Что будет, если подделать сертификат о вакцинации или QR-код

С помощью подделок мошенники запрашивают персональные данные. Это опасно. После того, как власти российских регионов объявили о принудительной вакцинации сотрудников сфер услуг, транспорта, здравоохранения и других категорий, стало расти количество поисковых запросов о покупке сертификата вакцинированного. К 24 июня по России показатель уровня интереса к теме достиг 100 баллов — наивысшего уровня популярности.

Чаще всего информацию ищут в Липецкой области. Замыкает пятерку лидеров Москва, где ограничения вводились в первую очередь из-за ежедневно растущего количества случаев выявленной инфекции. При этом сервисы объявлений оперативно приступили к блокировке предложений о продаже сертификатов о вакцинации от коронавируса. Несмотря на это, в поисковиках и закрытых группах в социальных сетях и мессенджерах до сих пор появляются соответствующие объявления.

После того, как в Москве и Московской области объявили о выдаче QR-кодов для посещения заведений общепита, которые показывают, переболел человек, привился или имеет отрицательный ПЦР-тест, действующий три дня, увеличилось количество запросов с пометкой «QR-код».

Практически одновременно с новыми требованиями о предъявлении QR-кодов эксперты по информационной безопасности заметили, что в интернете активно распространяется схема получения кода в обход официальной системы. Настоящий QR-код можно получить с помощью медицинской карты на портале mos.ru, либо на сайте госуслуг, либо через приложение ЕМИАС. ИНФО, либо в поликлинике. В каждом случае необходимо предоставить паспортные данные для идентификации личности.

Мошенники, занимающиеся подделкой QR-кодов, также запрашивают паспортные данные, но могут использовать их в преступных целях, вплоть до оформления кредита в банке. Давид Григорян, старший разработчик программных решений для мобильных технологий, рассказывает, что в пространстве GitHub уже опубликованы проекты, с помощью которых можно самостоятельно генерировать поддельный QR-код. «Код содержит личную информацию о человеке: ФИО, дату рождения, паспортные данные. Если применить эту структуру для создания QR-кода и перенаправлять пользователя, считывающего его, на отдельный сервер, система покажет, что человек привит».

Эксперт подчеркивает, что подобные бреши в системе вызваны спешкой и отсутствием возможности тщательно проработать все правовые аспекты для урегулирования компрометации QR-кодов.

Фото: РИА Новости / Илья Питалев

Михаил Кондрашин, технический директор компании Trend Micro в РФ и СНГ, рассказывает, ожидать от системы QR-кодов высокого уровня защищенности рано. «На входе в ресторан предлагается проверять ссылку на сайт, демонстрирующий статус вакцинированного. Для любого подкованного в IT-технологиях пользователя сделать свой собственный пропуск в любой ресторан не составит труда. Внимательным проверяющим стоит обращать внимание на адрес сайта, куда будет вести ссылка из QR-кода. Если адрес будет сильно визуально отличаться от „immune.mos.ru“, самое время заподозрить неладное».

С ним согласен и Алексей Пронин, директор по информационной безопасности IT-компании Osnova. Он объясняет, что злоумышленники подделывают не сам QR-код, а информацию, которая в нем зашита. В случае с сертификатами о прививке или статусе переболевшего в QR кодируется URL-адрес immune.mos.ru, или любой другой, в зависимости от региона, с уникальным идентификатором. Когда сотрудник кафе сканирует QR-код, веб-сайт отображает некоторую маскированную информацию о лице, прошедшем вакцинацию.

«Сейчас злоумышленники размещают в сети клоны официальных страниц, которые имитируют отображение сертификатов с модифицированной информацией. Опознать сайт-подделку довольно просто: адрес сайта, куда ведет ссылка из QR-кода, будет отличаться от корректного — например, 1immune.mos.ru, gosuslygi.ru или любой другой вариант».

В пресс-службе компании Доктор Веб отмечают, что подделки срабатывают в том случае, когда проверка осуществляется камерой смартфона, а не специальным приложением.

За использование подделок россиянам грозит реальный срок. Несмотря на то, что среди россиян есть спрос на поддельные справки и QR-коды, немногие осознают всю тяжесть последствий от использования подобных противозаконных инструментов.

Евгений Фурин, практикующий юрист, автор блога «Юрист объясняет» обращает внимание, что если гражданин решит приобрести фальшивую медицинскую справку о том, что у него есть противопоказания к вакцинации, либо поддельный сертификат о пройденном курсе вакцинации, то его действия подпадают под ч. 3 ст. 327 Уголовного кодекса РФ. По этой статье полагается до одного года тюремного заключения.

Наказания не избежит не только покупатель, но и продавец и изготовитель подделки, при условии, что человек использовал заведомо сфальсифицированный документ — то есть заранее знал, что бумага поддельная, но всё равно использовал или даже собирался использовать её по назначению.

При этом фальсификацией считается не только поддельный документ, сделанный самостоятельно, но и бумага на оригинальном бланке, оформленная врачом. Если поддельный документ устанавливает юридический факт — завершение курса вакцинации, наличие противопоказаний — исходя из присутствия которого у человека появляются новые права или он освобождается от обязанностей, наказание не заставит себя ждать.

По словам эксперта, хотя электронный QR-код и не считается официальным электронным документом с точки зрения ст. 327 УК, поскольку он не подписан электронной подписью, это не значит, что за покупку поддельного кода гражданину ничего не грозит.

Подделка QR-кода будет наказываться даже строже, чем подделка других документов. Такой тип мошенничества подпадает под ст. 236 УК РФ «Нарушение санитарно-эпидемиологических правил». В этом случае гражданину грозит до двух лет лишения свободы за использование поддельного кода

Ответственность по этой статье наступает в случае, если это повлекло массовое заболевание или угрозу его возникновения. Угроза распространения заболевания признается таковой, если она была реальной, но распространения не произошло в результате целенаправленных действий органов власти.

«Если человек зашел в заведение по поддельному коду, но никого не заразил и никаких негативных последствий не случилось, то привлечь его к уголовной ответственности нельзя. Но гражданина могут оштрафовать по ч. 2 ст. 6.3 Административного кодекса за нарушение действующих санитарных правил при угрозе распространения опасного заболевания на сумму до 40 тысяч рублей», — подытоживает Евгений Фурин.

«При покупке поддельного QR-кода ответственность сторон зависит от того, было ли у пользователя намерение приобрести поддельный QR-код, или сам ресурс был поддельным, имитирующим, например, сайт Госуслуг. Кроме того, найти автора объявления в даркнете будет весьма проблематично, на это потребуется время».

По мнению эксперта, чтобы избежать ситуации, когда человек не знает, что его QR-код — подделка, следует тщательно информировать людей о необходимости оформлять QR-коды только на официальных ресурсах.

Евгений Суханов, директор департамента информационной безопасности компании Oberon, обращает внимание на то, что основным риском для пользователей остаются фишинговые рассылки, ссылки из которых ведут на точные копии официального онлайн-ресурса, на котором можно получить QR-код. «Это может быть максимально приближенный к оригиналу фейковый сайт или его часть, например, личный кабинет. Для собственной защиты необходимо избегать перехода по сомнительным ссылкам и всегда проверять цифровую подпись сайта и сертификат. Обычно во всех браузерах он отображается рядом с адресной строкой или подсвечивается валидное и защищенное соединение», — заключает эксперт.

Использование купленного сертификата о вакцинации или поддельного QR-кода грозит не только тюремным заключением и большим штрафом, но и дальнейшими, более жесткими, ограничениями. Решение проблемы лежит на поверхности: чтобы остановить пандемию и вернуться к привычной жизни, нужно вакцинироваться по настоящему.

Источник: hi-tech.mail.ru/review/54 612-chto-budet-esli-poddelat-sertifikat-o-vakcinacii-ili-qr-kod/