Что значит поддельный qr код
Названы основные схемы мошенничества с QR-кодами
Одновременно с введением QR-кодов о вакцинации распространились две основные схемы мошенничества с этим документом. Об этом «Известиям» рассказал главный эксперт «Лаборатории Касперского» Сергей Голованов.
По его словам, в России начали продавать коды, которые ведут на фишинговые страницы, имитирующие официальные ресурсы. Также на черном рынке распространилась покупка реальных кодов привитых россиян.
Эксперты предупредили, что покупка поддельного сертификата влечет уголовную ответственность (часть 3 статьи 327 УК РФ) с наказанием до одного года лишения свободы. При этом использование чужого или фейкового QR-кода пока остается ненаказуемым деянием из-за пробелов в законодательстве.
Материалы по теме
«Всегда будут несогласные»
«Охотнее доверяют соседке, чем врачу»
Впрочем, отметила адвокат Юлия Кремер, если QR-код содержит гиперссылку на сертификат о вакцинации с номером, датой рождения и датой вакцинации, такой код будет считаться официальным документом, и его подделка также подпадает под соответствующую статью Уголовного кодекса. Если же при переходе по QR-коду таких данных не обнаружится, то оснований для обвинения в подделке документов не последует.
Ранее сообщалось, что спрос на получение сертификатов о вакцинации в России вырос, как и количество мошенников, которые наживаются на антипрививочниках. Продавцы предлагают получить нелегальный документ и оформить QR-код на госуслугах. В частности, в Telegram начали появляться сотни каналов, где мошенники продают «официально зарегистрированный» QR-код. Стоит эта услуга от 4 до 6 тысяч рублей. За 2 тысячи рублей продавцы предлагают ПЦР-тесты, которые якобы будут учтены в базах медицинских клиник, а липовый отвод от прививки у них можно купить за 3 тысячи.
До этого эксперт Центра финансовой грамотности НИФИ Минфина России Ольга Дайнеко сообщила, что мошенники начали обманывать россиян, предлагая сделать бесплатный ПЦР-тест на коронавирус. По ее словам, персональные данные граждан представляют для мошенников не меньший интерес, чем деньги. «Ситуация с коронавирусом, карантин, ограничения и изменения законодательства — все это благодатная почва для новых сценариев мошенников», — сказала сотрудник центра.
Эксперты рассказали о схемах мошенничества с QR-кодами
Существуют две основные схемы мошенничества с QR-кодами о вакцинации от коронавируса: приобретение фальшивых кодов, которые ведут на фишинговые страницы, и покупка настоящих матричных кодов у злоумышленников. Об этом «Известиям» рассказал главный эксперт «Лаборатории Касперского» Сергей Голованов.
Другой специалист, ведущий эксперт информационной безопасности ИT-компании КРОК Виктор Рыжков, рассказал, что в случае использования фальшивого QR-кода при переходе по нему проверяющий попадет на поддельный сайт, внешне похожий на страницу проверки на «Госуслугах». На странице будет указана вся необходимая информация, включая паспортные данные «владельца» и дату вакцинации.
Специалист отметил, что при использовании такого сервиса человек может заплатить злоумышленнику и не получить даже поддельного QR-кода. При утечке же персональных данных мошенники могут продавать их, а покупатели — шантажировать тех, чьи личные данные были использованы. «Например, звонить гражданам с угрозой передать сведения о фальсификации QR-кода в правоохранительные органы и требованием выкупа за «удаление данных из базы», — пояснил Рыжков.
По его словам, за время пандемии сформировался теневой рынок по продаже фальшивых QR-кодов, а украденные QR-коды привитых россиян продаются на черном рынке.
«QR-код — это визуальная информация, никак не защищенная от копирования. Поэтому появляется еще один дополнительный вектор атаки: злоумышленнику достаточно находиться в непосредственной близости к жертве во время предъявления QR-кода и воспользоваться камерой своего смартфона», — подчеркнул эксперт КРОК. Другие способы кражи QR-кода — взлом почтовых ящиков и аккаунтов на портале госуслуг.
Чтобы предотвратить кражу QR-кодов, Рыжков посоветовал:
Он рекомендовал проверяющим быть начеку: использовать для проверки QR-кодов официальное приложение или сканер с функцией сверки по «белым спискам», а также проверять доменное имя в ссылке перехода.
Использование чужого или поддельного QR-кода пока остается вне правового поля, отмечают «Известия». Но если QR-код содержит гиперссылку на сертификат о вакцинации с номером, датой рождения и датой вакцинации, он будет считаться официальным документом. Поэтому использование заведомо подложного QR-кода может наказываться по п. 5 ст. 327 УК (от штрафа в 80 тыс. руб. до ареста на срок до шести месяцев), рассказала изданию адвокат Юлия Кремер.
По словам юриста по финансовым спорам Анны Грецкой, присвоение чужого QR-кода можно расценивать как завладение чужими персональными данными (ч. 1 ст. 13.11 КоАП, штраф для физлиц составляет от 2 тыс. до 6 тыс. руб.). Если злоумышленник незаконно собирал и распространял личную информацию других людей (к ней могут относиться и сведения о вакцинации), ему может грозить штраф до 200 тыс. руб. или лишение свободы на срок до двух лет (по ст. 137 УК). Такие же меры могут быть приняты в соответствии со ст. 272 УК в отношении тех, кто скопировал QR-код с чужого гаджета: информация, хранящаяся на компьютере, охраняется законом, ее нельзя копировать, удалять и блокировать.
12 ноября правительство внесло в Госдуму законопроекты о введении QR-кодов в общественных местах, их могут рассмотреть в первом чтении 16 декабря. Сейчас QR-коды обязательны для посещения общественных мест в некоторых регионах России.
IT-специалисты рассказали, как отличить поддельный QR-код
Поддельные QR-коды ведут на фальшивые сайты Госуслуг. Таким образом настоящий код можно отличить от подделки. Об этом в беседе с URA.RU рассказали член экспертного совета при Генеральной прокуратуре РФ по вопросам информационных технологий, генеральный директор компании Zecurion (разработка систем для защиты от утечек информации) Алексей Раевский и руководитель аналитического центра Zecurion Владимир Ульянов.
«Настоящий QR-код невозможно внешне отличить от поддельного, так как это просто черно-белый квадратик, но переход с него на сайт может показать, что это не официальный сайт Госуслуги.ру, а фишинговый сайт Госуслуг. При проверке люди с поддельными QR-кодами показывают информацию с этого специально созданного дубля сайта Госуслуг», — объяснил Алексей Раевский.
Спикер подчеркнул, что на официальном сайте Госуслуг поддельный QR-код появиться не может. «Довольно сложно сделать QR-код на сайте Госуслуг, так как туда нужно как-то залезть, подкупить кого-то из сотрудников, это очень сложно и затраты на такую схему будут очень высокими. Проще создать поддельные сайты. Их в первый локдаун появилось много, часть была заблокирована», — добавил Раевский.
По словам Владимира Ульянова, проверяющие QR-кодов могут не заметить подделку, если пользуются обычным сканером смартфона. «Если сделать дубль сайта Госуслуг с похожим интерфейсом, проверяющий, наведя стандартный сканер смартфона, может не заметить, куда он ведет. Так как страничка будет похожа, нужные цвета, нужная информация, сверил все с документами обладателя QR-кода и все. Но если проверяющие будут использовать специальные приложения, то подобные ссылки, которые не ведут на Госуслуги, будут отсекаться», — заявил он.
Ранее замглавы Минцифры РФ Олег Качанов рассказал о запуске на Госуслугах «Сканера». При проверке QR-кодов, выпущенных мошенниками, будет выдаваться ошибка. Ранее представитель президента РФ Дмитрий Песков заявил, что российские губернаторы имеют право ввести QR-коды в аэропортах и на вокзалах. Система кодов разворачивается во многих регионах РФ.
Не свое на уме: чем грозит использование чужого QR-кода
Посещение общественных мест во многих регионах страны требует предъявления QR-кода, подтверждающего вакцинацию. Также обычно необходимо показать документ, удостоверяющий личность. В ходе таких проверок нередко выясняется, что студент пытался пройти в торговый центр с кодом пенсионера, а девушка — с «кьюаром» подруги. За такие подмены грозит реальное наказание — как административное, так и уголовное. Особо строгие меры предусмотрены в том случае, если QR-код был украден. Подробнее — в материале «Известий».
Как злоумышленники могут заполучить QR-код
По словам главного эксперта «Лаборатории Касперского» Сергея Голованова, существуют две основные схемы мошенничества, связанные с использованием QR-кода: продажа «кьюаров», которые ведут на фишинговые страницы, имитирующие официальные ресурсы, и покупка реальных матричных кодов у злоумышленников.
— В первом случае проверяющим очень важно удостовериться, что ссылка в адресной строке верная. Во втором обнаружить неладное будет почти невозможно, — говорит эксперт, подчеркивая, что регуляторы принимают активные меры по разрешению таких ситуаций.
Ведущий эксперт информационной безопасности IT-компании КРОК Виктор Рыжков добавил, что за время пандемии сформировался теневой рынок по продаже фальшивых QR-кодов. При переходе по матричному штрихкоду проверяющий попадает на поддельный сайт, визуально схожий со страницей проверки на госуслугах и содержащий всю необходимую для сверки информацию: паспортные данные, дату вакцинации и другие сведения.
— Однако при использовании такого сервиса покупатель может заплатить и не получить даже фальшивого QR-кода, — заметил эксперт. — Более того, при утечке персональных данных граждан мошенники теоретически могут продавать их, а покупатели использовать с целью шантажа. Например, звонить гражданам с угрозой передать сведения о фальсификации QR-кода в правоохранительные органы и требованием выкупа «за удаление данных из базы».
По словам Рыжкова, украденные QR-коды привитых россиян также продаются на черном рынке. При таком сценарии основной проблемой для покупателя станет только сверка с удостоверением личности, которое, весьма вероятно, будет подделано.
Получить доступ к действующему «кьюару» вполне реально, считают эксперты. Не стоит забывать, что QR-код — это информация, которая хранится, как правило, не только на портале госуслуг, но и на мобильном устройстве или в почтовом ящике пользователя. Поэтому методы, используемые злоумышленниками, не являются принципиально новыми: подбор пароля от почтового ящика или аккаунта на госуслугах. Критическими факторами здесь становятся сложность пользовательского пароля и использование двухфакторной аутентификации при входе.
В России заводят уголовные дела за поддельные QR-коды. Что грозит их покупателям
Черный рынок растет ежедневно
Нелегальная торговля активно началась в России еще летом, когда власти объявили, что с 28 июня в Москве нельзя будет попасть в кафе и рестораны без QR-кода, подтверждающего, что человек прошел вакцинацию от COVID-19, переболел в последние полгода или получил отрицательный ПЦР-тест не ранее трех дней назад.
Осенью аналогичные ограничения ввели в регионах. В ноябре объявили о подготовке федеральных законопроектов о введении QR-кодов на транспорте и в магазинах.
По всей стране введут QR-коды в магазинах и на транспорте. Главное о новых законах
По оценкам специалистам по кибербезопасности, количество сайтов и каналов, предлагающих поддельные QR-коды, ежедневно увеличивается. Основатель сервиса разведки утечек данных и мониторинга даркнета DLBI Ашот Оганесян заявил РБК, что усиление контроля за наличием QR-кодов станет «спусковым крючком» для черного рынка, и он начнет расти в арифметической прогрессии.
«Злоумышленники всегда быстро реагируют на новостную повестку, особенно связанную с коронавирусом и ограничениями. Поэтому уже сейчас мы видим рост количества подобных ресурсов, его пик пришелся на середину октября и может продолжиться в дальнейшем», — дал сходий прогноз главный эксперт «Лаборатории Касперского» Сергей Голованов.
Схемы и ценники
Аналитики выделяют три основные преступные схемы:
Стоимость предлагаемого QR-кода, с которым информация о вакцинации будет отображаться на «Госуслугах», в среднем по стране составляет 4 тыс. рублей; QR-кодов, ведущих на поддельный сайт государственного сервиса с информацией о вакцинации заказчика — 2,5 тыс. рублей.
«При этом 95% продаваемых на черном рынке QR-кодов являются мусором — сертификаты не внесены ни в какие базы, а фейковый сайт не пройдет проверку, в случае если код будет сканироваться специальной программой», — подчеркнул ведущий аналитик отдела выявления цифровых угроз Infosecurity Александр Вураско. Люди, использующие такие поддельные QR-коды, надеются на невнимательность проверяющих.
Краш-тест covid-free зон. Мы зашли в «Гринвич», «Пилки» и Zara по QR-коду, ведущему на указ губернатора
Хроника уголовных дел
В июле в Москве завели первое уголовное дело о мошенничестве (ч. 1 ст. 159 УК РФ) за сбыт и приобретение фальшивого QR-кода.
В середине ноября в Вологодской области возбудили уголовное дело против жительницы Череповца, которая пыталась предъявить на работе поддельный сертификат о вакцинации.
В конце месяца первое уголовное дело о покупке QR-кода завели в Волгограде. Жительница города купила прививочный сертификат. Полицейские вычислили ее при сверке с медучреждением, где женщина якобы сделала прививку.
В Свердловской области в 2021 году возбудили три уголовных дела, связанных с подделкой документов. Одно — по факту продажи фальшивых медотводов от вакцинации по ч. 1 ст. 327 УК РФ (подделка, изготовление или оборот поддельных документов, государственных наград, штампов, печатей или бланков) и два дела — по факту продажи поддельных сертификатов о вакцинации по ч. 3 ст. 327 УК РФ.
Наказание для покупателей
Тем, кто купил нелегальный QR-код, теоретически может грозить сразу два обвинения.
Передачу информации о себе сотрудники правоохранительных органов могут трактовать как пособничество в подделке документа (ч.1 ст. 327 УК РФ). Статья предполагает наказание в виде ограничения свободы на срок до двух лет, либо принудительными работами на срок до двух лет, либо арестом на срок до шести месяцев, либо лишением свободы на срок до двух лет.
Сам факт покупки и использования поддельного документа это еще одно преступление (ч.3 ст. 327 УК РФ).По этой статье предусмотрено ограничение свободы на срок до одного года, либо принудительные работы на срок до одного года, либо лишение свободы на срок до одного года.
Также может грозить ответственность за дачу мелкой взятки (ст. 291.2 УК РФ) — до года лишения свободы).
Существует и другая опасность. По данным Telegram-канала «Незыгарь», на черном рынке выставлены на продажу базы на 30 тыс., 270 тыс. и 680 тыс. строк персональных данных: ФИО, адреса, номера телефонов, паспортов, полисов ОМС и СНИЛС. Гендиректор Infosecurity Кирилл Солодовников заявил РБК: «Глупо ожидать, что представители криминала будут внимательно относиться к чьим-то персональным данным». Более того, тех, кто приобрел поддельный сертификат, могут шантажировать обращением в правоохранительные органы или навязать дополнительную услугу, например, продление сертификата.
Как избежать проблем
Бесплатную прививку от коронавируса можно поставить в следующих медучреждениях:
Информацию о режиме работы прививочных кабинетов и контактные телефоны вы найдете по ссылке.
Кроме того, прививку можно поставить в некоторых торговых центрах города — например, в «Гринвиче», «Омеге», «Дирижабле», «МЕГЕ» и в других. Но здесь прививки ставят не каждый день — график выездных прививочных пунктов постоянно меняется. Актуальный список с графиком работы пунктов можно найти здесь, его публикуют каждое утро.