Простая, да непростая! Как защищена простая электронная подпись

Простая, да непростая! Как защищена простая электронная подпись

Последнее время в СМИ часто пишут о квантовых компьютерах для взлома шифрования, о постквантовых алгоритмах, на которые в связи с этим нужно срочно переходить. А ещё об импортозамещении алгоритмов шифрования, бэкдорах и уязвимостях, исправленных в популярных криптобиблиотеках. Но вот тему простой электронной подписи (ПЭП) почему-то обходят вниманием.

Между тем ПЭП далеко не так проста, как кажется. Более того, некоторые способы её применения критически небезопасны. В статье рассмотрим связанные с ПЭП угрозы и выясним, существуют ли способы устранения этих угроз.

Что такое ПЭП?

В соответствии с Федеральным законом № 63-ФЗ «Об электронной подписи», простой электронной подписью считаются СМС-коды, одноразовые пароли, переданные по электронной почте или полученные через TOTP-приложения. С их помощью можно открывать счета в банках, подписывать договоры, оформлять кредиты, менять параметры в профиле на Госуслугах и совершать множество других юридически значимых действий. 

Это удобно для банков и других организаций, удобно для людей, которым не требуется никаких усилий, чтобы получить желаемое. Но вот о безопасности совершаемых таким образом юридически значимых действий не позаботились. Оговорку «никому не сообщайте этот код» в сообщениях с кодом вряд ли всерьёз можно назвать заботой о безопасности. 

Циферки — это несерьёзно

Большая часть людей при использовании ПЭП не осознают в полной мере, что совершают юридически значимое действие, равнозначное подписанию договора. Банк просит ввести номер телефона и прислать код для регистрации? Без проблем. Нужен код для выпуска карты? Вот он, пожалуйста. Почему так?

Всё просто. Несколько циферок, которые пришли по СМС в открытом виде, не воспринимаются как что-то важное. Сообщение с ними теряется среди рекламы магазинов, сообщений от МЧС и прочих уведомлений, которые мы привыкли игнорировать. Разве может там быть что-то серьёзное?

Вот если заставить человека поставить три подписи на бумажном документе, да ещё повторить это на 20-30 листах, он волей-неволей соберётся и попытается осознать происходящее. Даже токен с ЭП, который требуется вставить в USB-порт, выглядит как что-то достойное внимания. А циферки в СМС — ввёл и забыл.

Вездесущие коды

Катализатором легкомысленного отношения к ПЭП становится повсеместное использование номеров телефонов и цифровых кодов для регистрации на различных платформах и сервисах.

Хотите зарегистрироваться в Telegram или VK? Номер телефона и код, пожалуйста. Можем прислать в СМС или позвонить вам, назовите четыре последних цифры номера.

Двухфакторная аутентификация, включённая на многих платформах по умолчанию, также требует ввода кода. Входите в аккаунт с нового устройства? Мы отправим вам код, укажите его, пожалуйста.

Что в итоге? А в итоге происходит путаница. Люди не различают коды для аутентификации и ПЭП. Ведь отличий между ними, откровенно говоря, никаких нет. Что там, что тут — просто циферки. Для подтверждения личности, для подтверждения действия.

Простота превращается в угрозу. Привычка послушно вводить код везде, где его просят, рано или поздно приведёт к печальным последствиям.

Чей номер?

Попробуйте провести эксперимент. Попросите друга или родственника оформить на себя номер телефона и отдать его вам. Затем воспользуйтесь этим номером, чтобы открыть счёт в банке на своё имя. Получилось? Практически не сомневаюсь, что всё прошло успешно.

Теперь вы можете совершать финансовые операции в этом банке и подписывать их с помощью ПЭП. А приходят эти коды на номер телефона, который вам не принадлежит. Теоретически владелец этого номера может сделать замену сим-карты, а затем воспользоваться ей, чтобы получить доступ к вашим счетам. В банке, который не проверяет, кому принадлежит номер, указанный клиентом при открытии счёта.

Стоит уточнить, что сейчас операторы связи при замене сим-карты на сутки блокируют входящие СМС «для безопасности». И разумеется, в большинстве случаев эта «безопасность» лишь доставляет неудобства легальному владельцу номера.

Ещё один неочевидный момент, связанный с ПЭП и телефонными номерами — это номера, которые операторы сотовой связи повторно выставляют в общий доступ. Так происходит с номерами, отключёнными из-за неактивности (через 150 дней) или при закрытии договора по инициативе владельца (через 60 дней).

Получив такую сим-карту, злоумышленники могут проверить, остался ли этот номер телефона привязанным к аккаунтам предыдущего владельца на Госуслугах, в онлайн-банках, маркетплейсах и на других платформах.

Обнаружив совпадение, они могут воспользоваться этой информацией, чтобы оформить кредит на предыдущего владельца сим-карты или похитить деньги с его счетов.

Почему это возможно? Потому что ПЭП подтверждает юридически значимые действия (перевод денег, оформление кредитной карты), а банки не проверяют, кто является владельцем номера, на который отправляют коды простой электронной подписи.

Возникает вопрос: а насколько вообще юридически корректна ситуация, когда при регистрации нового клиента банки принимают его номер телефона без проверки владельца? Ведь получение отправленного СМС-кода вряд ли можно назвать проверкой. Почему законодатели обходят вниманием этот вопрос в процессе борьбы с «дропами»?

Текст против подписи: неравный бой

Ещё одна проблема ПЭП связана с тем, что пользователь не видит или не смотрит, что именно он подписывает. И происходит это не потому, что ему не предлагают прочитать документ, а потому, что читать его неудобно, некогда или банально лень. На мобильном устройстве нам предлагают открыть pdf-ку, изучить написанный мелким шрифтом текст… Вспомните, как часто вы детально изучаете все эти электронные договоры и соглашения.

В случае с бумажными документами мы имеем текст, под которым ставим подпись. С усиленной квалифицированной электронной подписью (УКЭП) ситуация аналогична: мы видим документ и подписываем конкретно его.

А что с ПЭП? Где гарантия, что код, который вы вводите, подтверждает именно то действие, о котором вы думаете? Возьмём текст СМС-сообщения «Код 5503 для подтверждения покупки PG*Avito Dostavka. Никому его не говорите». Здесь нет суммы покупки, которую подтверждает код. В итоге пользователь опирается только на контекст — если он в этот момент что-то покупает, то полагает, что код относится к этой покупке. Но так ли это на самом деле?

Технически ничто не мешает системе запросить у вас код для одной операции, а использовать его для другой. Предположим, к вам на телефон пробрался какой-нибудь вредонос, который подменяет текст СМС-сообщений с подтверждениями. Вы думаете, что подтверждаете перевод 1000 рублей другу, а система использует ваш код, чтобы подтвердить кредит на миллион рублей. Доказать потом, что вы не подтверждали его, будет крайне сложно, ведь формально ПЭП получена.

«Рыбалка» на доверчивых

Отдельная категория угроз связана с социальной инженерией. Мошенники активно эксплуатируют привычку людей вводить коды подтверждения. Они звонят, представляются сотрудниками банка, службой безопасности, полицией и под различными предлогами выпрашивают код из СМС.

«На ваше имя пытаются оформить кредит, мы его заблокировали, но для окончательной отмены нужен код, который мы вам отправили» — типичный пример такой манипуляции. Человек получает настоящий код от реального банка (по инициативе мошенника, который начал процедуру оформления кредита) и, не задумываясь, сообщает его звонящему.

Результат? Кредит оформлен, деньги переведены мошенникам, а гражданин остаётся с долгом и испорченной кредитной историей. При этом формально всё сделано по закону — ведь подпись (ПЭП) действительно принадлежит жертве.

Есть ли выход?

Возможно ли сделать ПЭП более безопасной без потери удобства? Разумеется, да. Можно предложить несколько мер.

Контекстные коды. В СМС должно явно указываться, для чего именно предназначен код. Не просто «Ваш код 123456», а «Код 123456 для подтверждения перевода 1000 руб. на счёт Иванова И. И.». Многие банки и сервисы уже рассылают именно такие СМС, но пока не все.

Проверка владельца телефона. Банки могут и должны проверять, действительно ли номер телефона принадлежит тому человеку, который его указывает. Например, через ЕСИА (Госуслуги) или путём запроса у операторов связи.

Специальные приложения для ПЭП. Вместо СМС можно использовать защищённые приложения, которые показывают детали подписываемой операции и требуют дополнительного подтверждения (например, отпечатком пальца).

Образовательная работа. Банки и государство должны проводить кампании по повышению цифровой грамотности населения, объясняя, что такое ПЭП и какие риски она несёт.

Законодательное ограничение. Возможно, стоит ограничить список операций, которые можно подтверждать с помощью ПЭП, исключив наиболее рискованные (например, оформление кредитов). Работы в этом направлении уже проводятся. Тот же самозапрет на кредиты — вполне эффективная мера. Но, к сожалению, её можно обойти с помощью социальной инженерии. Например, убедить жертву снять это ограничение.

Исключить слабое звено. Полностью отказаться от СМС для рассылки кодов ПЭП и от идентификации человека по номеру телефона. Перехват СМС с помощью вредоносного ПО и социальной инженерии, нелегальные замены сим-карт и использование чужих номеров в качестве контактных для доступа к банкам и другим сервисам —  это не просто гипотетический недостаток, а вполне реальная и чрезвычайно опасная архитектурная уязвимость.

Ответственность на плечах пользователя

Пока все эти меры не внедрены повсеместно, ответственность за безопасность ПЭП лежит на плечах пользователей. Проявляйте бдительность при получении кодов, никому их не сообщайте, внимательно читайте текст СМС-сообщений.

Если вы меняете номер телефона — обязательно отвяжите старый от всех сервисов, где он использовался для ПЭП. Если потеряли телефон — немедленно блокируйте сим-карту.

Помните, что ПЭП — это не просто набор цифр, а полноценная юридически значимая подпись. Относитесь к ней с тем же вниманием, с каким относились бы к своей рукописной подписи под важным документом.

К сожалению, сегодня мы наблюдаем парадоксальную ситуацию: с одной стороны, законодатели и финансовые регуляторы ужесточают требования к идентификации клиентов, а с другой — сохраняют юридическую значимость инструмента, который не обеспечивает даже базового уровня защиты. Пока этот парадокс не разрешён, каждый из нас должен самостоятельно заботиться о своей безопасности в цифровом мире.