фейковые qr коды вакцинации сделать
«Не смогла пообедать из-за облака» или как добавить QR-код о вакцинации к карточкам в телефон?
Теперь, чтобы посидеть на вашем любимом летнике или спокойно пофрилансить в кофейне, нужно иметь специальный QR-код.
Думаем, все москвичи и гости столицы уже столкнулись с этим и объяснять ничего не нужно, но на всякий случай оставим ссылку для тех, кто еще не в курсе.
И буквально за несколько дней новых правил с нашим сотрудником и с девушкой из соседнего офиса произошло две истории.
Первая – наш разработчик очень долго искал скриншот с QR-кодом в галерее телефона на входе в Кофеманию, чем создал очередь позади себя и кучу недовольных посетителей. В итоге, пока нашел и зашел внутрь – свободных столиков же не осталось.
Вторая – еще более грустная. Девушка из соседнего офиса просто не смогла пообедать. Не смогла, потому что забыла заплатить за связь, а QR-код, как назло, не загрузился в память телефона из облака. Вайфая, естественно, в центре Москвы в XXI веке, поблизости не оказалось. В итоге психанула и пошла в Пятерочку за булкой.
Конечно, на фоне всего, что происходит вокруг – это мелочи, да. Но это мелочи, которые бесят.
QR-код можно найти в одном из следующих мест – Госуслуги, mos.ru, ЕМАИС.ИНФО и Стопкоронавирус. Староверы могут получить такой QR-код в регистратуре поликлиники по месту жительства/прибывания.
Не забывайте, что вместе с QR-кодом вы обязаны предъявить документ, удостоверяющий вашу личность – только в случае совпадения данных из QR-кода и из вашего паспорта вас посадят за столик.
Самое простое – сделать скриншот. Чтобы каждый раз не заходить в госуслуги. Но, людям, которые делают много скриншотов и фотографий такой вариант не подойдет. Пример можно прочитать выше.
Сохранять в облако тоже не очень удобно. Пока найдешь, пока загрузишь – вы поняли.
Поэтому мы предлагаем вам добавить QR-код в Apple Wallet или Google Pay – там он точно не потеряется среди миллиона фотографии и не выгрузится в облако. К тому же на айфоне это самый быстрый способ открыть его – двойным нажатием по боковой клавише вызвать Apple Pay и смахнуть до карты с QR-кодом.
1. Получите свой QR-код на одной из выше перечисленных платформ – все они в итоге ведут на страницу госуслуг.
2. Отсканируйте этот QR-код любым способом – вам нужно получить ссылку, которая в нем закодирована. Простым языком – скопировать её из адресной строки браузера, когда откроется такая страничка, как на скрине ниже.
3. Перейдите по ссылке и заполните анкету. В поле «Ссылка на QR-код» вставьте ссылку, скопированную в прошлом шаге.
4. Сохраните карту в устройство. Она автоматически добавится в Apple Wallet, если у вас айфон и в Google Pay – если у вас андройд. Ниже – один из уже установленных в Apple Wallet QR-кодов.
На обороте карты, для удобства, мы добавили несколько ссылок – чтобы вы могли поделиться анкетой для получения карт с друзьями, а также с ссылками на mos.ru и ваш сертификат на госуслугах.
Делитесь статьей со своими друзьями, родственниками, коллегами – всеми, кому было бы удобно использовать QR-код в таком формате. Спойлер – это очень удобно, проверили на себе.
Passteam не занимается выдачей новых QR-кодов, мы только предоставляем возможность добавления уже существующего в Apple Wallet и Google Pay.
По правде говоря, на этапе получения карты через анкету вы можете вставить в поле «Ссылка на QR-код» что угодно. Система сгенерирует QR-код для любого содержания.
Мы не подтягиваем данные из госуслуг и не проверяем валидность сертификата – этим занимаются сотрудники организаций на входе.
Реверс-инжиниринг QR-кода для доказательства вакцинации
Когда Квебек объявил, что будет рассылать электронные письма с подтверждением вакцинации всем, кто был вакцинирован с помощью прикрепленного QR-кода, у меня немного подкосились колени. Мне не терпелось разобрать его на части и покачать головой из-за количества частной медицинской информации, которая, несомненно, будет раскрыта в процессе.
Наконец-то пришло мое подтверждение вакцинации, и результат… вообще-то неплохой. Тем не менее, в хаках с нулевым разглашением всегда есть какое-то удовольствие, поэтому я все равно решил написать о своем опыте в блоге.
Мое первое впечатление было: «Боже мой, это излишне большой QR-код». Под QR-кодом перечислено не так много информации, поэтому они наверняка кодируют все виды личной информации без моего ведома. Знаете, как тот штрих-код на обратной стороне ваших водительских прав.
Естественно, первое, что я сделал, — отсканировал код с помощью приложения QRcode.
Интересно. Я думал, что там будет старый добрый JSON в бинарном формате, но все было иначе. Кажется, что кодировать кучу цифр в base64 неэффективно, но им удалось запихнуть все в один QR-код.
Небольшой поиск привел меня к схемам IANA’s Big Book O’ URI Schemes, где shc указан как предварительно зарегистрированный под названием SMART Health Cards Framework. Так что это не просто то, что правительство Квебека придумало на ходу, это на самом деле часть реального проекта! Это обнадеживающе и неожиданно.
Оказывается, у этого формата есть обширная документация и очень разумные цели дизайна, которые я нахожу как облегчением как держателя такого кода, так и немного разочаровывающим, когда кто-то собирается разобрать его целиком. Но не важно! У меня есть код и документ, которому нужно следовать, так что давайте снимем крышку и заглянем внутрь.
Согласно документу, использование числового режима для кодирования данных QR-кода обеспечивает немного более высокую плотность данных, чем использование двоичного режима, что объясняет гигантский URI чисел, а не более разумную строку в кодировке base64. Первая загадка раскрыта.
Из этого можно извлечь несколько вещей. Во-первых, очевидно, что PHP по-прежнему остается моим быстрым языком программирования. Как печально, но мы отложим это личное откровение для дальнейшего самоанализа.
С технической точки зрения, теперь все выглядит как строки в кодировке base64. И, конечно же, документ говорит мне, что я должен смотреть на JWS, то есть на подписанный веб-токен JSON.
Я сделаю паузу и скажу, что на самом деле это отличный вариант использования JWT. По сути, вместо какого-то бессмысленного токена или гигантского блока конфиденциальных данных концепция JWT подразумевает, что я должен ожидать список разрешений, на которые я имею право, завернутый в большой двоичный объект, который криптографически подписан эмитентом (в данном случае, Quebec Santé et Services sociaux).
Эта модель хороша тем, что ее может проверить любой, у кого есть соответствующий открытый ключ, даже без подключения к Интернету. Кроме того, ответ на вопрос «имеет ли это лицо право сесть на борт самолета / посетить концерт / посетить резиденцию для пожилых людей?» должны напрямую отвечать встроенным, а не косвенно подразумеваемым через проприетарный API или кучу тайных полей, связанных с номерами партий вакцины и т. д.
Теперь у меня нет копии соответствующего открытого ключа, но тело должно быть подписано, а не зашифровано, поэтому я все еще могу его прочитать.
Возможно, в духе реверс-инжиниринга мне следует вручную демонтировать JWS, но это довольно хорошо документированная (и, что немаловажно, хорошо реализованная) спецификация. Я собираюсь пойти на ленивый выход и использовать для этого пакет Composer web-token/jwt-framework.
Итак, мы успешно декодируем заголовок, но тело не приходит. Подсказка здесь — это «zip»: «DEF» в заголовке, как также указано в спецификации.
полезная нагрузка сжимается с помощью алгоритма DEFLATE (см. RFC1951) перед подписанием (обратите внимание, это должно быть «сырое» сжатие DEFLATE, без каких-либо заголовков zlib или gz
NB: мы декодируем, а затем перекодируем объект JSON, чтобы добавить пробел для удобства чтения, указав константу JSON_PRETTY_PRINT
Там немного больше личной информации, чем строго необходимо, хотя я полагаю, что сочетание имени и даты рождения с удостоверением личности с фотографией — разумный процесс. Они также предоставляют конкретные сведения о вакцинах, а не конкретные разрешения, как я надеялся. Опять же, это делает все более удобным для использования в разных юрисдикциях и избавляет от необходимости повторно выпускать JWS каждый раз при изменении политики, что в случае Квебека происходит примерно два раза в неделю.
На протяжении всего этого анализа я задавался вопросом, что может помешать кому-то просто предъявить совершенно действительное доказательство вакцинации другого человека. Поскольку все тело подписано криптографической подписью, вы не можете изменить чужое доказательство вакцинации, чтобы добавить свое имя, а это означает, что соединение доказательства вакцинации с удостоверением личности с фотографией — вполне разумный план. Это, безусловно, будет иметь место в аэропортах, но я очень сомневаюсь, что на спортивных объектах и т. Д. Будут просить второе удостоверение личности. Они просто отсканируют QR-код, увидят галочку на своем устройстве и перейдут к следующему.
Одна напутственная мысль: в то время как мой процесс был направлен на выяснение того, какие из моих личных данных кодируются в QR-коде, модель JWT печально известна тем, что ее легко испортить, либо забывая проверить перед анализом данных, либо разрешая токены без подписи. Если реализации не соблюдают центральный белый список авторизованных подписывающих лиц, было бы тривиально легко создать совершенно действительный токен, который вы подписываете своим собственным ключом. Как всегда, безопасность модели действительно зависит от того, насколько строго проверяющая сторона обеспечивает соблюдение стандарта.
Однако оказывается, что единственная личная информация — это именно та информация, которая содержится в полном PDF-документе о вакцинации: имя, дата рождения, пол (по какой-то причине), а также информация о дате и конкретных дозах, которые владелец получил на сегодняшний день. Если вас устраивают последствия для конфиденциальности предъявления водительских прав в баре, вы не должны больше беспокоиться о том, что вас попросят предъявить доказательство вакцинации.
Код представляет собой целую кучу мусора, но если вы хотите увидеть, что находится в вашем собственном QR-коде, вы можете проверить репозиторий GitHub для этого поста.
Присесть за QR-код: что грозит за подделку и использование чужого QR-кода о вакцинации от Covid-19
Как вас могут наказать за поддельный или чужой QR-код
Новые меры в Татарстане против Covid-19 вызвали волну непонимания и негатива со стороны жителей. Распоряжение об обязательной вакцинации отдельных категорий граждан воспринимается многими как ущемление их прав. С 11 октября в Татарстане перестали пускать в торговые центры, фитнес-залы и рестораны без предъявления QR-кода, который можно получить при вакцинации от коронавируса.
.jpg "фейковые qr коды вакцинации сделать. Смотреть фото фейковые qr коды вакцинации сделать. Смотреть картинку фейковые qr коды вакцинации сделать. Картинка про фейковые qr коды вакцинации сделать. Фото фейковые qr коды вакцинации сделать")
Однако находчивые граждане не растерялись и стали предъявлять чужие QR-коды как свои, в мессенджерах снова появились объявления о продаже сертификатов о прививке от коронавируса. И, кажется, что продавцов и покупателей юридическая сторона сделки совершенно не пугает. Тем временем правоохранители давно определились со статьями, по которым ответственность ждет не только продавца и покупателя сертификатов, но и того человека, который выдает чужой QR-код за свой.
Из-за махинаций с сертификатами и QR-кодами обвиняемому грозит реальный уголовный срок и немаленькие штрафы. Разбираемся, по каким статьям могут привлечь и какие у них санкции.
Из того, что распоряжение правоохранителям поступило, так сказать, «сверху» и из первых уст, можно сделать вывод, что судебная практика будет не на стороне обвиняемых и наказание за подделку реально последует.
Статья за мошенничество в Уголовном кодексе РФ есть уже давно, именно по ней квалифицируют действия продавцов сертификата о вакцине от Covid-19. Санкция ст. 159 УК РФ:
штраф в размере до 120 тыс. руб. или в размере зарплаты или иного дохода осужденного за период до года, либо обязательные работы на срок до 360 часов, либо исправительные работы на срок до года, либо ограничение свободы до 2 лет, либо принудительные работы на аналогичный срок, либо арест на срок до 4 месяцев, либо лишение свободы на срок до 2 лет.
За мошенничество могут привлечь как продавца сертификата, так и его покупателя. Но первому может еще грозить и ст. 327 УК РФ «Подделка, изготовление или оборот поддельных документов. «. Эта статья применима здесь, поскольку сертификат о вакцинации является официальным документом, который предоставляет определенные права конкретно для вакцинированных. Санкция ст. 327 УК РФ:
ограничение свободы на срок до 2 лет, принудительные работы на срок до 2 лет, арест на срок до 6 месяцев, лишение свободы на срок до 2 лет.
По части 5 этой же статьи могут привлечь покупателя сертификата: ч. 5 ст. 327 УК РФ предусматривает ответственность за использование заведомо подложного документа в виде
штрафа в размере до 80 тыс. руб. или в размере зарплаты или иного дохода осужденного за период до 6 месяцев, либо обязательных работ на срок до 480 часов, либо исправительных работ на срок до 2 лет, либо ареста на срок до полугода.
на граждан в размере от одной до 30 тысяч рублей;
на должностных лиц – от 10 до 50 тысяч рублей;
на лиц, осуществляющих предпринимательскую деятельность без образования юридического лица, – от 30 до 50 тысяч рублей;
на юридических лиц – от 100 до 300 тысяч рублей.
К ситуации с QR-кодами больше подходит часть 1 данной статьи: нарушение законодательства в области обеспечения санитарно-эпидемиологического благополучия населения, выразившееся в нарушении действующих санитарных правил и гигиенических нормативов, невыполнении санитарно-гигиенических и противоэпидемических мероприятий. Санкция:
Вывод:
Судебная практика по принудительной вакцинации или использованию системы QR-кодов еще не успела сложиться.
Что касается распоряжений об обязательной вакцинации, то согласно п. 1 ст. 5 157-ФЗ «Об иммунопрофилактике инфекционных болезней» граждане имеют право делать прививку от инфекционных заболеваний либо отказаться от нее. Об этом же свидетельствует и Резолюция ПАСЕ № 2361 от 2021 года «Вакцины против COVID-19: этические, правовые и практические соображения».
Таким образом, отказ от вакцинации является правом гражданина, но это не исключает того, что это право может быть ограничено в интересах государства и общества и обусловлено прежде всего необходимостью уважения таких же прав и свобод других людей.
Пропуск без прививки: как работают поддельные QR-коды для походов в рестораны
На “теневых” форумах предлагают поддельные QR-коды, которые якобы пройдут любую проверку в ресторанах Москвы. Покупатель перечисляет на анонимный кошелёк от 4 до 20 тысяч рублей – и ему на смартфон высылают цифровой пропуск в «бесковидную зону». Чёрно-белый квадратик надо показать на входе в заведение. После считывания липовый QR-код открывает сайт, который имитирует «Госуслуги», рассказывает директор по росту BI.ZONE Рустэм Хайретдинов. Расчёт на то, что служащие ресторана не заметят подмену.
ХАЙРЕТДИНОВ : Создаётся фейковый сайт, на который заносятся ваши данные, генерится код, который вы показываете официанту. И дальше официант, поскольку он заходит просто по ссылке с QR-кода, попадает на этот сайт и считает, что у вас нормальный QR-код. И вы таким образом попадаете в ресторан.
Сотрудники ресторана не могут проверить, кто именно перед ними, так как видят на экране только инициалы владельца пропуска. В Сети уже есть отзывы тех, кто воспользовался незаконной услугой, чтобы попасть на бизнес-ланч. Пользователи делятся и другими “обходными путями” получения цифровых пропусков. Одни закачивают на смартфоны случайные метки из Интернета, другие берут «напрокат» цифровые пропуска у знакомых, которые привились и получили настоящий QR-код. По мнению Рустэма Хайретдинова, скоро в Сети могут появиться и специальные приложения для массовой штамповки цифровых меток.
ХАЙРЕТДИНОВ : Генерится страница с вашими данными, забитая “звёздочками”, как сейчас выглядит легальный QR-код. Дальше на него делается одноразовая ссылка, и из неё можно сгенерить QR-код, который будет действовать как абсолютно настоящий. Бороться с этим можно только выпуском специального приложения, которое автоматически контролирует подлинность сгенерированного кода.
В столичной мэрии думают распространить систему QR-кодов на другие сферы, в частности транспорт и магазины. А пользователей фальшивых пропусков предупредили, что их могут привлечь по уголовной статье за подделку и использование официальных документов. И после похода в ресторан им придётся 2 года сидеть на тюремной баланде.
В Совете Федерации не согласны со столичными чиновниками. По мнению председателя Комитета по конституционному законодательству Андрея Клишаса, левый QR-код не считается документом, но его использование нарушает санитарно-эпидемиологические правила. За это положен небольшой штраф. И только если посетитель болел и заразил других людей, его могут отправить в тюрьму. Гендиректор «Юрвисты» Алексей Петропольский считает, что наказание за поддельный QR-код будет ещё мягче. И то при условии, что ловкача поймают с поличным.
ПЕТРОПОЛЬСКИЙ : Поскольку человек фактически сам этот QR-код не изготавливает, ни в какие базы не заходит, то здесь будет лишь административная статья за предоставление недостоверных данных. Это наказывается административным штрафом или выговором. И то это нужно ещё доказать: человек может сказать, что перепутал и прикрепил не тот файл.
Рестораторам советуют проверять QR-коды через городские онлайн-сервисы – «Моя Москва», «Московский транспорт» – и другие официальные сайты. В приложениях надо выбрать вкладку «Проверка цифрового сертификата» и отсканировать присланный QR-код. На экране появится статус цифрового пропуска, инициалы посетителя и последние цифры номера паспорта.
Но здесь возникает всё та же проблема: как сверить QR-метку с паспортными данными? Посетитель может сказать, что оставил документы дома и вообще не обязан показывать их кому попало. В таких случаях владелец заведения сам решает – пустить клиента с риском получить потом полумиллионный штраф или отказать и потерять выручку. По подсчётам Союза управляющих ресторанами, в первый день «бесковидного режима» работы столичный общепит недосчитался 80% прибыли.
Популярное
«Никакого серьёзного конфликта интересов между турками и американцами нет»
В Москве ввели QR-коды. Как их подделывают, сколько стоят и что за это грозит
На любое действие следует противодействие. Это законы не только физики, но и социума. Поэтому нет ничего удивительного, что сразу после появления системы проверки QR-кодов в Москве появились масса способов обмана как самой процедуры, так и всей системы контроля.
Одни предостерегают от подделки QR-кодов и покупки сертификатов вакцинаций. Другие чуть ли не открыто хвалятся обратным. И только вакцинированные свободно заходят в кафе и МФЦ, наслаждаясь свободой.
Что напридумывали россияне в национальной гонке против неизбежного – вакцинации или болезни? И как на это реагируют власти? Все актуальные данные по QR-марафону в столице мы собрали в этом сжатом материале.
Кто может получить QR-код
Пример QR-кода в электронном сертификате вакцинации из Госуслуг.
◆ граждане, прошедшие вакцинацию. QR-код содержится в электронной версии сертификата о получении второго компонента вакцины от COVID-19 (или однокомпонентной вакцины), зарегистрированной в РФ
◆ граждане, получившие действующий отрицательный результат ПЦР-теста. С таким QR-кодом посетить заведение можно, если с момента готовности результата и его регистрации прошло не более 72 часов
◆ граждане, переболевшие коронавирусной инфекцией. QR-код может быть использован при посещении ресторана в течение шести месяцев с даты выздоровления.
Как работает проверка QR-кода в заведениях Москвы
Пример страницы, открывающейся при сканировании QR-кода.
1. Вы получаете QR-код:
► с помощью специального сервиса mos.ru/qr
► в поликлинике — обратитесь в регистратуру или распечатайте самостоятельно с помощью инфомата
► в приложении «Госуслуги СТОП Коронавирус» (App Store и Google Play). Авторизуйтесь под своей учетной записью (ЕСИА), выберите статус («здоров») и заполните анкету, затем сохраните QR-код на свой смартфон или сделайте скриншот
► на портале Госуслуги. Для этого авторизуйтесь под своей учетной записью (ЕСИА) и выберите в каталоге услугу «Вакцинация COVID-19»
2. Вы показываете код со смартфона (или распечатанный) в кафе. На него наводят камеру, переходят по предложенной кодом ссылке и видят: ваш статус, первые буквы ФИО, несколько цифр номера паспорта и полная дата рождения.
Где сейчас надо предъявлять QR-код
Пока только в помещениях и внутренних территориях кафе, ресторанах и заведениях общественного питания. Важный момент: это пока не распространяется на летние веранды, а также на заказы «на вынос».
Грубо говоря, если вы хотите присесть в помещении, чтобы поесть или выпить кофе, с вас должны спросить сертификат. Даже если зона питания размещена в супермаркете, от вас всё равно потребуют QR-код либо кассир, либо охрана.
Большинство кафе и ресторанов в Москве продолжают работать. Если у вас есть QR-код вакцинации, переболевшего или результата ПЦР, вы можете сесть в практически (или полностью) пустых залах там, где раньше днём всё было занято.
Однако во многих торговых центрах все места размещения на фудкортах закрыты и опечатаны. Некоторые заведения вообще закрыли помещения и оставили заказы только «на вынос», а также доставку. Поэтому даже с QR-кодом может получиться так, что сесть вам будет банально негде.
Некоторые заведения обходят запрет, формально не являясь организацией общественного питания. Но уже есть свидетельства, что Роспотребнадзор и полиция всё равно выписывают им предупреждения, после чего остается либо соблюдать ограничения, либо готовиться к закрытию после следующей проверки.
Как подделываются QR-коды
Группы, продающие сертификаты и QR-коды, есть даже в Telegram.
▪ Использование чужого, но настоящего QR-кода. Берётся чей-то код вакцинированного и выдаётся за свой.
Однако нередко (и с нарастающей частотой) помимо QR-кода у вас спрашивают паспорт. Данные на открывшейся странице подтверждения не совпадают, и вам отказывают в обслуживании.
▪ Генерация QR-кода на подставном сайте. Вы отдаёте свои данные неизвестно кому и получаете QR-код. При его сканировании смартфон перенаправляется на сайт, визуально копирующий страницу на Госуслугах, где указаны ваши данные и «подтверждается» факт вакцинации.
Правоохранительные органы и официальные лица объявили борьбу с этим методом и обещают наказание вплоть до уголовного тем, кто будет использовать такие коды. Теоретически, подставные сайты, куда перекидывают такие QR-коды, может заблокировать Роскомнадзор – и тогда все коды, ведущие туда, перестанут работать.
▪ Ложная прививка с «проведением» сертификата через Госуслуги. Цены в даркнете варьируются от нескольких тысяч до 15-20 тысяч рублей. Предложений масса также как в поисковиках, так и в мессенджерах, включая специализированные боты и группы. Мошенников среди них ожидаемо много, так как жаловаться клиенту в случае обмана абсолютно некому. Есть сообщения, что некоторые умудряются получать таким образом действительные записи о прививке в Госуслугах.
Незаконность этого метода очевидна. Участвующим в таких схемах грозит уголовное преследование. Сегодня прошла информация, что в Москве начали задерживать курьеров с бумажными версиями таких сертификатов.
Что грозит тем, кто использует поддельные QR-коды
Приобретение, хранение, перевозка в целях использования или сбыта либо использование заведомо поддельного сертификата как официального документа, предоставляющего права или освобождающего от обязанностей, карается уголовным наказанием до одного года лишения свободы.
Пока о таких случаях не сообщалось.
Что дальше будет с проходом по QR-кодам?
С учётом текущей ситуации с заболеваемостью коронавирусом, снятие этих условий в ближайшее время маловероятно. Власти Москвы не исключают, что рассматривают распространение проверки QR-кодов на другие сферы, включая транспорт. Но пока конкретных решений по этому поводу не принимали.
Поэтому пока QR-коды остаются актуальными для жителей и гостей столицы. Моё мнение по этому поводу – вместо того, чтобы ходить за ПЦР каждые три дня, лучше сделать прививку. Причём чем раньше, тем лучше: ведь QR-код вы получите только после второго укола двухкомпонентными вакцинами, а тот наступит не раньше двух недель после первого.
Места, где можно сделать прививку в Москве сейчас, мы ранее перечислили в отдельной статье.