- Общество
- A
Россиянам рассказали, как хакеры получают доступ к электронным подписям
Эсперт Дмитриев: банки не просят ввести пин-код от ЭП, в отличие от хакеров
Банки не просят ввести пин-код от электронной подписи (ЭП) или передать сертифицированный носитель ключа - токен - в отличие от хакеров, рассказал директор по безопасности "СберКоруса" Иван Дмитриев.
Он объяснил, что в цифровом пространстве ЭП может стать объектом хакерских атак: от фишинга до взлома аккаунтов и кражи личных данных. Хакер с помощью атаки на устройство или обмана его хозяина получает доступ к ЭП и совершает противоправные действия от имени владельца. Так, в среднем каждую неделю происходят попытки эксплуатации уязвимостей.
По его словам, устройство атакуется через уязвимости в самом программном обеспечении при помощи софта для автоматического подбора паролей, а также сторонних приложений из ненадежных источников. "Для Android-устройств последнее особенно опасно, так как может привести к рутингу телефона - выходу за пределы полномочий пользователя, предоставленных производителем, для разблокировки дополнительных функций, изменения и удаления системных файлов приложений, а также установке сторонних программ и прошивок", - добавил эксперт.
Дмитриев посоветовал не передавать токен третьим лицам и не предоставлять им пароль и регулярно изменять пин-код к токену после получения ЭП для предотвращения несанкционированного доступа. Также стоит избегать рискованных операций при сомнительных обращениях третьих лиц: это может быть механикой фишинга или обмана. По словам эксперта, обычно такие попытки выглядят как подозрительные электронные письма и звонки с целью обмануть владельца ЭП.
"С 01.09.2023 года сотрудники компании получают сертификаты как физические лица, без привязки его к работодателю. Если сотрудник увольняется, то компания отзывает машиночитаемую доверенность (МЧД) и она становится недействительной. При этом сертификат электронной подписи остаётся у сотрудника, и он её может использовать в личных целях, а новый работодатель сможет выпустить МЧД, чтобы сотрудник мог подписывать документы компании с использованием имеющегося сертификата", - добавил он.
Написать комментарий