Осторожно, мошенничество: подделать ЭЦП? Лёгко!

В последнее время участились попытки мошеннических атак на бизнес, а именно с воровством электронных подписей. Об этом рассказывает vc.ru. Передаём слово Оксане Жолудевой, руководителю департамента комплексного сопровождения бизнеса МЦОБ, которая проиллюстрирует историю своим свежим кейсом.

Пожинаем плоды автоматизации. Спасибо Tardis!

Мы предотвратили мошенническую атаку на бизнес нашего клиента, благодаря регулярным автоматическим сверкам по задолженности с ИФНС от Tardis. Действия мошенников могли привести к блокировке счёта и списанию фиктивных недоимок

Как всё было

Бухгалтер сдал отчёты для клиента за второй квартал, проконтролировал уплату налогов, заказал сверку с ИФНС. Убедился, что задолженностей перед налоговой нет, и успокоился.

Но автоматический контроль задолженности бдит! Бухгалтеру прилетела задача погасить задолженность в размере более 1 млн. рублей. Как так? Всё заплатили в ноль, квартал закрыт!

Задолженность образовалась в результате подачи корректировок мошенниками.

У наших клиентов уже были подобные случаи. За 2018–2019 гг. было зафиксировано более 43 тысяч нарушений с использованием ЭЦП. На фоне жалоб и их растущего числа, операторы связи ужесточили правила выдачи электронных подписей. Калуга, например, теперь требует не просто копию паспорта, а фото с владельцем.

Мошенник с поддельным паспортом

В нашем случае в Тензор лично обратился мошенник с поддельным паспортом. Данные в паспорте были нашего клиента, а фотография — мошенника. Он оформил ЭЦП и подал уточнёнки с высокими налогами к уплате. Видимо, его компании-однодневке нужны были вычеты.

В итоге, мы подали уточнёнки с правильными данными и предупредили ИФНС, чтобы не принимали отчёты с данного ЭЦП. Правда, звонок в налоговую был малоэффективен, так как налоговики снимают с себя всю ответственность. Клиент обратился в полицию.

Благодаря контрольной сверке от Tardis, мы узнали об этом безобразии не по факту требования, блокировки счёта или снятии денег, а очень даже своевременно, чтобы исправить ситуацию.

Фиктивный налог клиент платить не будет, но паспорт придётся поменять.

Как не стать жертвой махинаций с электронной подписью

• Ни под каким предлогом нельзя передавать свою электронную подпись и давать доступ к компьютеру с ЭП третьим лицам.
• Смените стандартный пин-код на носителе ЭП, и никому не сообщайте новый пароль.
• Паспорт и его копии, сканы учредительных документов компании спрячьте подальше от посторонних глаз.
• Запретите регистрацию юрлиц без личного присутствия. Для этого подайте заявление по форме 38001 в регистрирующий орган (в Москве это межрайонная ИФНС №46). Бланк можно скачать на сайте налоговой службы или заполнить через программу от ФНС.
• Отзывайте сертификат ЭП уволенного сотрудника.

Если вашу электронную подпись взломали

1. Подайте в ФНС заявление о недостоверности сведений в ЕГРЮЛ (форма 34001) и возражение по форме 38001, а также жалобу о том, что перечисленные юрлица гражданин не регистрировал и электронную подпись не оформлял.
2. Подайте заявление в полицию по месту нахождения налоговой инспекции.
3. Напишите в УЦ заявление на отзыв сертификата ЭП, чтобы никто больше не смог ей воспользоваться. Узнать, какой удостоверяющий центр выдал подпись, можно, написав заявление в Межрегиональную инспекцию ФНС по централизованной обработке данных.
4. Напишите заявление в Минкомсвязи с описанием ситуации, требованием провести расследование и признать ЭП недействительной.
5. В случае отказа возбуждения дела в полиции напишите в прокуратуру.
6. Дожидайтесь ответов от налоговой. В случае отказов — подайте в суд на УЦ.