Как мошенники могут заблокировать счет компании, получив вашу ЭЦП через удостоверяющий центр “Тензор”

До текущего момента у меня было мнение, что с развитием технологий защиты информации, в том числе криптографических, повышается безопасность во всех сферах и у мошенников остается меньше пространства для их мошеннических действий. Но недавно на собственном опыте понял почему это мнение — утопия.

Арест счета в банке

Эта история началась с того, что 7 декабря, в пятницу, мне и финансовому директору приходит оповещение об аресте счета от нашего банка. Затем банк снимает некоторую сумму с нашего счета по заявлению от налоговой в пользу ФНС. Причина: неуплата НДС (ст. 46 НК РФ). Это при том, что мы работаем на УСН без НДС и отчетность за 2018 год еще не сдавали.

Оповещение о блокировке счета от банка

Разбираемся в причинах ареста счета

На выходных и до понедельника пытаемся разобраться в чём дело. Звоним в налоговую. Налоговая по телефону предполагает 2 варианта: за нас кто-то сдал декларацию или это ошибка в программе. Тщательно проверяем всё внутри организации. Никаких видимых зацепок с нашей стороны не находим.

Причины блокировки счета от банка

Общение с налоговой

В четверг вместе с нашим юристом и финансовым директором едем в налоговую разбираться. В налоговой достаточно быстро находим нашего инспектора, который нас выслушал и проконсультировал: предоставил всю имеющуюся информацию по данному вопросу, рассказал про подобные кейсы и порекомендовал что делать далее.

Что выяснили

1. Действительно кто-то сдал за нас налоговые декларации в электронном виде (точно не знаю зачем им это надо). Электронную подпись выпустил удостоверяющий центр “Тензор”. ЭЦП оформлена на меня, как на генерального директора компании. Декларации были сданы через систему электронной отчетности компании “Тензор”.
2. В отчетности из поддельных деклараций предоставленных налоговой оказалось множество контрагентов с которыми мы никогда не работали. Сделки с этими контрагентами исчисляются миллионами рублей каждый отчетный день. Все сделки при этом с НДС (Мы работаем без НДС и соответственно никак не можем сдать декларации с НДС).

В налоговой я написал объяснительное заявление по специальной форме для подобных случаев, чтобы счет разблокировали. По сведениям налоговой на декабрь 2018 года, случаи несанкционированного выпуска ЭЦП через компанию “Тензор” приобретают постоянный характер. И это длится уже несколько месяцев.

Что делать далее

Далее налоговая порекомендовал нам навестить компанию “Тензор”, узнать кто и где выпустил ЭЦП, а затем написать заявление в правоохранительные органы.

Общение с компанией “Тензор”

В этот же день мы с юристом поехали в питерский филиал компании “Тензор”. До этого я никогда не имел дел с этой компанией.

Как выпускается ЭЦП

Приехав в их офис мы в первую очередь спросили как можно выпустить ЭЦП. Девушка быстро нас проконсультировала и попросила оригинал паспорта и СНИЛС. Как оказалось, в Питерском офисе, без оригинала этих документов выпустить ЭЦП на генерального директора нельзя (но можно по доверенности и поддельным копиям документов, как потом оказалось).

Тогда мы спросили , что делать, если кто-то выпустил подпись за нас? После этого сотрудница, явно недовольным голосом, отправила нас к своей коллеге в очередь. Её коллега на нас никак не отреагировала, что-то неразборчиво проговорив про то, что она занята. Мы отошли в зону ожидания.

Все эти люди могут пострадать от злоумышленников. Реклама ЭЦП на сайте “Тензора”: https://tensor.ru/uc

Главный специалист по работе с гос. органами

После получасового ожидания и полного игнорирования мы начали высказывать недовольство с нашей стороны. После этого наконец-то пришел сотрудник “Тензора”. Сотрудник представился Сергеем Б., по должности “главный по работе в государственными органами”.

Сергей Б. попросил у меня документы и начал искать в их базе нашу подпись. Оказалось, что мошенники выпустили две ЭЦП в октябре и закрыли две ЭЦП в ноябре. Все без моего участия по каким-то заявлениям.

После закономерного вопроса как такое может быть и как это предотвратить Сергей начал хвалить компанию говоря, что они работают строго по закону и по доверенности с копией моих документов мошенники могут и дальше продолжать открывать/закрывать подписи. Но все это в рамках закона и “Тензор” ничего сделать не может. Также сотрудники “Тензора” намекнули, что мы сами виноваты, что копии наших документов оказались у мошенников.

В итоге я написал заявление на предоставление официального ответа о том, кто где и когда выпустил ЭЦП, с предоставлением копий всех документов.

Реклама ЭЦП на сайте Тензора: https://tensor.ru/uc

Менеджер спешащий на обед

На следующий день Сергей Б. позвонил и сказал что я могу забрать документы с официальным ответом от их юридического отдела в любое время у менеджера.

Я приехал в их офис примерно к 14 часам дня, зашел в кабинет, где мне менеджер сходу сказала про свое время обеда и отсутствии времени на меня. Немного удивившись такому ходу событий, я попросил девушку представиться (представилась Алиной) и передать мне пакет документов. Моё негодование заставило Алину вернуться к своему рабочему месту, и она отдала мне пакет документов. После этого молча мгновенно начала удаляться на обед. Я снова остановил Алину и попросил кого-нибудь ответить на мои вопросы. Алина долго сопротивлялась, говорила что я её задерживаю, пыталась уйти, в итоге набрала по телефону Сергея Б., а сама мгновенно исчезла.

Информационная страничка на сайте Тензора: https://tensor.ru/about/unformal_life/working

Официальный ответ “Тензора”

Пока я ждал Сергея Б., чтобы задать ему вопрос, я посмотрел предоставленные документы:

• Официальный ответ Тензора
• Копия моего паспорта (подделаны подписи, заменено фото)
• Копия СНИЛС (вероятно тоже подделка со вставленным в шаблон данными)
• Доверенность с поддельными печатями нашей организации

Паспорт и СНИЛС лица которое оформляло доверенность предоставлены не были, но в доверенности были данные паспорта этого лица.

В официальном ответе было то же самое, что сказал мне Сергей Б. день назад, но с уточнениями. Два месяца назад, в октябре 2018 года, были выпущены аж две ЭЦП на меня как генерального директора компании. Причем сделали это в Вологодском филиале компании Тензор (где я не бывал и у меня нет там знакомых) по доверенности выписанной на имя некой гражданки Юлии Д. от моего имени. У мошенников была копия моего паспорта со вставленной другой фотографией и подписью, копия моего СНИЛСа, поддельная печать организации, отличающаяся от нашей реальной печати.

Официальная позиция “Тензора” по данному вопросу: оснований для отказа в выпуске ЭЦП не было, все по закону и по правилам.

Позиция сотрудников “Тензора”

Дождавшись Сергея Б. я спросил его мнение по данному вопросу. Сергей невозмутимо стал говорить, что они работают по закону и по правилам. Сергей подтвердил, что можно принести поддельные документы и выпустить/закрыть ЭЦП. Компания “Тензор” тут будет не виновата и вообще всё по закону (опять эта фраза).

На моё удивление и вопрос как все это прекратить: Сергей ответил “никак”. Мои предложения об улучшении верификации — сходу были отклонены сотрудниками “Тензора”.

В наш с Сергеем спор о том, что надо улучшать меры безопасности ввязалась сотрудница, сидевшая за столом по соседству, которая вспомнила историю о том, что ей звонил кто-то и представлялся лично Владимиром Владимировичем П., а она не поверила. По версии сотрудницы вся эта дополнительная верификация полная ерунда и достоверность никак не проверить. Сотрудники и так отлично работают, а главное все по закону.

В итоге путем долгой дискуссии удалось убедить Сергея поставить в их системе заметку “выдавать ЭЦП только лично” на мой профиль. Возможно это поможет.

Реклама о безопасности выпуска ЭЦП на сайте “Тензора”: https://tensor.ru/uc

Вывод по “Тензору”

Сотрудницы “Тензора” убегают на обед говоря в лицо клиенту, что у них нет времени. Специалист по работе с гос. органами хвалит и до последнего защищает свою компанию, несмотря на её откровенные косяки. Все сотрудники уверены, что их поведение нормально и вообще во всем виноват клиент, хотя казалось бы коммерческая организация. Государственная Налоговая Инспекция по сравнению с “Тензором” в высшей степени клиентоориентированной и внимательна.

Сложилось впечатление, что сотрудникам компании “Тензор” абсолютно наплевать на клиентов (хотя меня против моей воли сделали их клиентом). Сотрудниками используются лучшие традиции бюрократического подхода. Никто даже не извинился за данную ситуацию (у них всё по закону, зачем извиняться), хотя вроде бы защита клиентов должна быть у подобной компании на первом плане. Вот такой “Удостоверяющий центр”. Более того, есть информация (не подтвержденная), что “Тензор” может грозить судом клиентам и всячески заминает эту тему.

Верификацию, естественно, никто не собирается улучшать. “Это невозможно” говорят сотрудники “Тензора”. Хотя по опыту, я уверен, при желании можно придумать надежный и простой способ верификации.

Общие выводы

1. Злоумышленники легко могут покупать базы документов, выпускать/закрывать ЭЦП без вашего ведома, сдавать за вашу компанию отчетность, после чего вам могут арестовать счет, а вы можете попасть на штрафы, проверки и возможно на долгое время под финансовый мониторинг.
2. Компания “Тензор” выпускающая ЭЦП и являющая удостоверяющим центром, не видит ничего страшного в том, что злоумышленники пользуются дырой в безопасности. Ей главное что все сделано по закону и они не понесут финансовых потерь. Проблемы клиентов её не волнуют.
3. Все лучшие технологии, криптография бессильны перед человеческим фактором. Человек — слабое звено в любой даже идеальной технологической цепочке. Этим во все времена будут пользоваться злоумышленники и никакие технологии не спасут. Спасти здесь может внимание компании к клиенту, своему продукту и его безопасности. А также адекватная работа с собственными сотрудникам, их обучение.