- Как мошенники крадут QR-код
- Как защитить свои данные
- Новости по теме
- Поддельные QR-коды
- Фальшивый прием на работу
- Телефонные мошенники
- Фишинговые сайты
- Приложения-трояны
- Какое наказание грозит за поддельный QR-код?
- А что с теми, кто купил поддельную справку о медотводе?
- Кто может получить QR-код
- Как работает проверка QR-кода в заведениях Москвы
- Где сейчас надо предъявлять QR-код
- Как подделываются QR-коды
- Что дальше будет с проходом по QR-кодам?
Использование чужого или фальшивого QR-кода пока остается вне правового поля, однако суды уже имеют дела, связанные с подложными документами о вакцинации. Так, покупка фальшивого сертификата повлечет за собой уголовную ответственность по части 3 статьи 327 УК РФ, максимальное наказание в этом случае составит до одного года лишения свободы.
Адвокат Юлия Кремер рассказала газете «Известия», оснований для применения указанной статьи не будет, если при переходе по QR-коду не обнаружится номера, даты рождения и даты вакцинации. При этом существует риск привлечения человека к административной ответственности из-за невыполнения требований по санитарно-эпидемиологическому контролю, статья 6.3 КоАП.
Если QR-код содержит гиперссылку на сертификат о вакцинации с номером, датой рождения и датой вакцинации, такой QR-код будет считаться официальным документом. Таким образом, использование заведомо подложного QR-кода может привести к уголовной ответственности по п. 5 ст.
327 УК РФ. Санкция в этом случае будет варьироваться от штрафа в 80 тыс. рублей до ареста на срок до шести месяцев.
Присвоение чужого QR-код или цифрового сертификата является завладением чужими персональными данными, подчеркнула юрист по финансовым спорам Анна Грецкая. За такие действия предусмотрена административная ответственность по ч. 1 ст.
13.11 КоАП РФ («Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах». Человека могут оштрафовать на сумму в размере от двух до шести тысяч рублей, юрлицо — от 60 до 100 тысяч рублей.
Кроме того, уголовная ответственность (статья 137 УК РФ) предусмотрена за нарушение неприкосновенности частной жизни — если злоумышленник собирал или распространял сведения, являющимися личной тайной потерпевшего (информация о вакцинации). Штраф за это может составить до 200 тысяч рублей, либо лишение свободы на срок до двух лет.
По словам Грецкой, за копирование, удаление или блокировку информации на чужом компьютере может грозить серьезное наказание (статья 272 УК РФ), в том числе штраф от 200 тысяч рублей или лишение свободы на срок до двух лет.
Как мошенники крадут QR-код
Всего существует две главные схемы мошенничества, связанные с похищением и использованием чужих «кьюаров». Как рассказал главный эксперт «Лаборатории Касперского» Сергей Голованов, есть схемы с продажей QR-кодов, которые ведут на фишинговые страницы, имитирующие официальные ресурсы, а также с покупкой реальных матричных кодов у мошенников.
Эксперт пояснил, что проверяющим важно удостовериться, что ссылка в адресной строке верная — в первом случае. Во втором варианте почти невозможно распознать мошенничество. По его словам, регуляторы активно работают над прояснением таких ситуаций.
За время пандемии появился теневой рынок по продаже поддельных QR-кодов. Проверяющие при переходе по матричному штрихкоды попадают на поддельный сайт, похожий на страницу на госуслугах, где содержится необходимая для сверки информация с паспортными данными и датой вакцинации.
Ведущий эксперт информационной безопасности IT-компании КРОК Виктор Рыжков рассказал, что на черном рынке уже продают украденные QR-коды привитых россиян.
Злоумышленнику достаточно находиться в непосредственной близости к жертве во время предъявления QR-кода и воспользоваться камерой своего смартфона или иными средствами фото- и видеофиксации.
ведущий эксперт информационной безопасности IT-компании КРОК
Как защитить свои данные
Эксперты советуют владельцам QR-кодов быть аккуратными при их демонстрации в публичных местах и не забывать некоторые правила. По словам Рыжкова, следует установить сложный пароль и настроить двухфакторную аутентификацию для доступа на портал госуслуг и почтовый ящик, не переходить по подозрительным ссылкам, доставленных как в электронных письмах, так и по QR-кодам, использовать защитное ПО для смартфонов.
Проверяющим, добавил эксперт, следует использовать официальное приложение или сканер QR-кодов с функцией сверки по «белым спискам», визуально проверять доменное имя в ссылке (адрес gosuslugi.ru не должен содержать ошибок).
Новости по теме
Банки хотят обязать возвращать клиентам украденные мошенниками деньги. У инициативы есть подводные камни
Поддельные QR-коды
Как это работает: Еще с конца прошлого года в большинстве нотариальных документов в бумажной форме появились QR-коды, в которых зашифрованы основные реквизиты документа. Предполагалось, что это послужит борьбе с подделками, однако мошенники поступили изящно: они подделывают и сам документ, и QR-код. Таким образом, после сканирования кода жертва попадает на сайт, интерфейс которого копирует вид настоящего сервиса Единой информационной системы нотариата.
То есть абсолютно уверенным в подлинности документа можно быть только после ручной проверки его реквизитов через официальный сайт notariat.ru.
Фальшивый прием на работу
Как это работает: Злоумышленники охотятся на россиян в поиске удаленной работы, соблазняют их выгодными условиями в объявлении. В ходе переписки выясняется: чтобы приступить к работе мечты, нужна сущая мелочь – открыть новый счет, внести страховой взнос, установить фирменное приложение работодателя. Вариаций много, но суть одна.
В итоге, когда жертва осознает, что у нее попросту выманили деньги или персональные платежные данные, становится уже слишком поздно. Как сообщают эксперты Bi.Zone, известны случаи, когда вместо выгодной должности соискатели получали взятый на их имя кредит.
– Никогда не платите потенциальному работодателю для того, чтобы приступить к работе. Не стоит направлять незнакомым людям сканы документов, особенно на начальном этапе общения. Будьте особенно осторожны при переходе по ссылкам на скачивание файлов и приложений, которые присылают незнакомые и малознакомые люди.
Во избежание заражения устройств вредоносным ПО стоит всегда держать включенным антивирус на ПК и смартфоне, не забывать его обновлять (так же как и само устройство) и регулярно проводить сканирование на вирусы.
Телефонные мошенники
Как это работает: Несмотря на то, что к настоящему моменту о фальшивой службе безопасности банков слышали уже, кажется, все жители России, мошенники продолжают успешно выводить миллионы и миллионы из карманов граждан. Происходит так из-за мастерского использования ими методов социальной инженерии (умение манипулировать эмоциями и действиями собеседника, давить на нужные точки), к которым большинство населения оказывается не готово. Особенно уязвима старшая возрастная группа: так, недавно 96-летнему ветерану, сидевшему рядом с Владимиром Путиным на параде 9 мая, позвонил неизвестный злоумышленник и, представившись сотрудником полиции, убедил снять с личного счета 400 тысяч рублей и передать их третьему лицу якобы для проведения оперативных мероприятий по задержанию с поличным мошенника.
Как избежать: Если во время входящего звонка вас просят продиктовать какие-то свои платежные данные (неважно, кем представляется собеседник), перевести средства на защищенный счет или установить защитное приложение, а тем более взять кредит, то это мошенники. Кладите трубку, и как можно раньше: не переоценивайте свои силу воли и невнушаемость. Минимизировать количество таких звонков позволит использование определителя номера или специальных антиспам-предложений операторов связи.
Фишинговые сайты
Как это работает: Сайты, имитирующие сервисы по продаже билетов, путевок, товаров, появляются и исчезают как грибы под каждый информационный или сезонный повод (праздничные даты, открытие курортного сезона). Выглядят они как настоящие, единственное отличие – деньги уходят мошеннику, а жертва в итоге не получает ничего. Например, этой весной перед сезоном отпусков было зафиксировано несколько сотен новых мошеннических сайтов, якобы связанных с продажей билетов и путевок.
Как избежать: Проверяйте, защищено ли соединение (https:// вместо http://), есть ли у сайта цифровой сертификат (замочек), корректно ли написание адреса сайта, реквизиты компании, не подозрительно ли низкое ценовое предложение и т. д. При возникновении малейших сомнений откажитесь от покупки на такой странице.
Приложения-трояны
Как это работает: Приложение, которое маскируется под полезную программу (или бессмысленную, но популярную вроде пасьянса или динамических обоев), на деле оказывается опасным. В устройство встраивается вирусный код, который позволяет мошенникам похитить ваши пароли и деньги из мобильного банка. Пользователи чаще всего загружают такой вирус тремя способами: 1) через фишинговое письмо или по ссылке, под видом важного документа; 2) установив по просьбе мошенника, который выдает это приложение за что-то другое; 3) случайно встретив его в магазине приложений замаскированным под полезную программу.
В июне этого года, сообщают IT-эксперты Check Point, трояны часто маскируются под полезные приложения, например медиаплеер VLC, антивирус Касперского, приложения сервисов доставки FedEx и DHL.
– С осторожностью относитесь к любым новым приложениям, которые устанавливаете на свой смартфон, и к любым ссылкам или файлам, которые открываете. Обращайте внимание на разрешения (доступы), которые запрашивает приложение: они не должны быть излишними. Например, будильнику вовсе не обязательно знать ваши геолокацию и контакты.
Какое наказание грозит за поддельный QR-код?
В зависимости от обстоятельств. Надо помнить, что сам по себе QR-код не является официальным документом, это лишь машиночитаемая ссылка на страничку пользователя в базе данных Госуслуг — электронный сертификат о вакцинации. Таким образом, речь идет не о подделке самого графического кода, а об изготовлении фальшивого сертификата.
Как работают многочисленные предложения по продаже QR-кодов в интернете? Часть из них запрашивает паспортные данные покупателя и делает страницу, очень похожую на Госуслуги, на которой создается фальшивый сертификат. Тем, кто воспользовался этой «услугой», может грозить сразу два обвинения. Так, передачу информации о себе правоохранители трактуют как пособничество в подделке документа (ч.1 ст.
327 УК РФ — до двух лет лишения свободы). При этом сам факт приобретения и использования поддельного документа является еще одним преступлением (ч.3 ст. 327 УК РФ — до года лишения свободы).
Если же человек пошел к настоящему врачу и попросил за деньги внести свои данные в Госуслуги, то здесь наказание для всех участников этой «сделки» может быть еще строже. Помимо обвинений в пособничестве в изготовлении и покупке поддельного сертификата, пациенту может грозить также ответственность за дачу мелкой взятки (ст. 291.2 УК РФ — до года лишения свободы).
Врачи же рискуют еще больше, так в Ульяновской области возбудили дело в отношении медиков одного из медучреждений. По фактам внесения ложных сведений в Госуслуги их обвиняют сразу в мошенничестве (ч. 4 ст.
159), изготовлении поддельных сертификатов (ч.1 ст. 237) и доступе к критической информационной инфраструктуре (тому самому порталу Минздрава, из которого берут сведения Госуслуги) с целью модификации (ч. 4 ст.
274.1).
А что с теми, кто купил поддельную справку о медотводе?
Практически то же самое. Приобретение фальшивого медотвода также наказывается по ч.3 ст. 327 УК РФ (до года лишения свободы).
При этом полиция может счесть передачу своих данных пособничеством в изготовлении поддельного документа. Если справка выдана настоящим врачом за деньги или подарок, то правоохранители могут усмотреть здесь дачу мелкой взятки (ст. 291.2 УК РФ — до года лишения свободы).
Кто может получить QR-код
Пример QR-кода в электронном сертификате вакцинации из Госуслуг.
◆ граждане, прошедшие вакцинацию. QR-код содержится в электронной версии сертификата о получении второго компонента вакцины от COVID-19 (или однокомпонентной вакцины), зарегистрированной в РФ
◆ граждане, получившие действующий отрицательный результат ПЦР-теста. С таким QR-кодом посетить заведение можно, если с момента готовности результата и его регистрации прошло не более 72 часов
◆ граждане, переболевшие коронавирусной инфекцией. QR-код может быть использован при посещении ресторана в течение шести месяцев с даты выздоровления.
Как работает проверка QR-кода в заведениях Москвы
Пример страницы, открывающейся при сканировании QR-кода.
1. Вы получаете QR-код:
► с помощью специального сервиса mos.ru/qr
► в поликлинике — обратитесь в регистратуру или распечатайте самостоятельно с помощью инфомата
► в приложении «Госуслуги СТОП Коронавирус» (App Store и Google Play). Авторизуйтесь под своей учетной записью (ЕСИА), выберите статус («здоров») и заполните анкету, затем сохраните QR-код на свой смартфон или сделайте скриншот
► на портале Госуслуги. Для этого авторизуйтесь под своей учетной записью (ЕСИА) и выберите в каталоге услугу «Вакцинация COVID-19»
2. Вы показываете код со смартфона (или распечатанный) в кафе. На него наводят камеру, переходят по предложенной кодом ссылке и видят: ваш статус, первые буквы ФИО, несколько цифр номера паспорта и полная дата рождения.
Где сейчас надо предъявлять QR-код
Пока только в помещениях и внутренних территориях кафе, ресторанах и заведениях общественного питания. Важный момент: это пока не распространяется на летние веранды, а также на заказы «на вынос».
Грубо говоря, если вы хотите присесть в помещении, чтобы поесть или выпить кофе, с вас должны спросить сертификат. Даже если зона питания размещена в супермаркете, от вас всё равно потребуют QR-код либо кассир, либо охрана.
Большинство кафе и ресторанов в Москве продолжают работать. Если у вас есть QR-код вакцинации, переболевшего или результата ПЦР, вы можете сесть в практически (или полностью) пустых залах там, где раньше днём всё было занято.
Однако во многих торговых центрах все места размещения на фудкортах закрыты и опечатаны. Некоторые заведения вообще закрыли помещения и оставили заказы только «на вынос», а также доставку. Поэтому даже с QR-кодом может получиться так, что сесть вам будет банально негде.
Некоторые заведения обходят запрет, формально не являясь организацией общественного питания. Но уже есть свидетельства, что Роспотребнадзор и полиция всё равно выписывают им предупреждения, после чего остается либо соблюдать ограничения, либо готовиться к закрытию после следующей проверки.
Как подделываются QR-коды
Группы, продающие сертификаты и QR-коды, есть даже в Telegram.
▪ Использование чужого, но настоящего QR-кода. Берётся чей-то код вакцинированного и выдаётся за свой.
Однако нередко (и с нарастающей частотой) помимо QR-кода у вас спрашивают паспорт. Данные на открывшейся странице подтверждения не совпадают, и вам отказывают в обслуживании.
▪ Генерация QR-кода на подставном сайте. Вы отдаёте свои данные неизвестно кому и получаете QR-код. При его сканировании смартфон перенаправляется на сайт, визуально копирующий страницу на Госуслугах, где указаны ваши данные и «подтверждается» факт вакцинации.
Правоохранительные органы и официальные лица объявили борьбу с этим методом и обещают наказание вплоть до уголовного тем, кто будет использовать такие коды. Теоретически, подставные сайты, куда перекидывают такие QR-коды, может заблокировать Роскомнадзор – и тогда все коды, ведущие туда, перестанут работать.
▪ Ложная прививка с «проведением» сертификата через Госуслуги. Цены в даркнете варьируются от нескольких тысяч до 15-20 тысяч рублей. Предложений масса также как в поисковиках, так и в мессенджерах, включая специализированные боты и группы.
Мошенников среди них ожидаемо много, так как жаловаться клиенту в случае обмана абсолютно некому. Есть сообщения, что некоторые умудряются получать таким образом действительные записи о прививке в Госуслугах.
Незаконность этого метода очевидна. Участвующим в таких схемах грозит уголовное преследование. Сегодня прошла информация, что в Москве начали задерживать курьеров с бумажными версиями таких сертификатов.
Что дальше будет с проходом по QR-кодам?
С учётом текущей ситуации с заболеваемостью коронавирусом, снятие этих условий в ближайшее время маловероятно. Власти Москвы не исключают, что рассматривают распространение проверки QR-кодов на другие сферы, включая транспорт. Но пока конкретных решений по этому поводу не принимали.
Поэтому пока QR-коды остаются актуальными для жителей и гостей столицы. Моё мнение по этому поводу – вместо того, чтобы ходить за ПЦР каждые три дня, лучше сделать прививку. Причём чем раньше, тем лучше: ведь QR-код вы получите только после второго укола двухкомпонентными вакцинами, а тот наступит не раньше двух недель после первого.
Места, где можно сделать прививку в Москве сейчас, мы ранее перечислили в отдельной статье.
В закладки
На любое действие следует противодействие. Это законы не только физики, но и социума. Поэтому нет ничего удивительного, что сразу после появления системы проверки QR-кодов в Москве появились масса способов обмана как самой процедуры, так и всей системы контроля.
Одни предостерегают от подделки QR-кодов и покупки сертификатов вакцинаций. Другие чуть ли не открыто хвалятся обратным. И.