В системе QR-пропусков нашли уязвимость. Их подделывают через генератор кодов и фейковые «Госуслуги»
Специалисты по информационной безопасности обнаружили уязвимость в системе QR-пропусков в рестораны и кафе. Мошенники подделывают пропуск с помощью генератора кодов и привязывают его к сайту — клону «Госуслуг». Об этом они рассказали «Коммерсанту».
Эксперты InfoWatch подтвердили рост популярности групп и телеграм-каналов, где продают фейковые коды. По данным «Серчинформ», количество доменных имен, близких к «Госуслугам», выросло — с 2 в марте до 29 в июне.
В пресс-службе Департамента информационных технологий заявили, что использование поддельных QR-кодов попадает под уголовную статью о подделке и использовании официальных документов (327 УК РФ). Однако юристы подчеркивают, что в статье говорится только о бумажных документах на официальных бланках, утвержденных госстандартом, и электронных, подписанных электронной цифровой подписью. QR-код, по их словам, ими не является.
С 28 июня в заведения общепита жители Москвы могут попасть только по QR-коду, который получают на портале «Госуслуги». Они предназначены для вакцинированных посетителей, переболевших COVID-19 в течение полугода и имеющих отрицательный ПЦР-тест, действительный в течение трех дней. Летние веранды открыты для всех посетителей до 12 июля.
В Москве активно подделывали QR-коды и сайты «Госуслуг»
Люди хотят ходить в кафе, рестораны, кино и театры.
Фото: Владислав Воднев / Sputnik
В российском сегменте интернета стали появляться источники фальшивых QR-кодов для москвичей, чтобы те могли без ограничений посещать рестораны и бары. Об этом пишет «КоммерсантЪ».
Что за QR-код?
С 28 июня в Москве можно посещать рестораны, кафе и бары только в том случае, если у посетителя есть QR-код.
QR-код должен свидетельствовать о том, что:
Подробнее о QR-кодах вы можете прочитать в моём тексте, вышедшем на прошлом неделе:
Официально: QR-коды о вакцинации для москвичей будут доступны только после второй вакцины
Как подделывают?
Технология до глупости проста: создаётся сайт, похожий по интерфейсу на «Госуслуги». Туда вбиваются данные человека, желающего посетить рестораны. Затем ссылка на эту страницу генерируется в виде QR-кода.
Поддельные домены легко спутать с настоящим сайтом «Госуслуг». Количество подобных сайтов резко увеличилось в последние месяцы. Например, «Серчинформ» насчитал 29 штук на данный момент, хотя в марте было не больше двух.
Чем грозит?
Помимо того что такие люди могут заразить других и заразиться сами (даже вакцинированные могут быть переносчиками), им грозит уголовное преследование по статье 327 УК РФ — «Подделка и использование официальных документов».
QR-код не является документом, а статья 327 УК РФ может вменяться только к бумажным документам на официальных бланках, утверждённых госстандартом, либо к электронным документам, подписанным электронной цифровой подписью.
Член комиссии по правовому обеспечению цифровой экономики московского отделения Ассоциации юристов России
И вот тут появляются вопросы к самой системе: если её сделали столь ненадёжной, то для чего нужны такие ограничения? В Европе, например, глубокая проверка подобных QR-кодов уже создана. Для чего заново изобретать колесо?
Эксперты предупредили о схеме подделки QR-кодов для прохода в рестораны
В интернете начали появляться способы обхода требования властей Москвы пускать в рестораны и кафе по QR-коду, подтверждающему безопасность человека при распространении коронавируса, пишет «Коммерсантъ» со ссылкой на специалистов по компьютерной безопасности. Мошенники предлагают сгенерировать QR-код, который вел бы на сайт, имитирующий «Госуслуги».
При проверке такого сгенерированного QR-кода сотрудник ресторана или кафе может не заметить подмены домена, сообщает издание.
Использование такой схемы подтвердили в InfoWatch. Руководитель направления аналитики и спецпроектов компании Андрей Арсентьев утверждает, что в последнее время было зафиксировано множество групп и Telegram-каналов, которые предлагают купить QR-коды для посещения заведений.
В «СерчИнформ», российском разработчике средств информационной безопасности, сообщили, что за последнее время количество доменных имен, имитирующих «Госуслуги», выросло с двух до 29.
«Причем если в случае с поддельными сертификатами о вакцинации можно говорить о коррупции в медучреждениях, то QR-коды, как правило, продают мошенники», — добавил Арсентьев.
В ИТ-компании «Крок» подтвердили, что поддельный QR-код, ведущий на фейковый сайт, — это наиболее распространенный способ обхода коронавирусных ограничений.
Эксперты считают, что в спешке при проверке кода в ресторанах и кафе могут не заметить поддельный домен. Начальник отдела информационной безопасности «СерчИнформ» Алексей Дрозд предположил, что для выявления поддельных кодов можно использовать специальный софт, который сопоставляет домен и поддомены и отсекает неправильные ссылки.
В департаменте информационных технологий Москвы газете сообщили, что использование поддельных QR-кодов подпадает под ст. 327 УК (подделка и использование официальных документов). С этим, однако, не согласились в Ассоциации юристов России. «QR-код не является документом, а ст. 327 УК РФ может вменяться только к бумажным документам на официальных бланках, утвержденных госстандартом, либо к электронным документам, подписанным электронной цифровой подписью», — пояснил член комиссии по правовому обеспечению цифровой экономики московского отделения ассоциации Дмитрий Липин.
Требование пускать клиентов по QR-кодам вступило в силу 28 июня. Получить код может тот, кто либо завершил полный курс вакцинации от COVID-19, либо в течение полугода до посещения ресторана переболел коронавирусом, либо же не позднее трех суток до этого получил отрицательный результат ПЦР-теста.
До 12 июля без QR-кода можно посещать летние веранды и открытые террасы заведений.
По состоянию на понедельник, 28 июня, коды за три дня получили примерно 2,5 млн человек.
Для продажи «QR-кодов» зарегистрированы десятки сайтов с «gosuslugi» в доменных именах
Пока все эти домены не активны, но скорее всего они созданы как раз для того, чтобы стать частью мошеннической инфраструктуры, говорят в IT-компании. Потенциально на каждом из этих сайтов могут быть созданы страницы с привязанными к ним QR-кодами для каждого отдельного «заказчика» фальшивки, которому захотелось пойти в ресторан или полететь на отдых в Краснодарский край.
«Я думаю, что «нишу» QR-кодов для ресторанов в ближайшее время ждет всплеск — появятся целые сервисы и подробные инструкции»,
— пояснил «Газете.Ru» генеральный директор BrandSecurity Руслан Кривулин.
Как считают в компании «Код безопасности», самым примитивным будет внешнее копирование отдельных страниц порталов, задействованных в выдаче кода.
«При должном навыке верстки и программировании сделать такой клон и подвязать на него QR-код несложно. Маловероятным является использование серьезных и дорогостоящих технологий для взлома баз данных ввиду краткосрочности антиковидных мер такого формата и серьезных финансовых затрат для реализации атак», — пояснил коммерческий директор компании «Код Безопасности» Фëдор Дбар.
Как ранее говорил «Газете.Ru» главный технологический эксперт «Лаборатории Касперского» Александр Гостев, подделать QR-код и сделать фальшивую страницу с дизайном под госуслуги, на которую он будет вести, просто и дешево. И вряд ли официант в ресторане, сканирующий такой QR-код, будет проверять, какой адрес в браузере, считает эксперт.
«Победить эту проблему с поддельными сайтами, которые будут вот так выглядеть, можно только одним путем, особо ничего не меняя – сделать так, чтобы у проверяющих был доступ только на сайт госуслуг, а не просто в интернет»,
— считает эксперт. В этом случае поддельные QR-коды открываться не будут, а настоящий QR-код будет вести на честный аккаунт.
Как предупреждают юристы, фактически воспользоваться такими QR-кодами если и получится, то не долго.
«Данные QR-коды занесены в системы «Госуслуг», mos.ru и иные официальные сайты, через которые можно проверить подлинность QR-кода. Во-вторых, лица, которые будут использовать поддельные QR-коды, могут быть привлечены к уголовной ответственности по ст. 327 УК РФ», — говорит заместитель председателя коллегии адвокатов «Корчаго и партнеры» Тимур Баязитов.
Наказание по статье 327 УК за подделку документов, предоставляющих определенные права (поддельный QR-код предоставляет право гражданину посетить кафе или ресторан) предусматривает до двух лет лишения свободы. Оно грозит как организатору мошеннической схемы, так и предъявителю фальшивки.
Почем продают подделки
Рынок поддельных QR-кодов пока только зарождается, но он однозначно лишь пополнит число ресурсов, ориентированных на продажу поддельных сертификатов о вакцинации, ПЦР-тестов, тестов на антитела. Как отмечают в BrandSecurity, сейчас появилось очень много Telegram-каналов, где документы продают как с проводкой через «Госуслуги», так и без проводки, сертификаты и тесты могут присылать как в электронном виде, так и в бумажной версии через курьерскую доставку. Тут сработало правило скорее всего «спрос рождает предложение», считает Руслан Кривулин.
«Как мне кажется, 80-90% всех объявлений — мошеннические, то есть по факту никаких сертификатов, тестов и QR-кодов после получения денег злоумышленники не присылают», — говорит он.
При этом мошенники застрахованы от обиженных клиентов, которые, конечно же, не будут обращаться в правоохранительные органы, прекрасно осознавая тот факт, что приобретая «фейковый» сертификат, ПЦР-тест или QR-код, сами становится соучастником мошеннической схемы, считает Кривулин.
Есть какой-то процент объявлений, когда можно на самом деле получить сертификат с проводкой через «Госуслуги», но тут как повезет, обычно подобные «закупки» в даркнете всегда делаются через так называемого гаранта, чтобы избежать обмана со стороны продавца либо покупателя, говорит он. В Telegram-каналах же нет никаких гарантов, предложений очень много, злоумышленники специально занижают стоимость своих «услуг», таким образом привлекают к себе внимание и повышают спрос.
По ценам разбросы следующие: сертификаты без внесения в реестр «Госуслуг» предлагаются в среднем за 5-8 тыс. рублей, сертификаты о вакцинации с внесением в реестр «Госуслуг» продаются за 10-20 тыс. рублей. В некоторых каналах пишут, что 80% из указанной суммы уходит на «оплату труда» медработников, а остальные 20% — это комиссия продавца, сообщили в BrandSecurity.
В Москве ввели QR-коды. Как их подделывают, сколько стоят и что за это грозит
На любое действие следует противодействие. Это законы не только физики, но и социума. Поэтому нет ничего удивительного, что сразу после появления системы проверки QR-кодов в Москве появились масса способов обмана как самой процедуры, так и всей системы контроля.
Одни предостерегают от подделки QR-кодов и покупки сертификатов вакцинаций. Другие чуть ли не открыто хвалятся обратным. И только вакцинированные свободно заходят в кафе и МФЦ, наслаждаясь свободой.
Что напридумывали россияне в национальной гонке против неизбежного – вакцинации или болезни? И как на это реагируют власти? Все актуальные данные по QR-марафону в столице мы собрали в этом сжатом материале.
Кто может получить QR-код
Пример QR-кода в электронном сертификате вакцинации из Госуслуг.
◆ граждане, прошедшие вакцинацию. QR-код содержится в электронной версии сертификата о получении второго компонента вакцины от COVID-19 (или однокомпонентной вакцины), зарегистрированной в РФ
◆ граждане, получившие действующий отрицательный результат ПЦР-теста. С таким QR-кодом посетить заведение можно, если с момента готовности результата и его регистрации прошло не более 72 часов
◆ граждане, переболевшие коронавирусной инфекцией. QR-код может быть использован при посещении ресторана в течение шести месяцев с даты выздоровления.
Как работает проверка QR-кода в заведениях Москвы
Пример страницы, открывающейся при сканировании QR-кода.
1. Вы получаете QR-код:
► с помощью специального сервиса mos.ru/qr
► в поликлинике — обратитесь в регистратуру или распечатайте самостоятельно с помощью инфомата
► в приложении «Госуслуги СТОП Коронавирус» (App Store и Google Play). Авторизуйтесь под своей учетной записью (ЕСИА), выберите статус («здоров») и заполните анкету, затем сохраните QR-код на свой смартфон или сделайте скриншот
► на портале Госуслуги. Для этого авторизуйтесь под своей учетной записью (ЕСИА) и выберите в каталоге услугу «Вакцинация COVID-19»
2. Вы показываете код со смартфона (или распечатанный) в кафе. На него наводят камеру, переходят по предложенной кодом ссылке и видят: ваш статус, первые буквы ФИО, несколько цифр номера паспорта и полная дата рождения.
Где сейчас надо предъявлять QR-код
Пока только в помещениях и внутренних территориях кафе, ресторанах и заведениях общественного питания. Важный момент: это пока не распространяется на летние веранды, а также на заказы «на вынос».
Грубо говоря, если вы хотите присесть в помещении, чтобы поесть или выпить кофе, с вас должны спросить сертификат. Даже если зона питания размещена в супермаркете, от вас всё равно потребуют QR-код либо кассир, либо охрана.
Большинство кафе и ресторанов в Москве продолжают работать. Если у вас есть QR-код вакцинации, переболевшего или результата ПЦР, вы можете сесть в практически (или полностью) пустых залах там, где раньше днём всё было занято.
Однако во многих торговых центрах все места размещения на фудкортах закрыты и опечатаны. Некоторые заведения вообще закрыли помещения и оставили заказы только «на вынос», а также доставку. Поэтому даже с QR-кодом может получиться так, что сесть вам будет банально негде.
Некоторые заведения обходят запрет, формально не являясь организацией общественного питания. Но уже есть свидетельства, что Роспотребнадзор и полиция всё равно выписывают им предупреждения, после чего остается либо соблюдать ограничения, либо готовиться к закрытию после следующей проверки.
Как подделываются QR-коды
Группы, продающие сертификаты и QR-коды, есть даже в Telegram.
▪ Использование чужого, но настоящего QR-кода. Берётся чей-то код вакцинированного и выдаётся за свой.
Однако нередко (и с нарастающей частотой) помимо QR-кода у вас спрашивают паспорт. Данные на открывшейся странице подтверждения не совпадают, и вам отказывают в обслуживании.
▪ Генерация QR-кода на подставном сайте. Вы отдаёте свои данные неизвестно кому и получаете QR-код. При его сканировании смартфон перенаправляется на сайт, визуально копирующий страницу на Госуслугах, где указаны ваши данные и «подтверждается» факт вакцинации.
Правоохранительные органы и официальные лица объявили борьбу с этим методом и обещают наказание вплоть до уголовного тем, кто будет использовать такие коды. Теоретически, подставные сайты, куда перекидывают такие QR-коды, может заблокировать Роскомнадзор – и тогда все коды, ведущие туда, перестанут работать.
▪ Ложная прививка с «проведением» сертификата через Госуслуги. Цены в даркнете варьируются от нескольких тысяч до 15-20 тысяч рублей. Предложений масса также как в поисковиках, так и в мессенджерах, включая специализированные боты и группы. Мошенников среди них ожидаемо много, так как жаловаться клиенту в случае обмана абсолютно некому. Есть сообщения, что некоторые умудряются получать таким образом действительные записи о прививке в Госуслугах.
Незаконность этого метода очевидна. Участвующим в таких схемах грозит уголовное преследование. Сегодня прошла информация, что в Москве начали задерживать курьеров с бумажными версиями таких сертификатов.
Что грозит тем, кто использует поддельные QR-коды
Приобретение, хранение, перевозка в целях использования или сбыта либо использование заведомо поддельного сертификата как официального документа, предоставляющего права или освобождающего от обязанностей, карается уголовным наказанием до одного года лишения свободы.
Пока о таких случаях не сообщалось.
Что дальше будет с проходом по QR-кодам?
С учётом текущей ситуации с заболеваемостью коронавирусом, снятие этих условий в ближайшее время маловероятно. Власти Москвы не исключают, что рассматривают распространение проверки QR-кодов на другие сферы, включая транспорт. Но пока конкретных решений по этому поводу не принимали.
Поэтому пока QR-коды остаются актуальными для жителей и гостей столицы. Моё мнение по этому поводу – вместо того, чтобы ходить за ПЦР каждые три дня, лучше сделать прививку. Причём чем раньше, тем лучше: ведь QR-код вы получите только после второго укола двухкомпонентными вакцинами, а тот наступит не раньше двух недель после первого.
Места, где можно сделать прививку в Москве сейчас, мы ранее перечислили в отдельной статье.
