можно ли воспользоваться чужим qr кодом вакцины
Что будет, если подделать сертификат о вакцинации или QR-код
С помощью подделок мошенники запрашивают персональные данные. Это опасно
После того, как власти российских регионов объявили о принудительной вакцинации сотрудников сфер услуг, транспорта, здравоохранения и других категорий, стало расти количество поисковых запросов о покупке сертификата вакцинированного. К 24 июня по России показатель уровня интереса к теме достиг 100 баллов — наивысшего уровня популярности.
Чаще всего информацию ищут в Липецкой области. Замыкает пятерку лидеров Москва, где ограничения вводились в первую очередь из-за ежедневно растущего количества случаев выявленной инфекции. При этом сервисы объявлений оперативно приступили к блокировке предложений о продаже сертификатов о вакцинации от коронавируса. Несмотря на это, в поисковиках и закрытых группах в социальных сетях и мессенджерах до сих пор появляются соответствующие объявления.
После того, как в Москве и Московской области объявили о выдаче QR-кодов для посещения заведений общепита, которые показывают, переболел человек, привился или имеет отрицательный ПЦР-тест, действующий три дня, увеличилось количество запросов с пометкой «QR-код».
Практически одновременно с новыми требованиями о предъявлении QR-кодов эксперты по информационной безопасности заметили, что в интернете активно распространяется схема получения кода в обход официальной системы. Настоящий QR-код можно получить с помощью медицинской карты на портале mos.ru, либо на сайте госуслуг, либо через приложение ЕМИАС. ИНФО, либо в поликлинике. В каждом случае необходимо предоставить паспортные данные для идентификации личности.
Мошенники, занимающиеся подделкой QR-кодов, также запрашивают паспортные данные, но могут использовать их в преступных целях, вплоть до оформления кредита в банке. Давид Григорян, старший разработчик программных решений для мобильных технологий, рассказывает, что в пространстве GitHub уже опубликованы проекты, с помощью которых можно самостоятельно генерировать поддельный QR-код. «Код содержит личную информацию о человеке: ФИО, дату рождения, паспортные данные. Если применить эту структуру для создания QR-кода и перенаправлять пользователя, считывающего его, на отдельный сервер, система покажет, что человек привит».
Эксперт подчеркивает, что подобные бреши в системе вызваны спешкой и отсутствием возможности тщательно проработать все правовые аспекты для урегулирования компрометации QR-кодов.
Михаил Кондрашин, технический директор компании Trend Micro в РФ и СНГ, рассказывает, ожидать от системы QR-кодов высокого уровня защищенности рано. «На входе в ресторан предлагается проверять ссылку на сайт, демонстрирующий статус вакцинированного. Для любого подкованного в IT-технологиях пользователя сделать свой собственный пропуск в любой ресторан не составит труда. Внимательным проверяющим стоит обращать внимание на адрес сайта, куда будет вести ссылка из QR-кода. Если адрес будет сильно визуально отличаться от “immune.mos.ru”, самое время заподозрить неладное».
С ним согласен и Алексей Пронин, директор по информационной безопасности IT-компании Osnova. Он объясняет, что злоумышленники подделывают не сам QR-код, а информацию, которая в нем зашита. В случае с сертификатами о прививке или статусе переболевшего в QR кодируется URL-адрес immune.mos.ru, или любой другой, в зависимости от региона, с уникальным идентификатором. Когда сотрудник кафе сканирует QR-код, веб-сайт отображает некоторую маскированную информацию о лице, прошедшем вакцинацию.
«Сейчас злоумышленники размещают в сети клоны официальных страниц, которые имитируют отображение сертификатов с модифицированной информацией. Опознать сайт-подделку довольно просто: адрес сайта, куда ведет ссылка из QR-кода, будет отличаться от корректного — например, 1immune.mos.ru, gosuslygi.ru или любой другой вариант».
В пресс-службе компании Доктор Веб отмечают, что подделки срабатывают в том случае, когда проверка осуществляется камерой смартфона, а не специальным приложением.
За использование подделок россиянам грозит реальный срок
Несмотря на то, что среди россиян есть спрос на поддельные справки и QR-коды, немногие осознают всю тяжесть последствий от использования подобных противозаконных инструментов.
Евгений Фурин, практикующий юрист, автор блога «Юрист объясняет» обращает внимание, что если гражданин решит приобрести фальшивую медицинскую справку о том, что у него есть противопоказания к вакцинации, либо поддельный сертификат о пройденном курсе вакцинации, то его действия подпадают под ч. 3 ст. 327 Уголовного кодекса РФ. По этой статье полагается до одного года тюремного заключения.
Наказания не избежит не только покупатель, но и продавец и изготовитель подделки, при условии, что человек использовал заведомо сфальсифицированный документ — то есть заранее знал, что бумага поддельная, но всё равно использовал или даже собирался использовать её по назначению.
При этом фальсификацией считается не только поддельный документ, сделанный самостоятельно, но и бумага на оригинальном бланке, оформленная врачом. Если поддельный документ устанавливает юридический факт — завершение курса вакцинации, наличие противопоказаний — исходя из присутствия которого у человека появляются новые права или он освобождается от обязанностей, наказание не заставит себя ждать.
По словам эксперта, хотя электронный QR-код и не считается официальным электронным документом с точки зрения ст. 327 УК, поскольку он не подписан электронной подписью, это не значит, что за покупку поддельного кода гражданину ничего не грозит.
Ответственность по этой статье наступает в случае, если это повлекло массовое заболевание или угрозу его возникновения. Угроза распространения заболевания признается таковой, если она была реальной, но распространения не произошло в результате целенаправленных действий органов власти.
«Если человек зашел в заведение по поддельному коду, но никого не заразил и никаких негативных последствий не случилось, то привлечь его к уголовной ответственности нельзя. Но гражданина могут оштрафовать по ч. 2 ст. 6.3 Административного кодекса за нарушение действующих санитарных правил при угрозе распространения опасного заболевания на сумму до 40 тысяч рублей», — подытоживает Евгений Фурин.
Его коллега, Арам Татоян, управляющий партнер Reasons Law Firm, считает, что ситуация осложняется отсутствием единой практики по квалификации подобных случаев. «При покупке поддельного QR-кода ответственность сторон зависит от того, было ли у пользователя намерение приобрести поддельный QR-код, или сам ресурс был поддельным, имитирующим, например, сайт Госуслуг. Кроме того, найти автора объявления в даркнете будет весьма проблематично, на это потребуется время».
Евгений Суханов, директор департамента информационной безопасности компании Oberon, обращает внимание на то, что основным риском для пользователей остаются фишинговые рассылки, ссылки из которых ведут на точные копии официального онлайн-ресурса, на котором можно получить QR-код. «Это может быть максимально приближенный к оригиналу фейковый сайт или его часть, например, личный кабинет. Для собственной защиты необходимо избегать перехода по сомнительным ссылкам и всегда проверять цифровую подпись сайта и сертификат. Обычно во всех браузерах он отображается рядом с адресной строкой или подсвечивается валидное и защищенное соединение», — заключает эксперт.
Использование купленного сертификата о вакцинации или поддельного QR-кода грозит не только тюремным заключением и большим штрафом, но и дальнейшими, более жесткими, ограничениями. Решение проблемы лежит на поверхности: чтобы остановить пандемию и вернуться к привычной жизни, нужно вакцинироваться по настоящему.
В Москве ввели QR-коды. Как их подделывают, сколько стоят и что за это грозит
На любое действие следует противодействие. Это законы не только физики, но и социума. Поэтому нет ничего удивительного, что сразу после появления системы проверки QR-кодов в Москве появились масса способов обмана как самой процедуры, так и всей системы контроля.
Одни предостерегают от подделки QR-кодов и покупки сертификатов вакцинаций. Другие чуть ли не открыто хвалятся обратным. И только вакцинированные свободно заходят в кафе и МФЦ, наслаждаясь свободой.
Что напридумывали россияне в национальной гонке против неизбежного – вакцинации или болезни? И как на это реагируют власти? Все актуальные данные по QR-марафону в столице мы собрали в этом сжатом материале.
Кто может получить QR-код
Пример QR-кода в электронном сертификате вакцинации из Госуслуг.
◆ граждане, прошедшие вакцинацию. QR-код содержится в электронной версии сертификата о получении второго компонента вакцины от COVID-19 (или однокомпонентной вакцины), зарегистрированной в РФ
◆ граждане, получившие действующий отрицательный результат ПЦР-теста. С таким QR-кодом посетить заведение можно, если с момента готовности результата и его регистрации прошло не более 72 часов
◆ граждане, переболевшие коронавирусной инфекцией. QR-код может быть использован при посещении ресторана в течение шести месяцев с даты выздоровления.
Как работает проверка QR-кода в заведениях Москвы
Пример страницы, открывающейся при сканировании QR-кода.
1. Вы получаете QR-код:
► с помощью специального сервиса mos.ru/qr
► в поликлинике — обратитесь в регистратуру или распечатайте самостоятельно с помощью инфомата
► в приложении «Госуслуги СТОП Коронавирус» (App Store и Google Play). Авторизуйтесь под своей учетной записью (ЕСИА), выберите статус («здоров») и заполните анкету, затем сохраните QR-код на свой смартфон или сделайте скриншот
► на портале Госуслуги. Для этого авторизуйтесь под своей учетной записью (ЕСИА) и выберите в каталоге услугу «Вакцинация COVID-19»
2. Вы показываете код со смартфона (или распечатанный) в кафе. На него наводят камеру, переходят по предложенной кодом ссылке и видят: ваш статус, первые буквы ФИО, несколько цифр номера паспорта и полная дата рождения.
Где сейчас надо предъявлять QR-код
Пока только в помещениях и внутренних территориях кафе, ресторанах и заведениях общественного питания. Важный момент: это пока не распространяется на летние веранды, а также на заказы «на вынос».
Грубо говоря, если вы хотите присесть в помещении, чтобы поесть или выпить кофе, с вас должны спросить сертификат. Даже если зона питания размещена в супермаркете, от вас всё равно потребуют QR-код либо кассир, либо охрана.
Большинство кафе и ресторанов в Москве продолжают работать. Если у вас есть QR-код вакцинации, переболевшего или результата ПЦР, вы можете сесть в практически (или полностью) пустых залах там, где раньше днём всё было занято.
Однако во многих торговых центрах все места размещения на фудкортах закрыты и опечатаны. Некоторые заведения вообще закрыли помещения и оставили заказы только «на вынос», а также доставку. Поэтому даже с QR-кодом может получиться так, что сесть вам будет банально негде.
Некоторые заведения обходят запрет, формально не являясь организацией общественного питания. Но уже есть свидетельства, что Роспотребнадзор и полиция всё равно выписывают им предупреждения, после чего остается либо соблюдать ограничения, либо готовиться к закрытию после следующей проверки.
Как подделываются QR-коды
Группы, продающие сертификаты и QR-коды, есть даже в Telegram.
▪ Использование чужого, но настоящего QR-кода. Берётся чей-то код вакцинированного и выдаётся за свой.
Однако нередко (и с нарастающей частотой) помимо QR-кода у вас спрашивают паспорт. Данные на открывшейся странице подтверждения не совпадают, и вам отказывают в обслуживании.
▪ Генерация QR-кода на подставном сайте. Вы отдаёте свои данные неизвестно кому и получаете QR-код. При его сканировании смартфон перенаправляется на сайт, визуально копирующий страницу на Госуслугах, где указаны ваши данные и «подтверждается» факт вакцинации.
Правоохранительные органы и официальные лица объявили борьбу с этим методом и обещают наказание вплоть до уголовного тем, кто будет использовать такие коды. Теоретически, подставные сайты, куда перекидывают такие QR-коды, может заблокировать Роскомнадзор – и тогда все коды, ведущие туда, перестанут работать.
▪ Ложная прививка с «проведением» сертификата через Госуслуги. Цены в даркнете варьируются от нескольких тысяч до 15-20 тысяч рублей. Предложений масса также как в поисковиках, так и в мессенджерах, включая специализированные боты и группы. Мошенников среди них ожидаемо много, так как жаловаться клиенту в случае обмана абсолютно некому. Есть сообщения, что некоторые умудряются получать таким образом действительные записи о прививке в Госуслугах.
Незаконность этого метода очевидна. Участвующим в таких схемах грозит уголовное преследование. Сегодня прошла информация, что в Москве начали задерживать курьеров с бумажными версиями таких сертификатов.
Что грозит тем, кто использует поддельные QR-коды
Приобретение, хранение, перевозка в целях использования или сбыта либо использование заведомо поддельного сертификата как официального документа, предоставляющего права или освобождающего от обязанностей, карается уголовным наказанием до одного года лишения свободы.
Пока о таких случаях не сообщалось.
Что дальше будет с проходом по QR-кодам?
С учётом текущей ситуации с заболеваемостью коронавирусом, снятие этих условий в ближайшее время маловероятно. Власти Москвы не исключают, что рассматривают распространение проверки QR-кодов на другие сферы, включая транспорт. Но пока конкретных решений по этому поводу не принимали.
Поэтому пока QR-коды остаются актуальными для жителей и гостей столицы. Моё мнение по этому поводу – вместо того, чтобы ходить за ПЦР каждые три дня, лучше сделать прививку. Причём чем раньше, тем лучше: ведь QR-код вы получите только после второго укола двухкомпонентными вакцинами, а тот наступит не раньше двух недель после первого.
Места, где можно сделать прививку в Москве сейчас, мы ранее перечислили в отдельной статье.
Эксперты рассказали, с какими фальшивыми сертификатами о вакцинации бороться сложнее всего
Мошенники в России занялись продажей фальшивых сертификатов о вакцинации против коронавируса. В последнее время спрос на такие документы вырос: число заболевших увеличивается (за последние сутки выявили 20 393 случая), и Роспотребнадзор объявил, что обязательная вакцинация будет с понедельника введена еще в 8 регионах (сейчас она действует в 10).
Например, в Москве, где больше всего заболевших, с 28 июня в рестораны смогут попасть только люди, которые сделали прививку, переболели или сдали отрицательный ПЦР-тест. Для входа им нужно будет использовать QR-код, который можно скачать на сайте госуслуг. На курорты Краснодарского края с 1 июля будут пускать привившихся туристов или сдавших отрицательный ПЦР-тест, а с 1 августа – только по сертификату о вакцинации.
Как мошенники продают фальшивые сертификаты
Для продажи фальшивых сертификатов мошенники создают сайты, группы и аккаунты в соцсетях, каналы в мессенджерах, а также публикуют свои предложения на теневых форумах (через них же нелегально продаются банковские карты, похищенные/взломанные данные и т.д.), рассказал «Газете.Ru» ведущий аналитик департамента защиты от цифровых рисков Group-IB Евгений Егоров.
В основном они просят за сертификат от 1 тыс. до 30 тыс. рублей. Дорогой вариант предполагает, что заказчика внесут в реестр вакцинированных от коронавируса. Деньги обычно предлагают перевести на карту.
Сертификаты продают в двух вариантах: в электронном виде, который можно получить уже в течение нескольких часов, и в бумажном, который доставляют в сроки от одного дня курьерскими службами.
Аналитики Group-IB выявили более 150 предложений о покупке сертификатов с марта по июнь, включая специально созданные группы и аккаунты в соцсетях, аккаунты и каналы в мессенджерах, предложения на теневых форумах и на специализированных сайтах.
«По новым данным можно сказать, что в связи с ужесточением мер по борьбе с коронавирусной инфекцией c 17 июня было выявлено 61 новое предложение по продаже сертификатов вакцинации, что на 50% больше, чем за май 2021 года»,
По его словам, в среднем общее количество предложений с начала с марта 2021 года по 16 июня увеличилось на 19%. Если судить по новым объявлениям, ежемесячный прирост в среднем за март-июнь составил 41%.
«Тут нужно учитывать тот факт, что объявления удаляются, и мошенники просто создают новые, и естественно их становится больше», — отметил эксперт.
В Group-IB отметили, что точно нельзя определить, действует ли мошенник в одиночку, или это какая-то организованная группа: объявления на разных площадках может опубликовать и один человек, использовать разные псевдонимы. Дать примерную оценку, сколько людей интересуются сертификатами, эксперт затруднился. Однако он сообщил, что если судить по числу подписчиков на какой-то ресурс, то обычно это несколько тысяч человек. Более подробных сводных данных у Group-IB пока нет.
Найти же объявления очень просто, говорит Евгений Егоров: достаточно вбить в поиск «купить сертификат о вакцинации», и уже на первых строчках можно найти такие предложения. Корреспондент «Газеты.Ru» проверил эту информацию, поисковые системы Google и «Яндекс» такие объявления не выдавали, зато появлялось предупреждение об уголовной ответственности за использование поддельных медицинских документов.
Помимо сертификатов, мошенники предлагают и другие услуги. Например, аналитики Group-IB выявили около 100 предложений об отрицательных тестах на коронавирус. Цены варьируются от 500 до 3 тыс. рублей. Кроме того, было обнаружено несколько англоязычных Telegram-каналов, через которые продавались вакцины от производителей из разных стран. По оценке специалистов, эти каналы заведомо мошеннические, поскольку оплата доставки вакцины производится в криптовалюте и покупателю не дают никаких гарантий, что он не будет обманут.
«Больше всего объявлений об отрицательных тестах, потом идут сертификаты, потом объявления о продаже самих вакцин, но их совсем незначительное количество», — отметил Егоров.
Как говорит главный технологический эксперт «Лаборатории Касперского» Александр Гостев, случаи подкупа медперсонала, который за деньги вносит информацию о том, что человек якобы привит, не будут основной проблемой властей. Гораздо проще и дешевле подделать QR-код и сделать фальшивую страницу с дизайном под госуслуги, на которую он будет вести.
Ведь вряд ли официант в ресторане, сканирующий такой QR-код, будет проверять, какой там адрес в браузере, считает эксперт.
«Создать свой личный поддельный сайт с каким-нибудь дизайном под госуслуги, сгенерировать для себя QR-код и всем показывать — это же просто плевое дело, в интернете, думаю, быстро появится куча конструкторов подобных сайтов. Любому, кто понимает в программировании html, склепать подобную страничку ничего не стоит», — говорит Александр Гостев.
По его мнению, единственный вариант победить эту проблему с поддельными сайтами, особенно ничего не меняя, сделать так, чтобы у проверяющих был доступ только на сайт госуслуг, а не просто в интернет. В этом случае поддельные QR-коды открываться не будут, а настоящий QR-код будет вести на честный аккаунт.
Кого накажут за подделки
Правоохранительные органы уже неоднократно сообщали о случаях мошенничества с сертификатами, задержаниях подозреваемых в изготовлении и сбыте фальшивок. Как правило, их находили по объявлениям в интернете, цена составляла от 4 до 5 тыс. рублей в зависимости от срока изготовления, деньги предлагалось перевести на банковскую карту. Как рассказали «Газете.Ru» в МВД, последнее задержание — группа из трех человек, их подозревают в организации изготовления поддельных сертификатов (ст. 327 УК РФ подделка или оборот поддельных документов), произошло на этой неделе. В сумме московская полиция возбудила уже не менее 24 уголовных дел.
В МВД России на вопрос «Газете.Ru» о масштабах проблемы с поддельными сертификатами сообщили, что официальной статистики по случаям мошенничества с у них нет. На просьбу предоставить комментарий о том, как правоохранители борются с подделками, ответа не поступило. В Следственном комитете России (СКР) не ответили на вопросы о том, могут ли оценить масштаб проблемы, и как ведется борьба с нарушителями.
Роспотребнадзор переадресовал вопросы по поддельным сертификатам в Минцифры, на момент публикации ведомство не предоставило комментарий.
При этом замглавы министерства Олег Качанов сегодня сообщил журналистам, что QR-коды уже доступны более чем 11 млн граждан, которые сделали прививку. После 30 июня их должны получить еще 9 млн человек — причем не только вакцинированные, но и переболевшие (таких, по оценке Минцифры, 5 млн). Еще 4 млн пока не могут получить код из-за технических проблем: не имеют подтвержденную учетную запись или не зарегистрированы.
«Газета.Ru» направила в мэрию Москвы запрос о том, как правительство города планирует бороться с внесением фиктивных прививок в реестры, а также с фальшивыми интернет-страницами, на момент выхода материала ответа не поступило. В Минздраве также не ответили на письмо.
Опрошенные «Газетой.Ru» юристы указывают, что судить за подлог документов по ст. 327 УК РФ могут не только исполнителей (например, врачей) и посредников, но и обладателей фальшивки.
«Нормативные правовые акты, устанавливающие меры ответственности за подделку медицинских документов, а именно ст. 327 УК РФ, будут применяться к владельцу такого поддельного документа, который может быть арестован на срок до 6 месяцев, либо лишен свободы срок до двух лет», — пояснил «Газете.Ru» директор гражданско-правового департамента юридической фирмы Клифф Евгений Джафаров.
Как напоминает адвокат МКА «Клишин и партнеры» Виталий Богомолов,
для состава преступления будет достаточным просто купить поддельный сертификат или где-то предъявить его, даже не использовав положенные вакцинированным людям преференции (права).
«Если же гражданин указанные права получил, например, поехал за границу по фальшивому сертификату, заразил других людей, что привело к их смерти, то человека также привлекут к ответственности по ст. 236 УК РФ «Нарушение санитарно-эпидемиологических правил». Наказание по ней — лишение свободы до 7 лет», — напоминает адвокат.
Программист, разработавший QR-код и написавший страницу-клон госуслуг, также будет привлекаться к ответственности по уголовной статье о подлоге, ему будет грозить лишение свободы или принудительные работы на срок до двух лет, либо арест на срок до полугода.
Зачем врачи рискуют свободой, занимаясь фальсификациями?
Опрошенные «Газетой.Ru» врачи, знающие о таких случаях подделок, объяснили, почему к ним обращаются люди с запросом на подлог, а главное, почему медицинские сотрудники соглашаются. Дело не столько в наживе — наказание по уголовной статье перевешивает заработок в несколько тысяч рублей. Выяснилось, что многие боятся навредить пациентам с серьезными хроническими заболеваниями.
«Есть люди, которые имеют тяжелые заболевания и которые боятся делать эту прививку, потому что заболевание находится в стадии ремиссии, а его активизация очень часто приводит людей к смерти. Из противопоказаний выкинули все тяжелые диагнозы — эпилепсию, онкологию, аутоиммунки, тяжелую сердечную недостаточность! Наоборот, сказали: «Этих прививать в первую очередь!»
— рассказал «Газете.Ru» врач, знакомый с ситуацией в одной из поликлиник Москвы. По его словам, пациенты понимают, что если начнется декомпенсация, то им будет сложно сейчас получить плановую помощь по основному диагнозу, даже если острое состояние им снимет «скорая».
Как отмечают врачи, согласно действующим инструкциям от Минздрава, в противопоказаниях значатся лишь гиперчувствительность к препарату, тяжелые аллергические реакции в анамнезе (в т.ч. на 1-й компонент вакцины), острые инфекционные и неинфекционные заболевания, обострение хронических болезней, беременность (с 25 июня можно прививать беременных приказом Минздрава — «Газета.Ru») и период грудного вскармливания; возраст до 18 лет.
Все тяжелые системные хронические заболевания, включая диабет, болезни печени и почек, систем кроветворения (анемии, лейкозы и т.д.), центральной нервной системы (например, эпилепсия), сердечные и сосудистые заболевания, онкология и аутоиммунные диагнозы — перечислены в пункте «с осторожностью». На практике, по словам медработников, прививают всех пациентов, кто не находится в остром состоянии.
«В инструкциях [Минздрава] нигде не значится та же онкология в абсолютных противопоказаниях, только в относительных, и если человек в ремиссии, ему назначается «ЭпиВак» вместо «Спутника». Всем делается прививка, кроме тех, у кого острые заболевания, и тем на 2-4 недели медотвод, все! Тяжелым аллергикам? «ЭпиВак». Тяжкие хронические? «ЭпиВак». Старше 60? «ЭпиВак», — утверждают согласившиеся пообщаться на условиях анонимности врачи.
Но, конечно, не все покупатели поддельных сертификатов обладают набором тяжелых заболеваний. Есть и убежденные антипрививочники. Впрочем, здесь ничего личного к антиковидным вакцинам они не имеют: верующие во вред вакцин не ставят их ни себе, ни детям, а сказать в процентном соотношении, сколько из них боятся именно «Спутника», а сколько — вакцин в принципе — опрошенные врачи затрудняются.