Эксперт Дмитриев предупредил о способах кражи электронных подписей
В отличие от хакеров, банки не требуют ввода пин-кода от электронной подписи (ЭП) или передачи сертифицированного носителя ключа — токена. Об этом «РИА Новости» сообщил директор по безопасности «СберКоруса» Иван Дмитриев.
Он предупредил, что электронные подписи могут стать целью хакерских атак, таких как фишинг, взлом аккаунтов и кража личных данных.
Хакеры могут получить доступ к ЭП, а затем совершать незаконные действия от имени владельца. Еженедельно регистрируются попытки эксплуатации уязвимостей.
Для атаки на устройства используются уязвимости в программном обеспечении, а также вредоносное ПО, включая приложения из ненадежных источников. Особенно опасно для устройств на базе Android, так как такие атаки могут привести к рутингу телефона, расширению полномочий пользователя, изменению и удалению системных файлов приложений, а также установке сторонних программ и прошивок.
Дмитриев рекомендует не передавать токен третьим лицам, не предоставлять им пароль и регулярно менять пин-код к токену после получения ЭП, чтобы предотвратить несанкционированный доступ. Также следует быть осторожными при сомнительных обращениях третьих лиц, таких как подозрительные электронные письма и звонки, которые могут быть попытками фишинга или обмана.
Кроме того, с 1 сентября 2023 года сотрудники компаний получают сертификаты электронной подписи как физические лица, не связанные с работодателем. При увольнении компания отзывает машиночитаемую доверенность (МЧД), но сам сертификат остается у сотрудника, и он может использовать его в личных целях. Новый работодатель может выдать МЧД, чтобы сотрудник мог подписывать документы компании с использованием имеющегося сертификата.