Черный код: как даркнет подстроился под московские QR-пропуска
Привет. В Москве и Московской области с 28 июня посещение массовых мероприятий и вход в места общественного питания, а также некоторые музеи, возможен только при наличии специального QR-кода. Как и многие другие технологические инициативы, призванные снизить темпы распространения COVID-19, новая тоже привлекла внимание недобросовестных граждан. Появились продавцы и генераторы QR-кодов, оживились интернет-мошенники и не только. Покопавшись немного в даркнете и Telegram, а также пообщавшись со специалистами по информационной безопасности, я написал небольшую заметку: с кейсами и скриншотами.
Важный дисклеймер: статья не является призывом к действию. Если верить представителю комитета Совета Федерации по конституционному законодательству Андрею Клишасу, за нарушений новых требований к посещению общепита и массовых мероприятий может светить как штраф в размере до 40 тыс. руб., так и лишение свободы до 2 лет. Есть, конечно, юристы, которые готовы поспорить с сильным утверждением чиновника, однако проверять никому не рекомендую.
Изъян системы
Для начала предлагаю разобраться, что вообще представляет собой система выдачи и проверки заветных пропусков. С 28 июня в Москве и Московской области начали действовать новые правила посещения мест общественного питания, массовых мероприятий, некоторых музеев и не только. Для прохода гражданам потребуется предоставить сотруднику заведения или организатору мероприятия QR-код, подтверждающий прохождение вакцинации, перенесённое заболевание или наличие отрицательного ПЦР-теста.
Получить QR-код москвичи могут в электронной медицинской карте, на порталах mos.ru и emias.info, едином портале государственных и муниципальных услуг или в специализированном приложении «Госуслуги. Стоп коронавирус». По старинке, в регистратуре городской поликлиники, тоже можно.
Проверка QR-кода кое-как стандартизирована. Согласно указу мэра Москвы от 22 июня 2021 года № 35-УМ «О внесении изменений в Указ Мэра Москвы от 8 июня 2020 г. N 68-УМ», рестораны и кафе должны обеспечить проверку действительности кодов, предъявляемых посетителями, путём сканирования камерой смартфона, планшета или иного подобного устройства с доступом к сети Интернет. А также сверять полученные данные с паспортными.
При этом указом не предусмотрено обязательное использование конкретных приложений для сканирования QR-кодов. Но рекомендуются такие средства, как Единый портал государственных и муниципальных услуг, специализированное приложения Единого портала государственных и муниципальных услуг «Госуслуги.Стопкоронавирус», приложения «Госуслуги Москвы», «Моя Москва» и «Помощник Москвы».
Судя по всему, пренебрегать этими рекомендациями можно. Во всяком случае, руководитель департамента информационных технологий (ДИТ) Москвы Эдуард Лысенко вскоре после объявления новых требований продемонстрировал журналистам процедуру проверки на примере стандартного приложения «Камера» для iPhone.
Фейки идут
С одной стороны, предоставленная проверяющей стороне свобода выбора — положительный момент. Меньше хлопот. С другой — негативный. Потому что при использовании любого приложения-сканера верификацию зашитой в QR-код ссылки (как правило, на сайт «Госуслуг», где хранятся сертификаты) сотруднику общепита приходится проводить на глаз.
В связи с этим в сети начали распространяться генераторы фейковых QR-кодов, к которым привязаны ссылки на сайты, имитирующие интерфейс «Госуслуг». Один из таких я нашёл в Telegram в формате бота. Называется «Московские вакцины QR код».
Бот просит отдельными сообщениями прислать ФИО, дату рождения, первые 2 цифры паспорта, последние три цифры паспорта. Запрос обусловлен тем, что в карточке с QR-кодом на «Госуслугах» высвечивается именно эта информация.
На основе полученных данных бот генерирует QR-код со ссылкой, похожей на реальный адрес портала «Госуслуг». По переходу на него открывается карточка, которую на глаз ну очень сложно отличить от оригинальной.
Название бота я раскрыл со спокойной душой, потому как вскоре после запуска пропускной системы разработчик испугался последствий и «убил» свой проект, залив исходник на GitHub. Меж тем все скриншоты рабочего состояния прилагаются ниже. И да, описанный бот — не единственный в Telegram и в интернете вообще генератор QR-кодов.
Есть монеты — есть товар
Думаю, ни для кого не секрет, что в даркнете продаётся всё: от персональных данных людей до самих людей. Где-то между этими крайностями есть и сертификаты о прохождении вакцинации от COVID-19. А с недавних пор — и QR-коды для прохода в рестораны и кафе. Сейчас подобных объявлений там — десятки. Несколько скриншотов прилагается.
Как правило, пропуска продают те же аккаунты, что раньше продавали сертификаты. В этом случает коммерсанты просто обновили старые объявления, добавив в описание пункт с QR-кодами. Впрочем, есть на форумах посты, которые появились после 22 июня, приуроченные как раз к анонсу пропускной системы.
Цена вопроса разная. Код со ссылкой на отрицательный ПЦР-тест — до 10 тыс. руб. Просто сертификат о прохождении вакцинации — 10–15 тыс. руб. Сертификат с QR-кодом — больше 20 тыс. руб. Не знаю, чем именно обусловлен разброс, но, подозреваю, количеством работы. Просто «нарисовать» сертификат — одно дело. А «нарисовать» и внести в базу «Госуслуг» — другое.
Люди, в чей список профессиональных обязанностей входит регулярный мониторинг киберкриминальных форумов, отмечают, что в даркнете, в отличие от Telegram или любой другой публичной площадки, нарваться на мошенника, как ни странно, сложно. Поскольку администрация теневых форумов пристально бдит за своими участниками и сурово карает за нарушение правил. Обманув клиента раз, второй раз открыть магазинчик уже не получится. Причем обманщиков нередко вычисляют до появления жертв с помощью контрольной закупки. Проверяют в первую очередь новеньких продавцов и демперов.
Смотри, но не трогай
В заключение добавлю, что гораздо опаснее не генераторы QR-кодов или люди с теневых форумов, а те, кто куражится в паблике. А именно мошенники, которые сейчас создают сотни каналов, пабликов или фишинговых сайтов с объявлениями о продаже QR-кодов или сертификатов. Поскольку их никто не курирует и уж они-то наверняка возьмут ваши деньги и уйдут в закат.
Россыпь предложений в Telegram. Скриншот от компании ESET
Оптимизма и веры в людей прибавляет недавний репорт «Лаборатории Касперского», согласно которому люди не ходят по ссылкам на сайты, имитирующие работу «Госуслуг», которые нашли специалисты. С другой стороны, ЛК не посвящает в методы сбора аналитики, поэтому не стоит исключать, что компания просто не туда смотрела.
Ну и, как обычно, немного «ватного» наброса. В России с QR-кодами и сертификатами всё не очень хорошо. Однако Россия — не единственная страна, которая в рамках борьбы с COVID-19 экспериментирует с QR-кодами. В Австралии, Великобритании, Сингапуре, Южной Корее и ряде других регионов также используются QR-коды для информирования населения, чекина в ресторанах и не только. Вместе с тем и они тоже страдают от умников, которые пытаются абьюзить систему.
Например, в Австралии в апреле арестовали мужчину за подмену на баннерах социальной рекламы QR-кодов. Если оригинальные вели людей на статьи с информацией о пользе вакцинации, масок и антисептиков, то фейковые — на антипрививочные агитки. А о том, как в Китае QR-коды на самокатах и велосипедах уводят людей на фейковые страницы платёжных систем, и до 2020 года было написано много статей. В общем, по-своему страдают все.