Ради поддельного QR-кода в Москве используют генераторы кодов и фейковые «Госуслуги»
Мошенники также предлагают купить поддельный электронный «документ» за 11 тысяч рублей, отмечают эксперты
Мошенники в Москве начали предлагать различные способы обойти требование об обязательном QR-коде для посещения ресторанов и кафе. Например, использовать генераторы кодов и привязывать их к сайтам, внешне похожим на «Госуслуги». Кроме того, в даркнете покупка одного
фальшивого QR-кода в среднем составляет 11 тысяч рублей, сообщают специалисты.
О найденной уязвимости в системе QR-кодов сообщает «Коммерсантъ». Журналисты также предупреждают, что при использовании генераторов кодов граждане должны ввести персональные данные, включая паспортные. Однако уязвимость в системе QR-кодов позволяет сделать так, сообщили опрошенные издание специалисты, что сотрудник общепита может и не распознать поддельный электронный штрихкод.
Эксперты отмечают, что число сайтов, которые лишь имитируют «Госуслуги», выросло в Сети с двух (столько их зафиксировали в марте) до 29. Чтобы избежать проблем, специалисты предлагают использовать специальный софт, который будет определять, на фальшивом сайте был получен QR-код или официальных «Госуслугах».
В пресс-службе департамента информационных технологий (ДИТ) Москвы заявили, что использование поддельных QR-кодов подпадает под статью 327 УК РФ — подделка и использование официальных документов.
Однако юристы заявили газете, что это не совсем так: «QR-код не является документом, а статья 327 УК РФ может вменяться только к бумажным документам на официальных бланках, утвержденных госстандартом, либо к электронным документам, подписанным электронной цифровой подписью».
Кроме того, директор экспертных сервисов BI.ZONE Евгений Волошин сообщил РИА Новости, что поддельные QR-коды начали продавать еще в мае в даркнете. По его словам, средняя цена такого «документа» — 11 тысяч рублей. Волошин также предположил, что в будущем появятся программы, которые будут определять фальшивые штрихкоды.
За три дня москвичи получили 2,5 миллиона QR-кодов
Ранее мэр Москвы Сергей Собянин заявил, что все кафе и рестораны должны быть «свободны от ковида» и с 28 июня будут принимать только тех посетителей, прошедших вакцинацию, переболевших COVID-19 в течение последних шести месяцев или имеющих отрицательный ПЦР-тест, действительный в течение трех дней. Наличие защиты от коронавируса подтверждается специальным QR-кодом.
QR-код можно получить в регистратуре городской поликлиники, а также в электронной медицинской карте Москвы, на портале mos.ru, в ЕМИАС.ИНФО, на едином портале государственных и муниципальных услуг или в приложении «Госуслуги.Стопкоронавирус». Бумажные справки или сертификаты приниматься не будут.
Проверить QR-коды при посещении кафе, ресторанов и массовых мероприятий можно через приложения «Московский транспорт», «Помощник Москвы» и «Метро Москвы».
В Москве число желающих сделать прививку возросло до 86 тысяч человек в рабочие дни, заявил 28 июня мэр столицы Сергей Собянин. Он также отметил, что ситуация с COVID-19 остается сложной: город за последнюю неделю побил рекорд по числу заболевших, находящихся в реанимации и умерших. Собянин добавил, что власти Москвы собираются упростить и расширить схему вакцинации мигрантов от коронавируса.
28 июня Москва установила антирекорд по количеству смертей от последствий коронавирусной инфекции: в столице за сутки зафиксировано 124 летальных случая.
Собянин: Москва побила рекорд по числу умерших от COVID-19
Издание «Daily Storm» зарегистрировано Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 20.07.2017 за номером ЭЛ №ФС77-70379 Учредитель: ООО «ОрденФеликса», Главный редактор: Сивкова А.С.
Сайт использует IP адреса, cookie и данные геолокации пользователей сайта, условия использования содержатся в Политике по защите персональных данных.
Сообщения и материалы информационного издания Daily Storm (зарегистрировано Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 20.07.2017 за номером ЭЛ №ФС77-70379) сопровождаются гиперссылкой на материал с пометкой Daily Storm.
*упомянутые в текстах организации, признанные на территории Российской Федерации террористическими и/или в отношении которых судом принято вступившее в законную силу решение о запрете деятельности. В том числе:
Эксперты предупредили о схеме подделки QR-кодов для прохода в рестораны
В интернете начали появляться способы обхода требования властей Москвы пускать в рестораны и кафе по QR-коду, подтверждающему безопасность человека при распространении коронавируса, пишет «Коммерсантъ» со ссылкой на специалистов по компьютерной безопасности. Мошенники предлагают сгенерировать QR-код, который вел бы на сайт, имитирующий «Госуслуги».
При проверке такого сгенерированного QR-кода сотрудник ресторана или кафе может не заметить подмены домена, сообщает издание.
Использование такой схемы подтвердили в InfoWatch. Руководитель направления аналитики и спецпроектов компании Андрей Арсентьев утверждает, что в последнее время было зафиксировано множество групп и Telegram-каналов, которые предлагают купить QR-коды для посещения заведений.
В «СерчИнформ», российском разработчике средств информационной безопасности, сообщили, что за последнее время количество доменных имен, имитирующих «Госуслуги», выросло с двух до 29.
«Причем если в случае с поддельными сертификатами о вакцинации можно говорить о коррупции в медучреждениях, то QR-коды, как правило, продают мошенники», — добавил Арсентьев.
В ИТ-компании «Крок» подтвердили, что поддельный QR-код, ведущий на фейковый сайт, — это наиболее распространенный способ обхода коронавирусных ограничений.
Эксперты считают, что в спешке при проверке кода в ресторанах и кафе могут не заметить поддельный домен. Начальник отдела информационной безопасности «СерчИнформ» Алексей Дрозд предположил, что для выявления поддельных кодов можно использовать специальный софт, который сопоставляет домен и поддомены и отсекает неправильные ссылки.
В департаменте информационных технологий Москвы газете сообщили, что использование поддельных QR-кодов подпадает под ст. 327 УК (подделка и использование официальных документов). С этим, однако, не согласились в Ассоциации юристов России. «QR-код не является документом, а ст. 327 УК РФ может вменяться только к бумажным документам на официальных бланках, утвержденных госстандартом, либо к электронным документам, подписанным электронной цифровой подписью», — пояснил член комиссии по правовому обеспечению цифровой экономики московского отделения ассоциации Дмитрий Липин.
Требование пускать клиентов по QR-кодам вступило в силу 28 июня. Получить код может тот, кто либо завершил полный курс вакцинации от COVID-19, либо в течение полугода до посещения ресторана переболел коронавирусом, либо же не позднее трех суток до этого получил отрицательный результат ПЦР-теста.
До 12 июля без QR-кода можно посещать летние веранды и открытые террасы заведений.
По состоянию на понедельник, 28 июня, коды за три дня получили примерно 2,5 млн человек.
В системе QR-пропусков нашли уязвимость. Их подделывают через генератор кодов и фейковые «Госуслуги»
Специалисты по информационной безопасности обнаружили уязвимость в системе QR-пропусков в рестораны и кафе. Мошенники подделывают пропуск с помощью генератора кодов и привязывают его к сайту — клону «Госуслуг». Об этом они рассказали «Коммерсанту».
Эксперты InfoWatch подтвердили рост популярности групп и телеграм-каналов, где продают фейковые коды. По данным «Серчинформ», количество доменных имен, близких к «Госуслугам», выросло — с 2 в марте до 29 в июне.
В пресс-службе Департамента информационных технологий заявили, что использование поддельных QR-кодов попадает под уголовную статью о подделке и использовании официальных документов (327 УК РФ). Однако юристы подчеркивают, что в статье говорится только о бумажных документах на официальных бланках, утвержденных госстандартом, и электронных, подписанных электронной цифровой подписью. QR-код, по их словам, ими не является.
С 28 июня в заведения общепита жители Москвы могут попасть только по QR-коду, который получают на портале «Госуслуги». Они предназначены для вакцинированных посетителей, переболевших COVID-19 в течение полугода и имеющих отрицательный ПЦР-тест, действительный в течение трех дней. Летние веранды открыты для всех посетителей до 12 июля.
В Москве ввели QR-коды. Как их подделывают, сколько стоят и что за это грозит
На любое действие следует противодействие. Это законы не только физики, но и социума. Поэтому нет ничего удивительного, что сразу после появления системы проверки QR-кодов в Москве появились масса способов обмана как самой процедуры, так и всей системы контроля.
Одни предостерегают от подделки QR-кодов и покупки сертификатов вакцинаций. Другие чуть ли не открыто хвалятся обратным. И только вакцинированные свободно заходят в кафе и МФЦ, наслаждаясь свободой.
Что напридумывали россияне в национальной гонке против неизбежного – вакцинации или болезни? И как на это реагируют власти? Все актуальные данные по QR-марафону в столице мы собрали в этом сжатом материале.
Кто может получить QR-код
Пример QR-кода в электронном сертификате вакцинации из Госуслуг.
◆ граждане, прошедшие вакцинацию. QR-код содержится в электронной версии сертификата о получении второго компонента вакцины от COVID-19 (или однокомпонентной вакцины), зарегистрированной в РФ
◆ граждане, получившие действующий отрицательный результат ПЦР-теста. С таким QR-кодом посетить заведение можно, если с момента готовности результата и его регистрации прошло не более 72 часов
◆ граждане, переболевшие коронавирусной инфекцией. QR-код может быть использован при посещении ресторана в течение шести месяцев с даты выздоровления.
Как работает проверка QR-кода в заведениях Москвы
Пример страницы, открывающейся при сканировании QR-кода.
1. Вы получаете QR-код:
► с помощью специального сервиса mos.ru/qr
► в поликлинике — обратитесь в регистратуру или распечатайте самостоятельно с помощью инфомата
► в приложении «Госуслуги СТОП Коронавирус» (App Store и Google Play). Авторизуйтесь под своей учетной записью (ЕСИА), выберите статус («здоров») и заполните анкету, затем сохраните QR-код на свой смартфон или сделайте скриншот
► на портале Госуслуги. Для этого авторизуйтесь под своей учетной записью (ЕСИА) и выберите в каталоге услугу «Вакцинация COVID-19»
2. Вы показываете код со смартфона (или распечатанный) в кафе. На него наводят камеру, переходят по предложенной кодом ссылке и видят: ваш статус, первые буквы ФИО, несколько цифр номера паспорта и полная дата рождения.
Где сейчас надо предъявлять QR-код
Пока только в помещениях и внутренних территориях кафе, ресторанах и заведениях общественного питания. Важный момент: это пока не распространяется на летние веранды, а также на заказы «на вынос».
Грубо говоря, если вы хотите присесть в помещении, чтобы поесть или выпить кофе, с вас должны спросить сертификат. Даже если зона питания размещена в супермаркете, от вас всё равно потребуют QR-код либо кассир, либо охрана.
Большинство кафе и ресторанов в Москве продолжают работать. Если у вас есть QR-код вакцинации, переболевшего или результата ПЦР, вы можете сесть в практически (или полностью) пустых залах там, где раньше днём всё было занято.
Однако во многих торговых центрах все места размещения на фудкортах закрыты и опечатаны. Некоторые заведения вообще закрыли помещения и оставили заказы только «на вынос», а также доставку. Поэтому даже с QR-кодом может получиться так, что сесть вам будет банально негде.
Некоторые заведения обходят запрет, формально не являясь организацией общественного питания. Но уже есть свидетельства, что Роспотребнадзор и полиция всё равно выписывают им предупреждения, после чего остается либо соблюдать ограничения, либо готовиться к закрытию после следующей проверки.
Как подделываются QR-коды
Группы, продающие сертификаты и QR-коды, есть даже в Telegram.
▪ Использование чужого, но настоящего QR-кода. Берётся чей-то код вакцинированного и выдаётся за свой.
Однако нередко (и с нарастающей частотой) помимо QR-кода у вас спрашивают паспорт. Данные на открывшейся странице подтверждения не совпадают, и вам отказывают в обслуживании.
▪ Генерация QR-кода на подставном сайте. Вы отдаёте свои данные неизвестно кому и получаете QR-код. При его сканировании смартфон перенаправляется на сайт, визуально копирующий страницу на Госуслугах, где указаны ваши данные и «подтверждается» факт вакцинации.
Правоохранительные органы и официальные лица объявили борьбу с этим методом и обещают наказание вплоть до уголовного тем, кто будет использовать такие коды. Теоретически, подставные сайты, куда перекидывают такие QR-коды, может заблокировать Роскомнадзор – и тогда все коды, ведущие туда, перестанут работать.
▪ Ложная прививка с «проведением» сертификата через Госуслуги. Цены в даркнете варьируются от нескольких тысяч до 15-20 тысяч рублей. Предложений масса также как в поисковиках, так и в мессенджерах, включая специализированные боты и группы. Мошенников среди них ожидаемо много, так как жаловаться клиенту в случае обмана абсолютно некому. Есть сообщения, что некоторые умудряются получать таким образом действительные записи о прививке в Госуслугах.
Незаконность этого метода очевидна. Участвующим в таких схемах грозит уголовное преследование. Сегодня прошла информация, что в Москве начали задерживать курьеров с бумажными версиями таких сертификатов.
Что грозит тем, кто использует поддельные QR-коды
Приобретение, хранение, перевозка в целях использования или сбыта либо использование заведомо поддельного сертификата как официального документа, предоставляющего права или освобождающего от обязанностей, карается уголовным наказанием до одного года лишения свободы.
Пока о таких случаях не сообщалось.
Что дальше будет с проходом по QR-кодам?
С учётом текущей ситуации с заболеваемостью коронавирусом, снятие этих условий в ближайшее время маловероятно. Власти Москвы не исключают, что рассматривают распространение проверки QR-кодов на другие сферы, включая транспорт. Но пока конкретных решений по этому поводу не принимали.
Поэтому пока QR-коды остаются актуальными для жителей и гостей столицы. Моё мнение по этому поводу – вместо того, чтобы ходить за ПЦР каждые три дня, лучше сделать прививку. Причём чем раньше, тем лучше: ведь QR-код вы получите только после второго укола двухкомпонентными вакцинами, а тот наступит не раньше двух недель после первого.
Места, где можно сделать прививку в Москве сейчас, мы ранее перечислили в отдельной статье.
В Москве активно подделывали QR-коды и сайты «Госуслуг»
Люди хотят ходить в кафе, рестораны, кино и театры.
Фото: Владислав Воднев / Sputnik
В российском сегменте интернета стали появляться источники фальшивых QR-кодов для москвичей, чтобы те могли без ограничений посещать рестораны и бары. Об этом пишет «КоммерсантЪ».
Что за QR-код?
С 28 июня в Москве можно посещать рестораны, кафе и бары только в том случае, если у посетителя есть QR-код.
QR-код должен свидетельствовать о том, что:
Подробнее о QR-кодах вы можете прочитать в моём тексте, вышедшем на прошлом неделе:
Официально: QR-коды о вакцинации для москвичей будут доступны только после второй вакцины
Как подделывают?
Технология до глупости проста: создаётся сайт, похожий по интерфейсу на «Госуслуги». Туда вбиваются данные человека, желающего посетить рестораны. Затем ссылка на эту страницу генерируется в виде QR-кода.
Поддельные домены легко спутать с настоящим сайтом «Госуслуг». Количество подобных сайтов резко увеличилось в последние месяцы. Например, «Серчинформ» насчитал 29 штук на данный момент, хотя в марте было не больше двух.
Чем грозит?
Помимо того что такие люди могут заразить других и заразиться сами (даже вакцинированные могут быть переносчиками), им грозит уголовное преследование по статье 327 УК РФ — «Подделка и использование официальных документов».
QR-код не является документом, а статья 327 УК РФ может вменяться только к бумажным документам на официальных бланках, утверждённых госстандартом, либо к электронным документам, подписанным электронной цифровой подписью.
Член комиссии по правовому обеспечению цифровой экономики московского отделения Ассоциации юристов России
И вот тут появляются вопросы к самой системе: если её сделали столь ненадёжной, то для чего нужны такие ограничения? В Европе, например, глубокая проверка подобных QR-кодов уже создана. Для чего заново изобретать колесо?