фальшивые qr коды вступили в силу одновременно с указом московской мэрии
Мошенники имитируют коды
Как можно проверить достоверность документа
Власти обеспокоены проблемой поддельных QR-кодов. Столичная мэрия запустила сервис для борьбы с фальшивыми сертификатами. А в Совете федерации предупредили об уголовном наказании для тех, кто решит обмануть систему. С понедельника QR-коды нужны для прохода в столичные рестораны. Их могут получить граждане, которые прошли вакцинацию, переболели коронавирусом в течение полугода или сдали отрицательный ПЦР-тест за последние три дня. Вскоре в интернете появились предложения о продаже поддельных кодов. Как работает мошенническая схема? И как с ней борются власти? Расскажет Илья Сизов.
Фото: Ирина Бужор, Коммерсантъ / купить фото
Фото: Ирина Бужор, Коммерсантъ / купить фото
Отсканировать QR-код можно без специального приложения камерой смартфона. Ссылка отправляет пользователя на сайт мэрии или «Госуслуг». На экране инициалы, дата рождения и срок действия сертификата. Как поясняли эксперты, опрошенные “Ъ FM”, это главная уязвимость системы, потому что страницу можно подделать и разместить на сайте с похожим адресом. И невнимательный официант, вероятно, не сможет отличить фальшивый код от настоящего.
QR-коды обзаводятся фейками
В DarkNet тем временем начали зарабатывать на тех, кто не хочет прививаться, но хочет в ресторан, рассказал директор по росту компании Bi.Zone Рустэм Хайретдинов: «Мы нашли разные точки продажи, более 10. Если смотреть по отзывам в DarkNet, то их число приближается к 100. Мы не делали контрольных закупок. Мы можем сказать о предложении — от 10 до 30 тыс. по нашей статистике. Мы не говорим о том, что это легальный занос в “Госуслуги”, это другого типа решение».
Как бороться с фальшивыми QR-кодами? Конечно, можно заставить персонал ресторанов внимательно смотреть на адрес ссылки и проверять, настоящий ли сайт «Госуслуг» перед ними. Но надежнее запустить специальное приложение, которое просто не пропустит подделку. И такая программа уже есть, отмечает ведущий аналитик компании SearchInform Леонид Чуриков. Правда, пользуются ей далеко не везде.
«В приложение “Московский транспорт” есть такая строчка — проверка QR-кода о вакцинации. Если этим приложением вы просканируете фальшивый QR-код, приложение вам скажет, что неверный формат. А если вы свой честный сертификат с “Госуслуг” отсканируете, то приложение вам покажет картинку, можно уже будет сверить. Кафе и рестораны никаких четких инструкций не получили на этот счет. Кто-то смотрит просто на то, есть ли у человека какой-нибудь QR-код, кто-то делает вид, что этот QR-код чем-то сканирует, кто-то проверяет его реально и пытается понять, а что же там вываливается по этому QR-коду»,— пояснил Чуриков.
Посетители прошли мимо заведений
При этом, как выяснил “Ъ FM”, приложение для iOS поддельные коды все-таки принимает: фальшивая страница просто открывается в браузере. И сайтов, имитирующих портал «Госуслуг», становится больше. В SearchInform насчитали почти три десятка против двух в марте. Роскомнадзор пока их не блокирует. Возможно, есть риск по ошибке ограничить доступ к настоящим госуслугам, продолжает Леонид Чуриков: «У нас в 2020 год, например, проверено было 400 тыс. доменов. Если есть указание проверить все домены, которые связаны с госуслугами, наверное, их бы все проверили. Но это удивляет, конечно. Другое дело, что, может быть, проверить не так сложно, но процедура блокировки требует нескольких дней. Особенно если это домены, связанные с госуслугами, не дай бог, заблокируют госуслуги какой-нибудь республики, который вдруг кто-то примет за фальшивые».
В столичной мэрии заявили, что подделка QR-кода — это уголовное преступление. За изготовление фальшивых документов можно получить два года тюрьмы. В Совете федерации возразили, что наказать могут по статье о нарушении санитарных правил. Впрочем, срок здесь такой же. Перспективы возбуждения уголовных дел оценил председатель коллегии адвокатов «Корчаго и партнеры» Евгений Корчаго:
«Когда мы говорим о QR-коде, скорее всего, нельзя говорить о том, что это официальный документ, поэтому ответственность по 327 статье достаточно сложно будет вменить.
Что касается статьи Уголовного кодекса за нарушение санитарных правил, то здесь необходимо будет доказывать, что именно благодаря тому, что человек подделал QR-код и прошел в ресторан, он заразил тех или иных граждан или причинил иные тяжкие последствия. Чтобы сказать, как будут привлекать граждан и будут ли их привлекать вообще, в данном случае придется ждать, как суды будут реагировать на данные нарушения».
По данным московских властей, легальные QR-коды получили более 2,5 млн человек. Те, у кого возникли сложности, направили властям почти 20 тыс. обращений. Причем, как выяснил “Ъ FM”, некоторые коды, выданные сайтом «Госуслуг» на прошлой, уже недействительны. Возможно, власти решили сгенерировать их по-новому, для надежности.
Кремль обеспокоен ситуацией с продажей поддельных QR-кодов
Пресс-секретарь российского президента Дмитрий Песков отметил, что Кремль беспокоит ситуация с торговлей поддельными сертификатами о вакцинации от коронавируса и соответствующими QR-кодами.
Он отметил, что, к сожалению, «эта ниша заполняется жуликами, которые готовы подвергать риску здоровье людей». «Безусловно, нужны меры борьбы с этими жуликами», — подчеркнул Песков.
В интернете стали появляться предложения для нелегального обхода требований московских властей по доступу в кафе и рестораны исключительно по QR-кодам.
Как рассказал «Газете.Ru» ведущий аналитик департамента защиты от цифровых рисков Group-IB Евгений Егоров, для продажи фальшивых сертификатов создают сайты, группы и аккаунты в соцсетях, мессенджерах. Цены разнятся от 1 тыс. до 30 тыс. рублей. Наиболее дорогие варианты предполагают внесение заказчика в реестр вакцинированных от COVID-19.
Помимо сертификатов, мошенники также предлагают услуги по предоставлению поддельных отрицательных тестов на коронавирус. На них цены варьируются от 500 до 3 тыс. рублей. «Больше всего объявлений об отрицательных тестах, потом идут сертификаты, потом объявления о продаже самих вакцин, но их совсем незначительное количество», — рассказал Егоров.
По словам главного технологического эксперта «Лаборатории Касперского» Александра Гостева, основной проблемой властей может стать подделка QR-кодов и страниц госсайтов. Эксперт считает, что сотрудники заведений общепита вряд ли будут проверять на подлинность открытый в браузере сайт.
«Создать свой личный поддельный сайт с каким-нибудь дизайном под госуслуги, сгенерировать для себя QR-код и всем показывать — это же просто плевое дело, в интернете, думаю, быстро появится куча конструкторов подобных сайтов. Любому, кто понимает в программировании html, склепать подобную страничку ничего не стоит», — уверен Гостев.
Специалист «Лаборатории Касперского» считает, что предотвратить обман такого рода можно только в случае, если у проверяющих будет доступ только на сайт госуслуг, а не просто в интернет.
Эксперты ГК InfoWatch также отмечают этот способ обхода системы как один из набирающих популярность.
«В последнее время зафиксировано множество групп и Telegram-каналов, предлагающих купить QR-коды для посещения кафе и ресторанов.
Причем если в случае с поддельными сертификатами о вакцинации можно говорить о коррупции в медучреждениях, то QR-коды, как правило, продают мошенники», — сказал в комментарии «Коммерсанту» руководитель направления аналитики и спецпроектов ГК InfoWatch Андрей Арсентьев.
Как рассказал в разговоре с РИА «Новости» директор экспертных сервисов BI.ZONE Евгений Волошин, поддельные коды продаются в даркнете — их стоимость достигает 11 тыс. рублей.
В департаменте информационных технологий (ДИТ) Москвы считают, то использование поддельных QR-кодов относится к ст. 327 УК РФ («Подделка и использование официальных документов»).
Но юристы, опрошенные «Коммерсантом», не согласны с мнением ДИТ. Например, член комиссии по правовому обеспечению цифровой экономики московского отделения Ассоциации юристов России Дмитрий Липин обратил внимание, что QR-код — это не документ. «Ст. 327 УК РФ может вменяться только к бумажным документам на официальных бланках, утвержденных госстандартом, либо к электронным документам, подписанным электронной цифровой подписью», — пояснил он.
По мнению экспертов, успех действий мошенников зависит от того, как будут работать системы проверки QR-кодов. Начальник отдела информационной безопасности «Серчинформ» Алексей Дрозд считает, что для обеспечения тщательной проверки посетителей необходимо сканировать коды при помощи специального софта, который бы отсеивал любые ссылки, кроме достоверных.
С 28 июня москвичам и гостям столицы разрешено посещать заведения общепита только с предъявлением QR-кодов и паспорта.
Коды можно получить на портале «Госуслуг» после полного прохождения вакцинации или переболев COVID-19 в течение последних шести месяцев или имея отрицательный ПЦР-тест, действительный в течение трех дней. Пройти тестирование на коронавирус необходимо в одной из лабораторий Москвы, подключенной к ЕМИАС.
Без QR-кодов можно посещать только летние веранды и то до 12 июля.
Для проверки QR-кодов рекомендуется использовать официальные городские мобильные приложения, отметили в пресс-службе Департамента информационных технологий Москвы. «Это позволяет избежать фишинга и помогает выявить поддельные QR-коды», — сказал представитель ДИТ в комментарии РИА «Новости».
Как считает председатель комитета Совета Федерации по конституционному законодательству Андрей Клишас, при использование поддельных QR-кодов россиянам может грозить до двух лет лишения свободы.
По его словам, использование «сгенерированного QR-код с привязкой к ложному порталу госуслуг, не является подделкой чего-либо, это нарушение санитарно-эпидемиологических правил». «В зависимости от последствий может наступать ответственность до 2 лет лишения свободы», — заявил сенатор в беседе с РИА «Новости». Примерно такое же наказание грозит и самим мошенникам за манипуляции с «сайтом госуслуг».
Как пишет агентство, за посещение ресторана с поддельным QR-кодом может грозить административная ответственность в виде штрафа в 40 тыс. рублей.
Фальшивые qr коды вступили в силу одновременно с указом московской мэрии
Для чего нужен QR-код:
QR-код подтверждает, что вы защищены от COVID-19. Его нужно сохранить на телефоне или распечатать. Как проверить QR-код
По одному и тому же коду можно ходить в любые заведения общепита и на массовые мероприятия в течение всего срока действия кода (указан внутри).
Если вы заболеете ковидом, ваш QR-код могут аннулировать.
Как оформить QR-код
Есть отрицательный ПЦР
Если вы сделали прививку в московской поликлинике, павильонах «Здоровая Москва», торговых центрах и других общественных местах, у вас московский полис ОМС или прикрепление к столичной поликлинике, получите QR-код:
Чтобы получить QR-код на mos.ru, нужна полная или стандартная учетная запись. Проверьте, какая у вас учетная запись в личном кабинете, в меню слева;
QR-код вы получите в СМС-сообщении вместе с результатами ПЦР-теста.
Также QR-код доступен:
на mos.ru (если медицинская организация, где вы лечились, передает данные в ЕМИАС или Минздраву России).
Чтобы получить QR-код на mos.ru, нужна полная или стандартная учетная запись или личный кабинет на портале госуслуг. Проверьте, какая у вас учетная запись, в личном кабинете в меню слева.
Если не получается скачать QR-код, обратитесь в нашу службу технической поддержки. Выберите тему обращения «Не найден цифровой сертификат (QR-код)», укажите номера полиса ОМС и паспорта, наименование медицинской организации. Если вы лечились в частной, ведомственной поликлинике или в другом регионе, обращайтесь туда через портал госуслуг.
Если во время болезни вы не обращались к врачу или переболели бессимптомно, получить QR-код вы можете только по результату ПЦР-теста (действует 72 часа, должен быть внесен в ЕМИАС).
Если не получается скачать QR-код, обратитесь в нашу службу технической поддержки. Выберите тему обращения «Не найден цифровой сертификат (QR-код)», укажите номера полиса ОМС и паспорта, наименование медицинской организации. Если вы лечились в частной, ведомственной поликлинике или в другом регионе, обращайтесь туда через портал госуслуг.
Если во время болезни вы не обращались к врачу или переболели бессимптомно, получить QR-код вы можете только по результату ПЦР-теста (действует 72 часа, должен быть внесен в ЕМИАС).
Эксперты предупредили о схеме подделки QR-кодов для прохода в рестораны
В интернете начали появляться способы обхода требования властей Москвы пускать в рестораны и кафе по QR-коду, подтверждающему безопасность человека при распространении коронавируса, пишет «Коммерсантъ» со ссылкой на специалистов по компьютерной безопасности. Мошенники предлагают сгенерировать QR-код, который вел бы на сайт, имитирующий «Госуслуги».
При проверке такого сгенерированного QR-кода сотрудник ресторана или кафе может не заметить подмены домена, сообщает издание.
Использование такой схемы подтвердили в InfoWatch. Руководитель направления аналитики и спецпроектов компании Андрей Арсентьев утверждает, что в последнее время было зафиксировано множество групп и Telegram-каналов, которые предлагают купить QR-коды для посещения заведений.
В «СерчИнформ», российском разработчике средств информационной безопасности, сообщили, что за последнее время количество доменных имен, имитирующих «Госуслуги», выросло с двух до 29.
«Причем если в случае с поддельными сертификатами о вакцинации можно говорить о коррупции в медучреждениях, то QR-коды, как правило, продают мошенники», — добавил Арсентьев.
В ИТ-компании «Крок» подтвердили, что поддельный QR-код, ведущий на фейковый сайт, — это наиболее распространенный способ обхода коронавирусных ограничений.
Эксперты считают, что в спешке при проверке кода в ресторанах и кафе могут не заметить поддельный домен. Начальник отдела информационной безопасности «СерчИнформ» Алексей Дрозд предположил, что для выявления поддельных кодов можно использовать специальный софт, который сопоставляет домен и поддомены и отсекает неправильные ссылки.
В департаменте информационных технологий Москвы газете сообщили, что использование поддельных QR-кодов подпадает под ст. 327 УК (подделка и использование официальных документов). С этим, однако, не согласились в Ассоциации юристов России. «QR-код не является документом, а ст. 327 УК РФ может вменяться только к бумажным документам на официальных бланках, утвержденных госстандартом, либо к электронным документам, подписанным электронной цифровой подписью», — пояснил член комиссии по правовому обеспечению цифровой экономики московского отделения ассоциации Дмитрий Липин.
Требование пускать клиентов по QR-кодам вступило в силу 28 июня. Получить код может тот, кто либо завершил полный курс вакцинации от COVID-19, либо в течение полугода до посещения ресторана переболел коронавирусом, либо же не позднее трех суток до этого получил отрицательный результат ПЦР-теста.
До 12 июля без QR-кода можно посещать летние веранды и открытые террасы заведений.
По состоянию на понедельник, 28 июня, коды за три дня получили примерно 2,5 млн человек.
Описана схема подделки QR-кодов для прохода в рестораны Москвы
В сети появились способы подделки QR-кодов для прохода в рестораны Москвы. Соответствующие схемы описали специалисты в области информационной безопасности, передает «Коммерсантъ».
Как отметил аналитик Дмитрий Артимович, в городе запустили QR-коды, которые привязывают к поддельному сайту, имитирующему портал госуслуг. Там необходимо ввести паспортные данные. По словам специалиста, в случае проверки поддельного кода работник ресторана может не заметить, что домен ненастоящий.
Использование фейкового сайта, на который ведет поддельный цифровой пропуск, стало самой распространенной схемой среди предложений по обходу ограничений, подчеркнул ведущий эксперт направления «Информационная безопасность» IT-компании «Крок» Александр Черныхов. Он рассказал, что в сети уже появились инструкции по созданию таких связок.
Кроме того, специалисты ГК InfoWatch подтвердили, что в последнее время зафиксировано много групп и Telegram-каналов, где горожанам предлагают купить QR-коды.
«Причем если в случае с поддельными сертификатами о вакцинации можно говорить о коррупции в медучреждениях, то QR-коды, как правило, продают мошенники»,— отметил руководитель направления аналитики и спецпроектов ГК InfoWatch Андрей Арсентьев.
Ранее сообщалось, что поддельные QR-коды для посещения ресторанов и кафе в Москве начали продаваться в даркнете. Их средняя стоимость составляет 11 тысяч рублей.
С 28 июня в столице действуют новые антиковидные ограничения. Рестораны и кафе могут посещать только вакцинированные граждане или переболевшие в течение последних шести месяцев. Пройти в заведение также можно с отрицательным ПЦР-тестом, срок действия которого не должен превышать трех дней.