Сделали замечательные люди полезную программу - сабж. Работает, штрихкоды сканирует, всё хорошо, быстро и удобно.

Но есть нюанс, для того чтобы сканировать надо залогиниться в гос.услуги. А с какого аккаунта я должен логиниться  на рабочем телефоне, который передается несколько раз из рук в руки в течение дня? И из смены в смену в течение недели. Можно было бы каждому заходить под своим аккаунтом, но проблема в том, что некоторые люди, которые привлекаются к работе по проверке Кур-Котов не имеют регистрации госуслугах, потому что не могут, не хотят и т.д. Это не говоря о том, что во многих случаях у людей которых ставят на такую работу может не быть смартфона, и в новостях сегодня писали, что висела(уже не висит) свежая вакансия контролера qr-кодов, со ставкой 750р в день.

Работа без аккаунта не предусмотрена. Сделать левый аккаунт? Хорошая идея, только он привязывается к сим-карте, коих не безлимит, и вдруг выясняется, что на моей второй сим-карте висят какие-то гос.услуги. Поэтому даже не смог проверить работоспособность программы на левом аккаунте без подтверждения в мфц, не удивлюсь, если оно там и не заработает.

P.S. сделать кур-кота, Путин-код или дилду (кому что ближе) вы можете здесь https://www.qrcode-monkey.com/

обнаружил в почте письмо от госуслуг, в котором:

Приложение «Госуслуги СТОП Коронавирус» доступно всем пользователям с подтверждённой учётной записью на Госуслугах

т.е. сделать фейк и пользоваться им не получится.

В составленном Минкомсвязи брендбуке «Госуслуг» нашли требование не использовать «образы людей не славянской внешности»

В руководстве по использованию бренда «Госуслуги», составленном Министерством связи и массовых коммуникаций в 2015 году, обнаружили требование «избегать использования образов людей не славянской внешности».

В одном из разделов брендбука перечислены требования к фотографиям для создания рекламных макетов, рассылок, веб-баннеров и других сообщений.

«При поиске фотоизображений избегать использования образов людей не славянской внешности. Герои на фото должны быть похожи на людей, проживающих на территории Российской Федерации», — говорится в одном из пунктов.

Кроме того, составители брендбука советуют избегать «комичных и анекдотных образов граждан Российской федерации» и «чрезмерно позитивных эмоций и группового веселья».

источник

Ну что, хотите продолжения? Продолжаю...

Последние два дня были очень насыщенными. Прошло 10 рабочих дней (с 30.07) и я отправился за ответом в отделение Совкомбанка. Мое обращение N 90734237 все еще находится в работе. Информацию по ЭЦП банк пока так и не предоставил. Но случилось чудо: я все же получил письменный ответ банка (см. ниже).

Банк признает, что кредитные договоры N 3996961489 (кредитная карта Халва с лимитом 30тр) и N 3997051984 (потребительский кредит 600тр) от 28.06.2021 были оформлены третьим лицом и мной не подписывались. Банк так же направил запрос в БКИ на удаление информации о данных договорах из кредитной истории. Это победа? В документе нет слов "аннулирован" и "признан недействительным", но мне кажется, что это победа.

Возможно, что помог мой отзыв на сайте banki.ru (https://www.banki.ru/services/responses/bank/response/105372...). Хотя представитель Совкомбанка отписался достаточно формально, а администратор сайта вообще удалил мою оценку, написав, что к работе банка она не имеет отношения. Ну да ладно.

А что же все-таки с сертификатом и ЭЦП?

Вчера я получил письменный ответ от ООО МКК Займ-Экспресс. Вообще, все другие МФО уже признали договоры недействительными. Все они, кроме Займ-Экспресс, охотно общались по эл. почте. Но эта МФО общается только заказными письмами, отправленными почтой России. Хотя кредит они выдали по фотографии паспорта (!)

21.07. ими было получено мое первое заказное письмо

06.08. юридический отдел направил мне ответ

12.08. я получил ответ (см. ниже)

13.08. я отправил второе заказное письмо, содержащее дополнительные документы

Как я уже сказал, МФО оформила кредит по фотографии паспорта (сюда не выкладываю). Это тот самый поддельный паспорт с моими данными, но не моей фотографией и подписью, который уже много где фигурировал. Просто в этот раз это не скан, а именно фото. Т.е. мошенник не приходил в офис МФО, а просто прислал им эту фотографию, оставил заявку и получил деньги.

При более детальном разборе предоставленных документов выяснилось, что договор займа подписан с помощью "простой электронной подписи" (см. ниже). На самом деле, на документе стоит не серийный номер сертификата, и не отпечаток подписи, а просто 20 байтовый хэш (думаю, SHA-1) каких-то метаданных.

Я предположил, что многие МФО оформляют договоры по такой схеме. Написал в тех. поддержку ООО МФК Мани Мен (они были самые адекватные). Однако, мне ответили, что они не используют ЭЦП, а подписывают договор с помощью кода из СМС (см. ниже). Знающие люди уже давно поняли о чем идет речь. Приведу цитату из статьи...

Электронные подписи разделяются законом 2011 г. на три вида.

1. Простые подписи создаются с помощью кодов, паролей и других инструментов, которые позволяют идентифицировать автора документа, но не позволяют проверить его на предмет наличия изменений с момента подписания.

2. Усиленная неквалифицированная подпись создана с использованием криптографических средств и позволяет определить не только автора документа, но проверить его на наличие изменений. Для создания таких подписей может использоваться сертификат неаккредитованного центра, можно также вообще обойтись без сертификата, если технические средства позволяют выполнить требования закона.

3. Усиленная квалицифированная подпись является разновидностью усиленных, она имеет сертификат от аккредитованного центра и создана с помощью подтвержденных ФСБ средств.

В случае с МФО использована простая подпись. Никакой УЦ ее не выпускал. Она формируется самой организацией и нужна лишь для подтверждения того, кто подписывает документ. При этом, сам документ не будет подписан в криптографическом смысле (это когда по подписи можно проверить изменялся ли сам документ или нет). Т.е. подпись содержит хэш каких-то метаданных (например, номер телефона и код из СМС), а не хэш подписываемого документа.

Проще говоря, мошенник подтвердил заявку на кредит в приложении кодом, который ему прислали в СМС. И да, у ООО МКК Займ-Экспресс есть приложения в Google Play, App Store и Huawei App Gallery. О дивный новый мир!

Кстати, по новому законодательству, за подделку электронной подписи в России будет грозить 3 года тюрьмы (https://www.tadviser.ru/index.php/Статья:Электронная_подпись... ). А теперь представьте, что можно сделать с человеком и его жизнью, если оформить на него усиленную квалифицированную ЭЦП. Представили?

В общем и целом ситуация начала исправляться. Надеюсь, что ООО МКК Займ-Экспресс не будет тянуть с ответом, и Совкомбанк тоже предоставит данные об ЭЦП. Уголовное дело остается открытым. Скорее всего оно будет передано в Московскую область, г. Одинцово для проведения "оперативных" мероприятий (7 недель спустя, ага). У меня остается много открытых счетов в банках, которые я конечно буду закрывать. Везде буду просить справки, что банки не имеют ко мне претензий.

Надеюсь, что моя история показала насколько несовершенна система и как трудно бороться с ней обычному человеку. Однако, все возможно, если делать все по правилам и вовремя.

Прошло 3 недели...

За это время ситуация немного изменилась. Как всегда, есть новости хорошие, а есть плохие. Расскажу обо всем по порядку.

Я получил отчеты о кредитной истории из четырех крупных БКИ (ОКБ, НБКИ, Эквифакс и Русский Стандарт). Из них стало понятно в какие банки и МФО обращались мошенники. Схема с банками (кроме Сбера и Совкомбанка) везде одинаковая: открытие счета на мое имя, получение дебетовой карты по поддельному паспорту, запрос кредитных продуктов. С МФО мошенники поступали проще: отсылка фотографии поддельного паспорта по электронной почте, заявка на кредит, получение денег на карту, выданную тоже по поддельному паспорту.

При этом выяснилось, что мошенники перед атакой на банки запросили 2-НДФЛ в личном кабинете на сайте налоговой (туда они вошли через Госуслуги), и отчеты о кредитной истории в указанных БКИ через личные кабинеты, но так же с подтверждением через Госуслуги. Видимо хотели оценить мою платежеспособность и возможность получения на меня кредита.

Главная "ошибка" мошенников была в том, что заявки на кредит в МФО (а всего их оказалось 35) очень быстро испортили мою кредитную историю. Заявки в банки обрабатывались дольше. Но видимо банки сами поняли, что творится неладное и дальше просто отказывали в кредите. После восстановления доступа к личному кабинету на сайте налоговой я обнаружил еще несколько открытых счетов в банках, в которые я никогда до этого не обращался.

В итоге получился вот такой список:

Сбербанк - 420тр (выпуск кредитной карты, вывод средств С2С операциями на карту Промсвязьбанка)

Совкомбанк - 30тр (кредитная карта Халва) + 600тр (потреб. кредит), вывод денежных средств

Промсвязьбанк (ПСБ) - открыт счет и выдана дебетовая карта. Зачисление средств из Сбербанка и МФО МаниМен. Вывод части денежных средств на карту Газпромбанка, части на карту Warka Bank (Iraq), частично выдано в банкомате. Есть покупки в д. Ликино (Одинцовский район) в сети супермаркетов Мираторг.

Московский Кредитный Банк (МКБ) - открыт счет и выдана дебетовая карта. Карта использовалась для зачисления денежных средств от МФО и видимо Совкомбанка. Денежные средства выводились на карту Киви Банка, Тинькофф Банка, снимались в банкомате. Есть оплата МТС и Мегафон. Короче, материала для следователей хватает.

Газпромбанк - открыт счет и дебетовая карта. Денежные средства переведены с карты ПСБ и сняты в банкомате

Почта Банк - открыт счет и дебетовая карта, запрос кредита (отказ банка)

Хоум Кредит энд Финанс Банк - открыт счет и дебетовая карта, запрос кредита (отказ банка)

Абсолют Банк - открыт счет и дебетовая карта, запрос кредита (отказ банка)

Банк Открытие - открыт счет, запрос кредита (отказ банка)

Тинькофф Банк - открыт счет, запрос кредита (отказ банка)

Банк Уралсиб - удаленная заявка на кредит (отказ банка)

Кроме этого, пять МФО выдали микрокредиты:

1. ООО МФК Мани Мен - 30.000р

2. ООО МКК Кредито24 - 9.000р

3. ООО МКК Займ-Экспресс - 6.800р

4. ООО МКК ДЗП-Центр - 6.666р

5. ООО МКК Русинтерфинанс - 2.000р

Cмешная ситуация была с ООО МКК Русинтерфинанс. Мошенники 28.06 взяли микрокредит 2.000р. Потом 30.06 погасили займ полностью. Далее, в тот же день, 30.06, опять взяли 2.000р. Зачем так делать - это вопрос на миллион долларов.

Я лично посетил отделения всех банков, написал заявления, предоставил копии постановлений (о возбуждении УД и признании меня потерпевшим), запросил документы (кредитные договоры, скан паспорта, выписки со счетов), заблокировал личные кабинеты, карты и счета. Какие-то банки дали всю информацию, какие-то только приняли заявления. Главное, что во все банки мошенники приходили с поддельным паспортом. При этом ЭЦП более нигде не фигурировала.

Далее, я написал несколько ходатайств следователю о приобщении полученных мной материалов к уголовному делу. Выписки и скан поддельного паспорта из Промсвязьбанка я отнес в Сбербанк. Еще я написал и отправил заказные письма в адрес пяти МФО, которые выдали кредиты. Помимо этого, я отправил разъяснения по ситуации на их эл. почту, и попросил признать кредитные договоры недействительными. Одно из ходатайств касалось ЭЦП. Следователь отправил запрос в Совкомбанк да бы узнать в каком УЦ был выдан сертификат.

Потом были переписки с МФО, звонки из банков (сотрудники службы безопасности). Сбербанк и Совкомбанк молчали. Из Абсолют Банка позвонил руководитель СБ и устроил форменный допрос. Я поделился некоторой информацией. Когда же он стал задавать не имеющие к Абсолют Банку вопросы, я просто повесил трубку. Вообще, мне показалось, что МФО как-то быстрее и лучше шли на контакт. В итоге через несколько дней 4 из 5 МФО признали кредитные договоры недействительными. Остался только ООО МКК Займ-Экспресс.

По поводу СМИ... На меня вышли сначала с БФМ, а потом с Фонтанки. Предложили дать интервью. Я согласился лишь на публикаю материалов с моими комментариями. С Фонтанки еще 5-6 порталов перепечатало историю. Потом на меня вышли с телеканала ОТР. Не знаю что за передачу они хотели выпустить в эфир, но прямо в тот же день появилась информация о взломе личного кабинета их зам. директора развлекательных программ Ивана Цыбина. Интервью с ним и короткий сюжет вышел на Россия24.

Публикации в СМИ и собранные мной документы привели к логичному исходу - мне позвонил представитель Сбербанка и сообщил, что банк признает кредитный договор (кредитная карта на 420тр) недействительным. УРА! Через пару дней они закрыли счет карты и направили данные в БКИ для очистки кредитной истории. Жду приглашения в банк для получения ответа в письменном виде.

Однако, еще остается Совкомбанк и одна МФО. Совкомбанк так и не предоставил мне никакой информации по делу. Более того, он не предоставил ее и по запросу следователя. Как я писал ранее, 12.07 я послал письмо на эл. почту Минкомсвязи (оно же Минцифры) с просьбой найти сертификат, выпущенный на мои ИНН/СНИЛС, и предоставить информацию по УЦ. Мое обращение поступило в работу 21.07. Еще 2 недели исполнитель писал ответ. В итоге, вчера, 04.08 я получил ответ (см. ниже) без информации об УЦ. В дальнейшей переписке с исполнителем выяснилось, что в базах Минкомсвязи просто нет моего сертификата. И нет его потому, что УЦ его не предоставил (т.е. нарушил ФЗ-63 ст.18). По вопросу защиты персональных данных на портале Госуслуги Роскомнадзор ответил примерно в том же ключе. Нет сертификата, нет данных по УЦ, я не могу отозвать сертификат, потому что не знаю где его отзывать. Остается надежда, что Совкомбанк все же ответит. Иначе придется подавать иск в суд.

Кстати, на Банки.ру мне написали комментарий, что отзывая ЭЦП в личном кабинете на портале Госуслуги вы просто просите систему удалить ваш сертификат из ЕСИА. Чтобы на самом деле отозвать сертификат, вам все равно нужно писать (звонить) в тот УЦ, где он был выпущен. Такая, вот, замечательная цифровизация.

История, которая началась 25 июня, получила продолжение.

Я уже писал, что мошенники оформили кредит наличными в ПАО Совкомбанк на 600тр и кредитную карту Халва на 30тр, а после вывели все денежные средства. В свой первый поход в отделение Совкомбанка я не захотел показывать свой новый паспорт, поэтому банк со своей стороны тоже мне ничего не предоставил (копии договоров, выписки и тп), а лишь принял от меня заявление.

И вот наконец-то я дорвался до следственного управления. Я передал все документы, которые не успел передать оперу, получил копии постановлений о возбуждении уголовного дела и признании меня потерпевшим. А после чего отправился по банкам. Сначала зашел в Сбербанк. Служба безопасности банка со мной связалась лишь для уточнения некоторых данных. Потом пошел в Совкомбанк. И вот там меня ждал сюрприз. Оказалось, что кредитные договоры и другие сопроводительные документы (заявление, страховка и пр) были подписаны с помощью электронно-цифровой подписи. Мошенники все сделали удаленно и никакого скана поддельного паспорта в банке тоже не было.

Тут надо сказать, что я с ЭЦП никогда не имел дело. И оказавшись в такой ситуации я просто не знал, что делать. Я понимал, что подпись нужно отозвать (точнее, сертификат, который был выпущен на мои ИНН и СНИЛС). Но отозвать сертификат можно только в том Удостоверяющем Центре (УЦ), в котором он был выпущен. После возвращения личного кабинета на портале Госуслуги через процедуру удаления, никаких данных по выпущенным ЭЦП я не вижу. Задал вопрос службе поддержки, но ответа пока нет.

Приведу цитату с сайта iecp.ru:

"Портал Госуслуги забирает данные о выпущенных электронных подписях из Единой системы идентификации и аутентификации (ЕСИА), а в ЕСИА их направляют удостоверяющие центры. Заместитель главы Минцифры Дмитрий Огуряев, согласно материалу пресс-службы ведомства, сообщил о том, что удостоверяющие центры получили напоминание о необходимости предавать данные о выданных электронных подписях в ЕСИА. Он также подчеркнул, что планируется введение мониторинга за данной активностью."

Кроме этого, я написал заявление в Совкомбанк с просьбой предоставить информацию по ЭЦП: когда и в каком УЦ был выпущен сертификат. Как площадка, на которой была использована ЭЦП, банк должен знать эту информацию. Но и тут быстрого ответа не последовало.

Умные люди посоветовали проверить личный кабинет в налоговой (на сайте nalog.ru). Никаких новых и подозрительных записей по недвижимости, имуществу или доходам/расходам я там не нашел. В ФНС понимают, что ЭЦП выпущена на ИНН физического лица, но никаких запретительных механизмов с их стороны не предусмотрено. Они лишь по факту узнают о сделках, открытии ИП/ООО и прочем. И если таковые происходят, то вот тут уже нужно им писать заявления.

Кстати, узнать информацию по выпущенным ЭЦП можно обратившись в Минкомсвязи (оно же Минцифры). На горячей линии посоветовали написать простой запрос на эл. почту office@digital.gov.ru, что и было сделано. Ответа тоже пока нет.

Что еще можно сделать? А только самому искать этот УЦ. Я взял список УЦ с сайта Минкомсвязи. Как раз 01.07.2021 был опубликован обновленный реестр УЦ, которые прошли аккредитацию. К слову, их там около 500. Это всякие ООО и ИП, которые предоставляют разный набор услуг. И только теперь вы понимаете, что найти тот самый УЦ и размотать концы - это очень непростая задача. Я выделил несколько крупных УЦ, такие как Тензор, Контур, Такском,Такснет, Профи Менеджер, Центр Информ и др. Звонок в каждый занимал у меня 10 минут. Звонишь, в двух словах объясняешь ситуацию, называешь свой ИНН (иногда СНИЛС), тебя ищут по базе, потом слышишь в трубке: "нет, с такими данными к нам не обращались". Мелкие УЦ как правило являются партнерами крупных. В этом случае лучше узнать головной УЦ и звонить сразу туда. В их базе будет вся информация и по партнерам тоже. Почувствовав себя Шерлоком, я открыл Яндекс карты и нашел все отделения УЦ в районе Одинцово (ведь именно там мошенники ходили с поддельным паспортом). Тоже мимо. Поиски продолжаются...

Помню, что кто-то писал в комментариях, что Госуслуги ему не нужны и регистрироваться он там тоже не собирается. В этом может быть ваша ошибка. Идентификаторы СНИЛС и ИНН выдаются один раз (ну, в ПФР сказали, что есть способ создать новый СНИЛС и все данные скопировать, но это сложно и долго). Завести личный кабинет на Госуслугах и на сайте налоговой нужно! Иначе мошенники могут сделать это за вас. Например, достаточно знать СНИЛС такого "борца с цифровизацией", чтобы зарегистрироваться на Госуслугах. Они сами подтянут данные из ПФР и ФНС (т.е. ваш ИНН). И дальше можно выпускать ЭЦП и делать многие вещи как бы от вашего лица. Правда, есть нюанс

"С 1 июля 2020 года электронная подпись стала еще более недоступным инструментов для мошенничества. Теперь нельзя получить электронную подпись за другого человека — владелец подписи должен лично встретиться с сотрудниками удостоверяющего центра и подтвердить свою личность."

Но вы же понимаете... А в моем случае ЭЦП скорее всего получили в УЦ по поддельному паспорту, который уже фигурировал в деле.