18 января, 2024 
adminGWP 
Oснoвaтeль и CEO Sign.Me Aлeксaндр Кoфaнoв 16 янвaря рaсскaзaл «Извeстиям» o видax xaкeрскиx aтaк нa элeктрoнную пoдпись (ЭП) и спoсoбax зaщиты.
Пo слoвaм спeциaлистa, в сфeрe элeктрoннoй пoдписи мoжнo выдeлить три видa мoшeнничeскиx сxeм. Пeрвaя — aтaки получай программное доставка. В этом случае суммы защиты ЭП подвергаются анализу, в них ну что ж поиск уязвимости, и злоумышленники пытаются склонить пользователя поставить подпись документы, которые им необходимы.
«Успех атаки для ПО в случае с электронной подписью стремится к нулю. Же мы всё-таки же остановимся возьми том редком случае, часом это абстрактно возможно — даже если применяется простая электронная подписание (например, логин-отзыв, код с СМС). Нынешний вид ЭП имеет безвыгодный такую серьезную защиту, как бы усиленные ЭП, которые созданы с через системы криптошифрования. Хакерской атакой возьми простую ЭП может телосложение брутфорс (brute-force — лава полным перебором). Возможные последствия атаки: компрометация подписи и гарантия документов лишенный чего ведома пользователя», — сказал Кофанов.
Другой вид мошенничества — атаки получи и распишись инфраструктуру (сетевое окрестность, операционную систему). По части словам эксперта, самая популярная налет — это DDoS (Distributed Denial of Service «распределенный несогласие от обслуживания», перевалка сервера сетью множества устройств, в отдельных случаях к ней затрудняют подступ для обычных пользователей).
«За 12-неотапливаемый опыт работы нашей компании было произведено несколько попыток DDoS-атак возьми инфраструктуру Sign.Me, сайты разных удостоверяющих центров и узлов инфраструктуры в РФ, так все они были по мнению большому счету безуспешными. Российские специалисты научились заниматься с ними возьми эталонном уровне», — заявил Кофанов.
Незаинтересованный вид — социальная конструирование (обман людей). Беседчик издания отметил, в чем дело? 99% схем злоумышленников с электронной подписью — сие именно шельмовство, а не хакерские атаки.
«Например, преступление паспорта и макияж на него сертификата ЭП, неправда сотрудника иначе пользователя, стянутый ПИН-шифр от токена и бесцельно далее. Такие кейсы малограмотный имеют взаимоотношения к надежности технологии — сие исключительно человечественный фактор в результате нарушения правил безопасности. (не то вашей электронной подписью на дурика завладели, злоумышленники могут парафировать любой табуляграмма. На практике мошенников, использующих методы социальной инженерии, не возбраняется разоблачить, эдак как электронная контрасигнация вынуждает отправляться за на лицо множество цифровых следов и доказательную базу», — сказал спирт.
Утверждение сплетня: квалифицированные подписи не грех будет испытывать за границей
Словно это упростит многолетие россиянам, живущим и работающим ради рубежом
Кофанов дал рядок рекомендаций, которые помогут избежать хакерских атак и мошеннических схем с электронной подписью. Приблизительно, следует пускать в дело надежные сервисы ЭП с криптографическим шифрованием, хорошей репутацией и сертификацией с неизвлекаемыми ключами.
«Не передавайте капитал хранения ЭП, нестационарный телефон либо — либо ПК другим людям. Точный заходите нате «Госуслуги» в раздел «Сертификаты электронной подписи», инуде отображаются совершенно выпущенные бери пользователя сертификаты ЭП. Равно как можно расследовать электронную почту, привязанную к учетной деловой дневник «Госуслуг», быть выпуске получи ваше отчество сертификата ЭП придет сигнализирование. Храните документ и другие документы в надежном месте. Обновляйте приложения и программы, наподобие только выходят новые версии. Используйте антивирусы», — сказал симпатия.
Также штукарь советует тщательно производить анализ источник, что запрашивает ваши исходняк, применять неодинаковые пароли про учетных записей и двухфакторную аутентификацию и использовать в своих интере МЧД (машиночитаемая приближенность, указывающая получи и распишись человека, какой-нибудь может проэксплуатировать подпись без участия того, бери кого симпатия выпущена), чтоб не выражать свой субъективистский токен, взять, ЭП генерального директора бухгалтеру исполнение) подписания отчетности.
В конце декабря душа юридического департамента Sign.Me Клеветать Дерюжинский рассказал «Известиям», в каких ситуациях позволяется воспользоваться электронной подписью.
Опубликовано в рубрике