В мессенджере Max появился сервис подписания документов. Почему им небезопасно пользоваться
Мессенджер Max запустил сервис подписания документов через чат-бот «Госключ». Об этом 7 октября сообщила пресс-служба холдинга VK, который занимается разработкой мессенджера. Киберадвокат Саркис Дарбинян, с которым поговорил «Вот Так», считает, что чат-бот, который будет содержать большое количество чувствительных данных о россиянах, станет мишенью для хакеров и мошенников.
«Договоры купли-продажи, обращения в суд и другие документы можно подписать самостоятельно с помощью чат-бота “Госключ” в Max. Для этого необходимо обновить мессенджер до последней версии, иметь подтвержденную учетную запись на “Госуслугах” и сертификат электронной подписи», — говорится в пресс-релизе разработчиков Max.
Для подписания документов необходимо будет найти чат-бот «Госключ» по названию в поиске мессенджера, подтвердить профиль пользователя (при первом запуске), загрузить необходимые документы, выбрать тип электронной подписи и подтвердить подписание.
Max интегрировал сервис «Госключ» на свою платформу в конце августа. Однако до настоящего времени подписание документов через мессенджер было доступно только по инициативе юридических лиц: например, компании могли направить пользователям на подпись согласие на обработку персональных данных, договоры на оказание услуг или дополнительные соглашения. Сейчас пользователи мессенджера, как говорится в пресс-релизе платформы, сами могут подписывать документы с помощью электронной цифровой подписи и направлять их собеседникам.
Какие документы можно подписывать с помощью сервиса «Госключ»
В сервисе «Госключ» доступны два вида электронных подписей — усиленная неквалифицированная (УНЭП) и усиленная квалифицированная (УКЭП). С помощью УНЭП можно:
- получить ИНН;
- отправить декларацию 3-НДФЛ для оформления налогового вычета;
- подать заявление на возмещение убытков после ДТП по ОСАГО.
- поставить на кадастровый учет и зарегистрировать права на недвижимость;
- подать заявление на распределение пенсионных накоплений;
- получить выписку из реестра налогоплательщиков;
- исправить данные в Едином государственном реестре недвижимости;
- подать заявление на расторжение брака.
Также с помощью этих подписей можно подписывать договоры купли-продажи (например, автомобиля), кадровые документы между сотрудником и работодателем, договоры между частными лицами и предпринимателями, документы между госорганами и бизнесом (например, зарегистрировать бизнес), договоры между юридическими лицами.
Чем опасно нововведение
Киберадвокат и основатель проекта «Роскомсвобода» Саркис Дарбинян обращает внимание, что сервис подписи документов, работающий через чат-бот — очень ненадежный инструмент. Чат-боты, по его словам, могут работать по менее защищенным протоколам шифрования, чем, например, сервисы «Госуслуги» и «Госключ». Злоумышленники при желании могут перехватывать или подменять трафик и вклиниваться между ботом и сервером, получая таким образом доступ к чувствительной информации, объяснил Дарбинян.
«Очевидно, это повышает риски для пользователей, которые становятся более уязвимыми к фишинговым атакам. Чат-боты можно подделывать, заставляя пользователей дать доступ к своим госуслугам. Это, в свою очередь, кратно увеличивает риск кражи цифровых подписей», — прокомментировал он в беседе с «Вот Так».
Дарбинян не сомневается, что новый сервис вызовет интерес у мошенников и хакеров — так же, как это произошло, когда Max только появился. Например, уже в середине августа в мессенджере был зафиксирован первый случай мошенничества: злоумышленники выманили у жительницы Курска 444 тыс. рублей через Max, а еще спустя пару дней в Санкт-Петербурге мошенники обманули 70-летнюю пенсионерку на 2,5 млн рублей. Кроме того, в сентябре на теневых ресурсах, где общаются киберпреступники, появились объявления о массовой закупке и аренде аккаунтов в Max. Цена «аренды», например, достигала 250 долларов.
«Очевидно, будут попытки атаковать как сам чат-бот “Госключа”, так и подделывать под официальный бот фишинговые ресурсы», — считает киберадвокат.
Также Саркис Дарбинян отмечает, что ни в одном западном мессенджере нет интеграций с государственными сервисами и электронной цифровой подписью, потому что, считает киберадвокат, их создатели понимают — угроза безопасности гораздо выше получаемых удобств.
Собеседник «Вот Так» подчеркнул, что разработчики Max, в свою очередь, не преследуют цели информировать населения о возможных рисках, с которыми могут столкнуться пользователи, рассказывая лишь о преимуществах продукта.
«А это нововведение особенно опасно для людей неподготовленных и не сильно понимающих, с какими рисками это сопряжено», — резюмировал Дарбинян.