В мае этого года на Хабре публиковалась новость о том, что у москвича отняли квартиру обманным путем. Используя поддельный электронный ключ, некий злоумышленник переоформил недвижимость на себя. После разбирательств оказалось, что житель Москвы по имени Роман просто подарил свою квартиру жителю Уфы, подписав все необходимые документы дистанционно.
В Гражданском кодексе РФ указано, что квалифицированная электронная подпись является аналогом обычной подписи в тех случаях, которые предусмотрены законом. И благодаря этому моменту злоумышленники стали использовать поддельные электронные ключи для мошеннических сделок. Но сейчас, кажется, ситуацию стали понемногу исправлять: владельцу квартиры в Москве удалось ее вернуть через суд.
Решение о возвращении квартиры было принято Бабушкинским районным судом Москвы. Жилье расположено в Бабушкинском районе, оно досталось пострадавшему по наследству.
То, что владелец квартиры уже таковым не является, удалось узнать совершенно случайно — на очередной квитанции за коммунальные услуги был указан другой человек. Как оказалось, дарственная на квартиру была оформлена в октябре 2018 года, причем для его подтверждения использовались электронные подписи. «Он может теперь (он или кто-то другой), как мне сказали, сейчас опять продавать мою квартиру через интернет. Заказал справки, вот эта выписка из ЕГРН, в которой указано, что 22 октября 2018 года я подарил квартиру этому господину», — говорит Роман.
Владелец квартиры подал исковое заявление, в котором пояснил, что не оформлял электронную подпись. Ответчиком в разбирательствах стал человек, на которого переоформили квартиру. Стоит отметить, что ответчик в суде заявил, что о произошедшем ему ничего не известно.
Позже стало известно, что мошенничество с электронными ключами стало первым преступлением такого рода, которое зарегистрировано в России. Самое интересное то, что ни одна из сторон не оформляла электронный ключ. Электронные подписи подделали злоумышленники, они же и заверили документы, которые нужны для передачи прав на недвижимость, чтобы можно было удаленно управлять такой собственностью.
После разбирательств с участием чиновников президент РФ Владимир Путин подписал 2 августа закон, согласно которому операции для сделок с недвижимостью должны сопровождаться использованием усиленной квалифицированной электронной подписи. Новый законопроект добавил поправки в закон «О государственной регистрации недвижимости».
С 13 августа закон вступил в силу, после чего удаленные операции с недвижимостью были отключены по дефолту — для их использования нужно подать заявление, причем в письменном виде. Подавать документ должен владелец недвижимости.
Процедура не такая и простая — собственник квартиры или дома должен подать в регистрационный орган заявление на бумаге, выражая согласие на применение электронной подписи при проведении сделок с его недвижимостью, что подразумевает переход права собственности к другому лицу. Ну а после подачи заявления в ЕГРН (Единый государственный реестр недвижимости) вносится специальная метка, благодаря которой владелец может совершать различные операции с недвижимостью без необходимости личного присутствия.
Без заявления в письменном виде заключить подобную сделку удаленно нельзя. Это касается, в частности, операций, когда обе стороны подписали документы электронными ключами, но без отметки в ЕГРН.
После подачи заявления и его одобрения отметка должна появиться в течение пяти рабочих дней. При желании можно дать обратный ход, т.е. подать заявление на отмену удаленных операций с недвижимостью. В этом случае проведение сделок в удаленном режиме будет снова запрещено.
Ранее в РФ зарегистрировали несколько способов мошенничества:
- Незаконные действия через центры сертификации РФ, в том числе оформление документов без участия гражданина. Выявлены случаи массовой фальсификации ЭЦП путём повторного использования удостоверяющим центром электронной подписи клиента.
- Дистанционный выпуск квалифицированного сертификата без личного контакта заявителя и сотрудника регистрационного отдела удостоверяющего центра. В этом случае оформление электронной подписи производится на основании документов заявителя, представленных центру сертификации через интернет. По мнению специалистов правовой системы «Гарант», в этом случае «IT-функции в деятельности УЦ преобладают над его юридической сущностью», а электронная подпись может быть использована недобросовестными третьими лицами.
Скорее всего, злоумышленники смогли дистанционно выпустить квалифицированный сертификат, хотя это и незаконно. Как выяснилось, далеко не все УЦ (удостоверяющие центры) внимательно относятся к процессу выдачи квалифицированного сертификата. Ну а поскольку по всей России работает около 500 таких центров, то некоторые из них соглашаются оформлять электронную подпись через интернет, без личного присутствия заявителя. Далеко не всегда представители УЦ требуют личного предъявления паспорта, поскольку в законодательстве способ предоставления заявителем документов не указывался.
«Теоретически можно допустить, что там произошёл какой-то сговор с сотрудниками какого-то удостоверяющего центра, их достаточно много, их сотни по России, и что они мошенническим путем как-то завладели копией паспорта на его имя, выдали документы, то тогда эта сделка могла бы произойти», — заявил Максим Эмм, эксперт в области информационной безопасности и технологий.
Комментарии (31)
numitus2
07.10.2019 22:34+20А сотруднику который выдал эту подпись впаяли уголовку? А не мешало бы. Как и тем сотрудинкам, кто выдает дубликат сим карты. Это просто жесть какая-то.
edogs
07.10.2019 22:47+1Нам почему-то кажется, что сотрудник следовал должностным инструкциям. В таком случае надо сажать директора/владельца конторы который создавал оные, а не непосредственно выдающего сотрудника.
p.s.: Получали эцп с год назад — не вдаваясь в подробности — не было никакой проблемы получить подпись «за того дядю»©ProLimit
08.10.2019 11:17+4Очень сомневаюсь, что в должностных инструкциях было разрешено выдавать подпись без личного присутствия. Проверка личности — это же основное, ради чего существуют УЦ и получают свою прибыль. Другое дело что могли быть негласные распоряжения или просьба начальника, и тогда нужно искать виновного в рамках уголовного дела, как минимум возможность лишить центр лицензии и наложить ощутимые штрафные санкции.
Sabubu
08.10.2019 01:03+1Этот сотрудник не ходил на митинги, не держал плакатов и не стоял с телефоном у метро во время митинга. За что вы этому достойному порядочному человеку хотите повесить уголовку, злодей?
Ну и как я понял из новости, защитили только сделки с недвижимостью, а все остальные виды
мошенничествасделок по прежнему возможны.
Ну и дополнить статью наверно можно статьей Фонтанки, как они получили подпись на имя своего начальника без его участия.
iig
08.10.2019 09:36"А сотруднику который выдал эту подпись впаяли уголовку?"
На основании чего? Готов поспорить, что всё сделано четко по инструкции. Надо спрашивать с тех, кто построил косячную (в юридическом смысле) механизму с выдачей и использованием подписи.
TimsTims
08.10.2019 09:48Сложно доказать, был ли там сговор(выдача ЭЦП без документов), либо халатность (предоставили фальшивый паспорт), либо там оказался поддельный паспорт высокого качества(зовите ФСБ), который даже сотрудник УФМС не опознает.
Ясное дело, что кто-то виноват и должен быть наказан, но это не должен быть первый попавшийся человек.
edogs
07.10.2019 22:34+5Заголовок "Россиянину, у которого украли квартиру при помощи поддельной электронной подписи, удалось вернуть недвижимость"© несколько искажает реальное положение дел.
Учитывая то, что "ответчик в суде заявил, что о произошедшем ему ничего не известно."©, по сути конфликта сторон не было и они просто заглянули в суд что бы отменить сделку, а не так что «боролся боролся и победил».
Интересно на ком повиснет госпошлина.
p.s.: Ссылка на дело, решение пока не выложено.numitus2
07.10.2019 23:11А разве чтобы признать сделку незаконной достаточно желания 2 контрагентов?
edogs
07.10.2019 23:26+4Из статьи известно лишь что «квартиру он вернул». На каком основании — в статье не сказано. Возможно незаконность вообще в итоге не затрагивалась. Надо ждать пока появится решение — тогда будет понятнее.
Если все стороны говорят что дарение не совершали, то для отмены вообще ничего не нужно, кроме их согласия — могли бы даже в суд не ходить.hippohood
08.10.2019 14:01Поскольку получатель не является близким родственником, то должен был налог заплатить. Так что в этой сделке ещё неявно государство участвует. Это получателю повезло что невольный даритель вовремя спохватился — как я понял сразу после получения странной квитанции. Так бы узнал через год что он/а получил квартиру и подарил кому-то, а налог остался должен
iig
07.10.2019 22:36+7То есть электронная подпись через суд признана недействительной, но невозможно найти ни сотрудника, который её выпустил, ни даже офис, в котором ее выпустили. Чудеса.
VIPDC
08.10.2019 11:35+1электронная подпись через суд признана недействительной
Вот пока решения суда нет, даже это утверждать нельзяhippohood
08.10.2019 14:02Как я понял просто сделку отменили по соглашению сторон. Если бы ответчиком был добросовестный покупатель, который деньги заплатил мошенникам, то вряд ли можно было так просто все решить
iig
08.10.2019 14:31сделку отменили по соглашению сторон.
Тоже неплохо.
Пострадавший (счастлив, что легко отделался) — претензий не имеет.
Какой-то левый мужик, который чуть не стал богаче, но не фартонуло— тоже претензий не имеет.
Судья: ну, на нет и суда нет.
Oval
07.10.2019 22:59+2Процедура не такая и простая — собственник квартиры или дома должен подать в регистрационный орган заявление на бумаге, выражая согласие на применение электронной подписи при проведении сделок с его недвижимостью
Вот это защита так защита. Даже квантовому компьютеру не под силу ее пробить.
xDimaRus
07.10.2019 23:29Отличная статья на техническом ресурсе. То подпись подделали то выпустили ключики на граждан без их ведома. Это два кардинально разных вектора атаки. Вы бы уж определились либо с одним либо с другим и поправили.
Как я понял все-таки имело место второе. А в мире власть имущих предпочли усилить саму подпись. Интересное решение.
Любопытно планируется ли РПЦ предоставление услуги окропления СКЗИ?
saipr
08.10.2019 01:20Выявлены случаи массовой фальсификации ЭЦП путём повторного использования удостоверяющим центром электронной подписи клиента.
Неоднократно писал и сново пишу (безграмотность надо ликвидировать). Нельзя использовать повторно какую-либо электронную подписи клиента, каждая подпись УНИКАЛЬНА и она привязана к конкретному документу и в идеале ко времени подписания (об этом чуть ниже). Можно украсть закрытый ключ и его использовать для подписания непровомерных актов/документов.
Теперь о привязке электронной подписи ко времени ее проставления искренне верил, что у нас в госорганах используется подпись формата Cades-XLT1, когда используется и штампы времени и OCSP и CRL. Ан хвать, нет. Волей судеб я сейчас овормляю дачный домик в рамках дачной амнистии. На участок приехали кадастровые инженеры, провели замеры, и в конце сказали, что все выдадут в электронной виде с электронной подпись. Все это я отдам в МФЦ и получу бумаги. Стало интересно, электронная подпись добралась до меня. И прежде чем идти в МФЦ, я решил посмотреть, на электронную подпись и сертификаты подписанта. Для этого я воспользовался утилитой cryptoarmpkcs:
Здесь же я посмотрел сертификат инженера:
К сертификату притензий нет. А вот подпись меня очень удивила (смотреть первый скриншот) — она была формата Cades-B, а это означает по крайней мере невозможность проверить дату подписания документа, да и валидность сертификата на момент подписания. По моему разумению подпись Cades-B хороша для корпоративного документооборота или контроля целостности, но в юридических делах это чревато. Кстати, многие средства проверки подписи проверяют только математическую подпись.
newartix
09.10.2019 09:01.
saipr
09.10.2019 09:27сам ключ подписи невозможно копировать? то есть выпустить два USB свистка с одинаковым содержимым?
Если ваш ключ хранится не на токене PKCS#11 с поддержкой режима неизвлекаемости ключа, то нельзя скопировать. Если вы ваш USB-свисток храните надежно и не афишируете пароль к нему, то трудно скопировать ваш закрытый ключ.
emusic
11.10.2019 11:36+1Дело в том, что корректная процедура создания сертификата (когда закрытый ключ создается исключительно на стороне держателя, его пароль вводится через защищенную клавиатуру, и сертификат записывается в неизвлекаемом режиме) нарушается в УЦ сплошь и рядом.
Многие УЦ ничтоже сумняшеся генерируют закрытый ключ сами, а на вопросы о безопасности такого подхода наивно отвечают «у нас все надежно». :) А там, где ключ генерируется держателем, пароль чаще всего предлагают набрать на обычной клавиатуре, и далеко не каждый его потом меняет.
Ну и большинство контейнеров, сертифицированных по ГОСТам, не требует неизвлекаемости.saipr
11.10.2019 14:47Вы абсолютно правы, но
Ну и большинство контейнеров, сертифицированных по ГОСТам, не требует неизвлекаемости.
Тут пользователь сам должен думать о том, где хранить да и где генерировать сертификат.
А в остальнлм, особенно про УЦ, вы абсолютно правы!
polar_yogi
08.10.2019 11:02Выявлены случаи массовой фальсификации ЭЦП
Точнее сказать — массовые случаи незаконной выдачи удостоверяющими центрами квалифицированого сертификата посторонним лицам.
Я сталкивался с подобными случаями
Гражданину повезло, что у него ничего не заблокировали, за тот год, пока он пытался вернуть квартиру. И, любопытно, в какую сумму ему обошлись юридические услуги.
В своей заметке я писал о двух случаях сдачи поддельной бухгалтерской отчетности по незаконно выпущенному сертификату, по итогам которых требовалось выплатить сотни тысяч НДС. Разбирательства долгие, и пострадавший виновен пока не доказано обратное.
В одном из случаев были (одновременно) написаны заявления в: УВД, прокуратуру, налоговую и министерство цифрового развития. УВД и прокуратура после разбирательства отправили документы в налоговую для «ответа по существу». Налоговая рекомендовала обратиться в министерство цифрового развития. Министерство цифрового развития прислало пару листов цитат из законодательных актов и рекомендовало (если вы считаете что ваши права нарушены) обратиться в МВД и прокуратуру.
К заявлениям были приложены копии документов, использованных УЦ для выдачи сертификата, в т.ч. копия поддельного паспорта. Даже проверки УЦ проведено не было.
LevOrdabesov
08.10.2019 11:07на очередной квитанции за коммунальные услуги был указан другой человек
Вот эта подробность смущает. Лично видел квитанции на человека 10 лет как умершего. Годами не интересоваться, не сменился ли субъект – нормальная практика. А тут такая расторопность.balamutang
08.10.2019 11:30Дык умерший документы в управляющую компанию не понесет, а из УФМС информация туда не прилетает. Я год назад купил квартиру, прописался, а квитанции полгода так и шли на старого собственника, пока не сходил в УК и не показал документы. После этого пришлось с бумажками из УК в энергосбыт, газовщикам и в фонд капремонта сходить, тк им инфа из УК не указ, а требуется перезаключение договора (хотя водоканал и теплосети например проглотили и так). В общем в этой части есть знатный бардак.
Я так понимаю мошеннику нужны были какие-то доки от УК, где те все переоформили заодно — поэтому и сменился собственник в квитанциях. Будь построено мошенничество как-то иначе — то хозяин узнал бы только тогда когда его выселять уже приехали новые «добросовестные приобретатели». Например если бы квартиру в залог под кредит оформили
o-ranger
08.10.2019 11:56так а что вас смущает? что собственник заметил смену имён в своей квитанции?
hippohood
08.10.2019 14:25Что фамилия на квитанции сменилась: как правильно пишут выше, обычно для этого ещё побегать надо переоформляя договоры. Я думаю была задолженность по налогу на недвижимость, и со сменой собственника ему автоматически выслали платёжку. Или может у них ТСЖ такой организованный.
Но я даже скажу что очень многие люди и не стали бы выяснять что не так с платёжкой, про крайней мере не сразу.
Злоумышленники хорошо организованы — провели качественный пилот, выяснили возможные проблемы, вместо того чтобы сразу обналичить свой успех. Думаю, следующим шагом они бы оформили залоговый кредит или ещё одно дарение (люмпену с паспортом) с последующей продажей за наличные. Или сразу бы замутили штук 50 таких сделок по всей стране в течении одного месяца. Так что респект внимательному дяде.
balamutang
08.10.2019 16:15Тут еще вариант с пропиской может быть. Прописаться можно как напрямую в ФМС, так и через МФЦ (как я) или через УК (последние двое все равно твои доки в ФМС потащат, но хотя бы в очереди сидеть не надо).
И при прописке через УК квитанции у водоканала/лифта/теплосетей поменялись бы сразу, т.к. они сразу бы у себя в базе это поправили.
Может злоумышленники дрогнули пойти в ФМС (читай в ОВД) и МФЦ (где левая ЭЦП могла бы всплыть) и пошли в УК (считай частная лавочка со скучающими женщинами), где и спалились уже на квитанциях.
Fragster
08.10.2019 15:43Реестр ЭЦП на госуслугах + уведомление о появлении новых и их активация через них же могут частично решить проблемы.
melodyn
То есть ЭП будут продолжать выпускаться и любые другие дела по ним продолжат проворачивать? Или, всё же, процедуру выдачи ЭП будут доводить до ума вместо возвращения к бумажной волоките.
PS
Вроде, ещё "Рога и копыта" через ЭП с долгами вешали на людей. Не могу найти новость, может, не на Хабре было.
tulevaisuus
На Хабре тоже было.
halted
Имхо, усиленная ЭЦП отличается тем, что имеет такую же юридическую силу как печать и подпись. Вот ее-то и порезали в процедурах с недвижимостью, а обычной хватает на получение справок и другие некритичные процедуры. Помнится, что и фирму без личного визита открыть не получится, как минимум в банк для открытия счета надо заявляться лично и даже доверенность не прокатывает, а значит без сговора подобные вещи невозможно сделать.