Что значит поддельный qr код

Штраф или срок грозит за фейковый QR-код. Нарушителей спасет только человеческий фактор

Эксперт Масалович: информацию о поддельных QR-кодах автоматически никуда не передают — все зависит от проверяющего

В Москве возбудили порядка 80 уголовных дел об использовании фейковых QR-кодов и сертификатов о вакцинации. Об ответственности за подделку россиян уже предупреждали. Но готовые платить за обман люди все равно находятся, не задумываются о последствиях.

Мэр столицы Сергей Собянин пояснил, что озвученное им число является общим количеством случаев с начала пандемии. В интервью Наиле Аскер-заде на телеканале «Россия 24» он заметил, что проблемы не являются глобальными.

«За все время, если мне память не изменяет, возбуждено около 80 уголовных дел по поддельным сертификатам. Это, конечно, ничтожно мало и никак на всю систему не влияет», — подчеркнул Собянин, добавив, что в городе QR-коды получили порядка семи миллионов человек.

С надеждой на авось

Президент организации «Консорциум Инфорус» Андрей Масалович в беседе с «360» пояснил, что видов у поддельных QR-кодов несколько. В первом случае он просто может содержать произвольную фразу. Программа просто считывает то, что на нем написано.

«Человек предъявляет левый QR-код в надежде, что на него посмотрят и не будут проверять», — пояснил Масалович, добавив, что в таком случае нарушителю не грозит даже административная ответственность.

Второй вариант предполагает, что QR-код срабатывает и ведет на сайт госуслуг. Его можно открыть и подтвердить вакцинацию от коронавируса. Но выписан код на другого человека. По словам специалиста, за такое предусмотрено административное наказание.

Третий способ: вы предъявляете QR-код, который ведет на фишинговый сайт. Здесь уже [грозит] уголовная статья

При выявлении поддельных кодов автоматически информация никуда не поступает, уточнил Масалович. Решение примет человек, который его проверяет.

«Вы протянули смартфон, другой человек навел свой смартфон. Вы в его руках. Если он достаточно грамотный и видит, что ваш QR-код поддельный, то дальше примет решение — прогнать, задержать, вызвать полицию», — сказал он.

Самым серьезным правонарушением, напомнил Масалович, будет сговор с медработниками для ложной вакцинации. В этих случаях код настоящий, человек за него заплатил, но самой прививки не было.

Больше всего дел о поддельных QR-кодах, предположил президент «Консорциума Инфорус», связано как раз с переходами на фишинговые сайты и внесенными в систему подложными сертификатами о вакцинации.

Дела о QR-кодах

Первое уголовное дело в Москве о приобретении поддельного QR-кода возбудили в июле 2021 года, писал ТАСС. Тогда мужчина заплатил за подделку девять тысяч рублей. Затем начали поступать сведения о правонарушениях и из других регионов.

Например, в Татарстане осенью завели 38 уголовных дел о фейковых кодах, сообщала пресс-служба ГУ МВД по региону. Всего правоохранители выявили 41 факт изготовления и продажи липовых сертификатов о вакцинации.

В Омской области силовики, писал «Город55», обнаружили 44 сайта, которые торговали поддельными QR-кодами. Против предъявивших фиктивные документы о вакцинации возбудили уголовные дела.

Полиция активно включилась в борьбу с фальшивками. Во второй половине 2021 года завели более 500 дел о подделке и распространении сертификатов о вакцинации, QR-кодов, результатов ПЦР-тестов, справок о противопоказаниях к прививке или о высоком количестве антител. Данные приводил ТАСС со ссылкой на официального представителя ГУ МВД Ирину Волк. По инициативе правоохранителей заблокировали свыше двух тысяч интернет-сайтов, через которые поддельные документы и распространялись.

Наказание за подделку

Председатель комитета Совета Федерации по конституционному законодательству Андрей Клишас напоминал «Парламентской газете», что за использование поддельных QR-кодов для посещения кафе и ресторанов может грозить до двух лет лишения свободы.

Сенатор отнес ситуацию к нарушению санитарных правил и несоблюдению противоэпидемических мероприятий во время действия ограничений, что может привести к штрафу от 15 до 40 тысяч рублей.

«Если при этом возникает угроза заражения других граждан (например, если недобросовестный посетитель болеет ковидом и знает об этом), то подлежит применению часть 1 статьи 236 УК РФ с максимальной ответственностью до двух лет лишения свободы», — уточнил Клишас.

Продавцам QR-кодов, подчеркнул он, грозит до двух лет лишения свободы.

Замглавы Минцифры Олег Качанов, отмечал ТАСС, рассказывал о внедренном механизме на портале госуслуг для проверки кодов. Инструментом для этого стал «Сканер» мобильного приложения «Госуслуги Стопкоронавирус».

Если сертификат выпустили мошенники, то при его сканировании будет открываться отдельная страница на портале и выдаваться ошибка.

Источник

QR-код, да не тот

Рассказываем, как не попасться на удочку киберпреступников при сканировании QR-кодов.

QR-коды есть на йогурте и музейной табличке, квитанции за коммунальные услуги и лотерейном билете. С их помощью открывают сайты, скачивают приложения, копят бонусы в программах лояльности, отправляют денежные переводы и даже просят милостыню. Эта доступная и практичная технология понравилась многим — и, как это часто бывает, киберпреступникам тоже: они уже вовсю применяют QR-коды в своих схемах. Рассказываем, что может пойти не так с черно-белыми квадратами и как их использовать без вреда для себя.

Что такое QR-коды и как ими пользоваться

В наше время смартфон есть уже почти у всех. Во многих современных моделях есть встроенный QR-сканер. На остальные можно скачать приложение — для чтения всех кодов вообще или какое-нибудь специализированное, например — разработанное музеем.

Если включить QR-сканер и навести камеру телефона на код, запустится некий процесс. Чаще всего смартфон предложит вам перейти на тот или иной сайт или откроет страницу определенного приложения в магазине. Есть и другие варианты, о них — чуть позже.

Специализированные сканеры отличаются от собратьев тем, что лучше «работают в паре» со «своими» QR-кодами. Допустим, вы видите табличку перед выдающимся деревом в парке, и на ней есть квадрат QR. Если вы загрузили себе официальное приложение этого парка, QR-коды на таких табличках превратятся для вас в цельную экскурсию, а стандартный сканер, распознав их, просто предложит перейти на сайт парка и прочесть описание каждого экспоната на отдельной странице.

Кроме того, некоторые приложения могут создавать QR-коды, чтобы передать тому, кто их отсканирует, какую-то вашу информацию — например, имя и пароль вашей сети Wi-Fi или даже платежные реквизиты счета в банке.

Как киберпреступники используют QR-коды

Что может пойти не так, спросите вы? Очень и очень многое. Поскольку содержимое QR-кода обычному человеку не понять, фактически мы полагаемся на честность тех, кто загружает в них информацию. Мы не можем заранее проверить, что произойдет, когда мы отсканируем заветный квадрат, — или что именно на самом деле записало туда приложение, в котором мы создавали свой квадрат. Это открывает массу возможностей для злоупотребления.

Фальшивые ссылки

Так, созданный преступниками QR-код может привести вас на фишинговый сайт, имитирующий, например, страницу входа в социальную сеть или личный кабинет в банке, чтобы вы ввели там свои данные на радость преступникам. Обычно мы советуем смотреть на ссылку, прежде чем переходить по ней, — но в самом QR-коде шанса заметить странные символы нет, а для пущей надежности злоумышленники часто используют короткие ссылки — так сложнее распознать подделку, когда смартфон просит подтвердить переход.

Похожая схема существует и с QR-кодами для быстрой загрузки приложений. Вместо игры или полезного сервиса, которые вы ожидаете получить при взгляде на рекламный плакат, есть шанс скачать зловред, который позже, например, украдет ваши пароли или начнет рассылать что-нибудь непотребное вашим контактам.

Закодированные в QR-коде команды

Но и это не все: QR-код может служить не только ссылкой на сайт, но и командой для выполнения определенных действий. Вот лишь неполный их список:

• Добавить новый контакт в адресную книгу.
• Совершить исходящий звонок на заданный номер.
• Создать черновик электронного письма и заполнить адрес получателя.
• Отправить SMS от вашего имени.
• Сообщить ваше местоположение вызванному приложению.
• Подписаться на определенный аккаунт в соцсетях.
• Создать встречу в календаре.
• Добавить данные для подключения к определенной Wi-Fi сети и внести ее в список предпочтительных.

Все это задумывалось для автоматизации мелких действий. Например, считав QR-код, можно добавить в телефонную книгу всю контактную информацию с визитки, отправить сообщение об оплате парковки по нужному шаблону или выдать доступ к гостевому Wi-Fi.

Но эти же возможности делают QR-код эффективным средством для незаметных манипуляций. Например, мошенники могут внести в адресную книгу свой номер под именем «Банк», чтобы придать вес звонку с попыткой выманить ваши деньги. Или, например, позвонить на платный номер за ваш счет. Или узнать, где вы находитесь… Малоприятные перспективы.

Как киберпреступники маскируют QR-коды

Безусловно, для того чтобы злоумышленники вам навредили, им нужно, чтобы вы отсканировали именно их QR-коды. И для этого у них есть пара любимых приемов.

Мошеннические источники QR-кодов. Чаще всего к этому способу прибегают, чтобы убедить жертву скачать зловредное приложение. Его создатели могут разместить QR-код со ссылкой на свое детище на сайте, в баннере, электронном письме или даже на бумажном объявлении. Часто рядом для большей достоверности размещают логотипы Google Play или App Store.

Подмена QR-кода. Нередко злоумышленники пользуются чужим трудом и репутацией и просто заклеивают настоящий QR-код на плакате или табличке подложным.

Кстати, подменой QR-кодов в последнее время стали пользоваться не только киберпреступники, но и беспринципные активисты общественных течений — для распространения своих идей. В Австралии недавно был арестован мужчина, который переклеил несколько QR-кодов на табличках службы по контролю за COVID-19, чтобы вместо сервиса для записи посетителей общественных мест люди попадали на сайт с агитацией антипрививочников.

QR-код, в который запакованы банковские реквизиты, можно подменить при его отправке будущему плательщику — например, распечатав и разложив по почтовым ящикам фальшивые квитанции на оплату коммунальных услуг. Вместо настоящего получателя деньги придут на счет злоумышленника.

Как не попасть в беду с QR-кодом

Чтобы не стать жертвой киберпреступников, при использовании QR-кодов соблюдайте несколько простых правил:

• Не пользуйтесь QR-кодами, полученными из очевидно подозрительных источников.
• Обращайте внимание на ссылки, которые отображаются при сканировании кода. Будьте особенно осторожны, если внешний вид URL изменили при помощи сервиса сокращения ссылок, — в случае с QR-кодами для этого нет веских причин. Лучше найдите интересующий вас сайт поиском в Интернете, а приложение — через официальный магазин.
• Прежде чем сканировать QR-коды с рекламных плакатов и вывесок, убедитесь, что оригинальное изображение не заклеено картинкой с подложным кодом.
• Используйте программы проверки QR-кодов. Например, QR Scanner «Лаборатории Касперского» (есть версия и для Android, и для iOS) проверяет код на наличие вредоносного содержимого и предупреждает пользователя об опасности.

Также стоит помнить о еще одной опасности, связанной с QR-кодами: злоумышленники могут воровать коды, в которые зашита какая-то ценная информация — например, номер электронного билета. Поэтому не стоит публиковать в соцсетях документы с QR-кодами или их фотографии.

Источник

Всё о поддельных QR-кодах. Их правда массово продают? Как их проверяют? И что грозит покупателям фальшивых сертификатов?

В октябре поисковики зафиксировали десятки тысяч запросов о продаже поддельных сертификатов о вакцинации от коронавируса. С начала года полиция города и области возбудила больше 50 уголовных дел о фальсификации коронавирусных документов. Петербуржцы подтверждают, что за несколько тысяч рублей получают действующие QR-коды — без прививки.

Как работает рынок продажи сертификатов? Сколько петербуржцев могли их купить? И как реагируют власти и полиция? «Бумага» поговорила с экспертами и отвечает на главные вопросы о фальшивых документах о вакцинации.

Говорят, сертификат о вакцинации можно купить. Это правда настолько доступно?

В интернете можно найти десятки действующих объявлений о продаже фальшивых ковидных документов. Если ввести запрос «купить сертификат о вакцинации» в Google, нужные ссылки появятся в блоке рекламы. «Яндекс» по этому запросу выдаст предупреждение об уголовной ответственности за подделку документов — оно появится сразу под блоком поиска. Но первыми в списке выдачи «Яндекса» всё равно отобразятся сайты, где можно купить такой сертификат.

Некоторые ссылки из поисковиков ведут в телеграм-каналы, обнаружила «Бумага». В некоторых из них опубликован один или несколько постов, авторы которых обещают клиентам сертификаты с «занесением в реестр „Госуслуг“». На сайтах же зачастую указан лишь контактный номер телефона.

Создатели объявлений пытаются убедить пользователей в простоте и надежности их услуг. На одном из сайтов, например, опубликованы якобы отзывы клиентов: «Ужас с этими вакцинациями! На работе обязали, в ресторан не сходить! Спасибо огромное за помощь!», «Стояла угроза увольнения, а делать мало изученную вакцину вообще не было желания, теперь у меня есть QR-код, и я очень доволен».

Как рассказал «Бумаге» Макс Попов — администратор группы «Вакцины от ковида. Личный опыт: Проект V1V2» в фейсбуке, — он и его коллеги еженедельно обнаруживают в телеграме от двух до нескольких десятков новых объявлений о продаже сертификатов о вакцинации.

В телеграм-каналах, которые нашла «Бумага», за сертификат просят от 1 до 7 тысяч рублей: самые дорогие — с «внесением в реестр вакцинированных», самые дешевые — «без внесения».

Но QR-коды же проверяют. Разве поддельные документы не вычислить?

Как правило, поставщики поддельных документов утверждают, что продают сертификаты о вакцинации «с занесением в „Госуслуги“». Лишь в некоторых объявлениях предлагается вариант без занесения в базу данных, заметила «Бумага».

Замглавы Минцифры Олег Качанов заявлял, что фальшивый документ может вычислить инструмент «Госуслуг» «Сканер». «При сканировании сертификатов, выпущенных мошенниками, откроется отдельная страница на портале „Госуслуг“ и будет выдаваться ошибка», — отмечал Качанов. Однако как именно власти собираются отличать поддельный сертификат от настоящего, не уточняется.

Один из владельцев фальшивого сертификата рассказал «Бумаге», что если просканировать его QR-код, то в браузере откроется реальный сайт «Госуслуг»: там есть номер документа, его срок действия, инициалы обладателя и дата рождения — всё то же, что отображается при проверке настоящего сертификата. Это может объясняться одной из схем получения сертификата: некоторые медики за деньги заносят реальные данные непривитого пациента в «Госуслуги», — а ампулу с вакциной утилизируют.

Глава Центра имени Гамалеи Александр Гинцбург говорил о разработке теста, позволяющего определить, действительно ли у человека есть антитела, формирующиеся после введения вакцины. Но провести такой тест можно, только проведя анализ крови. Пока эти тесты не проводят повсеместно.

А в больницах проверяют подлинность сертификатов у пациентов?

Если человек попадает в больницу, врач спрашивает, привит ли пациент от коронавируса. Наличие сертификата не обязательно, — а проверить его подлинность врачи не могут и не обязаны.

Александр Руссин
заведующий отделением анестезиологии и реанимации Мариинской больницы

— Чаще всего у человека ничего [из ковидных документов] с собой нет. Кто-то показывал [сертификат о вакцинации] с телефона, но в основном всё ограничивается устным общением. Если [сертификат] есть в распечатанном виде, мы его прикладываем к истории болезни. Но мы не имеем возможности фактически проверить его [подлинность].

В пресс-службе Покровской больницы «Бумаге» также сообщили, что собирают данные о наличии прививки только со слов пациента, а сертификаты не спрашивают.

Александр Руссин и источники «Бумаги» в больнице имени Боткина и Покровской больнице также отметили, что никогда не сталкивались с пациентами, которые сами бы признались в покупке поддельного сертификата.

Как изготавливают фальшивые сертификаты?

В июле 2021 года издание Baza выпустило расследование о рынке поддельных сертификатов. Один из продавцов сообщил изданию: чтобы сертификат о вакцинации отобразился на сайте «Госуслуг», медик должен утилизировать предназначенную пациенту ампулу — вылить ее содержимое. «Если вдруг потом какая проверка будет, сложно объяснить, откуда десятки ампул лишних взялось с вакциной», — объяснил источник необходимость утилизации препаратов.

Существует несколько цепочек распространения поддельных сертификатов, рассказал «Бумаге» Макс Попов, администратор группы «Вакцины от ковида. Личный опыт: Проект V1V2».

Макс Попов
администратор группы «Вакцины от ковида. Личный опыт: Проект V1V2» в фейсбуке

— Первая цепочка появилась еще прошлой зимой [2020 года]. Это прямая схема, когда человек взаимодействует непосредственно с медработником. Медики помогали знакомым и близким получить сертификат, выливая вакцину, либо просто существовали известные [в определенном кругу] места [вакцинации], куда можно было прийти, сказать: „пожалуйста, не ставьте в плечо“, и за какую-то сумму получить сертификат без вакцинации.

Опрошенные «Бумагой» сотрудники медучреждений подтвердили: они регулярно получают подобные запросы от знакомых. «От пары своих знакомых слышал, что они хотели сделать [сертификат] через меня, либо через кого-то из моих родственников», — поделился источник «Бумаги» в больнице имени Боткина.

«Мне звонят и эти вопросы [о покупке сертификатов] задают регулярно, к сожалению», — отметил заведующий отделением анестезиологии и реанимации Мариинской больницы Александр Руссин. Медработники, с которыми говорила «Бумага», утверждают, что не оказывали подобных услуг.

Макс Попов
администратор группы «Вакцины от ковида. Личный опыт: Проект V1V2» в фейсбуке

— Есть более серая схема. Кто-то серьезный делает сайты, рекламу, закупает ее у того же фейсбука. У этих людей есть средства распространения: если ты находишься в Москве, то ты получишь сертификат с московской поликлиникой [на бланке], если в Петербурге — с петербургской. Я некоторые объявления читаю и просто удивляюсь. Там написано: можем вам организовать прививку задним числом.

В конце июля в Петербурге возбудили уголовное дело по факту фальсификации сертификатов о вакцинации, в которой подозревались медсестра, врач и ее сожитель. По версии правоохранителей, сожитель врача искал клиентов, врач передавала информацию медсестре из другого медучреждения, а медсестра вносила данные на «Госуслуги» и уничтожала неиспользованную вакцину.

Как много в Петербурге людей с поддельными сертификатами?

Власти Петербурга официально не озвучивали такую статистику. В комитете по здравоохранению «Бумаге» сказали, что вопросы на эту тему — «компетенция правоохранительных органов».

Известно лишь, что с 1 по 15 ноября от 19 до 23,5 % пациентов, доставленных в три коронавирусных стационара Петербурга, по их собственным словам, обладали сертификатами о вакцинации, — эту статистику на прошлой неделе опубликовал комздрав. Правда, некоторые на момент госпитализации прошли только первичную вакцинацию, а кто-то не ревакцинировался спустя шесть месяцев.

В конце октября глава Центра имени Гамалеи Александр Гинцбург заявил, что около 80 % тех, кто говорит, что привился «Спутником V» и тяжело заболел коронавирусом, на самом деле купили сертификат о вакцинации. Как пояснил Гинцбург, это вычислили с помощью теста на наличие в крови пациентов антител к оболочке вектора — к адено 26-му. Эти антитела очень редко встречаются у невакцинированного человека и появляются у привитых.

Опрошенные «Бумагой» эксперты в области статистики и демографии считают, что сейчас узнать точное число петербуржцев, у которых есть поддельные сертификаты, невозможно.

Исследователь статистики Алексей Куприянов в разговоре с «Бумагой» заявил, что вычислять долю поддельных сертификатов на основе коронавирусных данных (например, изменение числа случаев заражения COVID-19) «бессмысленно».

«По поддельным сертификатам никакой статистики и надежных методик оценки нет», — подтвердил «Бумаге» демограф Алексей Ракша. По его мнению, на эту тему могут быть «почти исключительно спекулятивные рассуждения».

Росту интереса к поддельным сертификатам способствует введение QR-кодов?

По данным «Яндекса», наибольший интерес к покупке сертификатов был у пользователей в июне (когда в Москве ввели QR-коды для посещения ресторанов): за этот месяц фразу «купить сертификат о вакцинации» вводили в поисковике почти 93 тысячи раз. В сентябре по этой фразе было всего 6 тысяч запросов, а в октябре (когда QR-коды начали вводить по всей России, в том числе в Петербурге) — почти 33 тысячи. Данных за ноябрь еще нет.

Макс Попов
администратор группы «Вакцины от ковида. Личный опыт: Проект V1V2» в фейсбуке

— Было очень много сообщений [о продаже сертификатов о вакцинации] летом. Как только отменили QR-коды [в Москве], спрос пропал, соответственно, предложение тоже уменьшилось. На спаде волн мы получали от двух до пяти таких сообщений в неделю. А в последнее время, после того, как QR-коды опять ввели [по всей России], мы видим иногда по десять сообщений в день.

При этом осенью вырос не только спрос, но и предложение. Компания Group-IB, которая специализируется на кибербезопасности, с сентября по ноябрь нашла в интернете 3158 новых предложений о продаже поддельных сертификатов о вакцинации. «Этот показатель в 20 раз выше предыдущих показателей лета 2021 года. Большинство новых предложений опубликованы в чатах Telegram, число участников которых составляет от 500 до 12 тысяч человек», — цитировал ТАСС заявление компании.

Что грозит тем, кто купил такой сертификат?

Приобретение поддельного сертификата подпадает под статью уголовного кодекса о подделке, изготовлении или обороте поддельных документов, государственных наград, штампов, печатей или бланков . За приобретение такого документа с целью его использования или сбыта может грозить до одного года лишения свободы.

В Петербурге пока не возбуждали уголовные дела из-за покупки поддельных сертификатов.

По всей России известных дел о покупке сертификатов немного. Летом ГУ МВД по Москве возбудило первое уголовное дело о приобретении поддельного QR-кода — по статье о мошенничестве. Подробности неизвестны. В середине ноября в Вологодской области возбудили уголовное дело против жительницы Череповца, которая пыталась предъявить на работе поддельный сертификат о вакцинации — на нее написала заявление служба безопасности предприятия.

О результатах расследования этих уголовных дел, возбужденных по фактам покупки сертификатов, также ничего неизвестно.

С фальсификацией сертификатов как-то борются?

Правоохранительные органы регулярно сообщают об уголовных делах по факту продажи и изготовления поддельных сертификатов о вакцинации.

За второе полугодие 2021-го по всей стране возбудили 503 уголовных дела за распространение поддельных медицинских документов, связанных с вакцинацией против коронавируса, по ним установили 293 фигурантов. По инициативе органов внутренних дел заблокировали 2036 сайтов, говорила официальный представитель МВД России Ирина Волк.

В пресс-службе ГУ МВД по Петербургу и Ленобласти «Бумаге» сказали, что «по фактам незаконной реализации документов о вакцинации против COVID-19 и проведения ПЦР-тестов» в городе и области возбудили 51 уголовное дело. Представители главка также выявили 48 интернет-сайтов, на которых продавали сертификаты о вакцинации и результаты ПЦР-тестов, — и потребовали их заблокировать.

В объединенной пресс-службе судов Петербурга в сентябре сообщили, что с начала пандемии вынесли решение о блокировке 30 сайтов, предлагающих приобрести сертификат о вакцинации от коронавируса, тесты, справки о наличии антител и медотводе.

Создатели сообщества «Вакцины от ковида. Личный опыт: Проект V1V2» в фейсбуке с июня 2021 года собирает от пользователей сообщения о продаже сертификатов о вакцинации — они публикуют их в закрытой группе, в которой состоят представители Минздрава, МВД и Роспотребнадзора. По подсчетам Попова, за это время они отправили правоохранительным органам несколько тысяч ссылок — 90 % этих сайтов, по его словам, прекращали существование в течение недели.

Что еще почитать:

• Как в Петербурге торгуют поддельными коронавирусными справками. Что грозит за покупку фальшивых документов и как действуют суды и полиция.
• В какие страны пускают со «Спутником V», куда можно поехать без прививки и где смотреть ограничения?

Источник