя бы подойти к вашему компьютеру, должны знать, что такое фишинг, как отличить настоящий сайт от подделки и почему нельзя открывать все ссылки подряд.
2. Поддерживайте антивирусную защиту актуальной! Самый распространенный способ «украсть ЭП» (а точнее секретный ключ) на сегодня – зловредные программы, которыми преступники заражают компьютеры.
3. Не используйте токен на компьютере, в защищенности которого вы не уверены.
4. Ключевую пару можно и нужно создать самостоятельно.
5. Не пользуйтесь услугами неаккредитованных удостоверяющих центров, если это не ваш собственный УЦ.
6. Секретный ключ, в том числе содержащий его токен, нельзя передавать никому. Даже родным и близким. Сотрудникам, которые имеют право подписывать документы, сделайте их личные ключи.
7. Паспортные данные и тем более сканы документа должны храниться максимально надежно. Нельзя размещать их в Интернете, даже в якобы безопасных хранилищах. Если при получении какой-либо услуги вместо паспорта допустимо предъявить другой документ, так и поступите. Иначе есть риск обзавестись неучтенной цифровой подписью.
8. Установите пароли на токен и компьютер. Пароль должен иметь достаточную длину и содержать как буквы в разных регистрах, так и цифры со спецсимволами. Еще лучше использовать ключевую фразу (passphrase): это набор слов, разделенных цифрами или спецсимволами. Например, 1k*СпОc0бОв/=\zaS4itit`+token|_|. Его придется выучить наизусть. Записанный на бумажке, даже самый сложный пароль теряет смысл. Достаточно один раз забыть такой листок на столе – и в лучшем случае просто придется заказывать новую подпись.
9. Не храните незащищенный секретный ключ на жестком диске компьютера.
10. Если вы – руководитель, и у ваших подчиненных есть ЭП, дающая право подписывать документы от имени предприятия, при увольнении сотрудника отзывайте его подпись даже раньше, чем он получит расчет.