Экономическаяпреступность сегодня
Фальшивые QR-коды для обхода требований столичной мэрии могут стать лазейкой для фишинга
В Рунете начали появляться схемы для обхода требований мэрии Москвы по доступу в заведения общепита по QR-кодам, сообщил в среду «Коммерсант» со ссылкой на специалистов в области информационной безопасности.
Так, по словам независимого аналитика Дмитрия Артимовича, обойти требования мэрии можно с помощью генератора QR-кодов и привязки кода к сайту, имитирующему страницу на «Госуслугах».
Эксперты ГК InfoWatch подтверждают, что описанный способ обхода требований мэрии уже набирает популярность — зафиксировано множество групп и телеграм-каналов, предлагающих купить QR-коды для посещения кафе и ресторанов. Причем если в случае с поддельными сертификатами о вакцинации можно говорить о коррупции в медучреждениях, то QR-коды, как правило, продают мошенники. По данным «Серчинформ», количество доменных имен, имитирующих «Госуслуги», выросло до 29.
При этом стоит отметить, что получение такого «левого» QR-кода, привязанного к сайту-«имитатору» само по себе несет дополнительный риск, поскольку для его получения, как правило, требуется ввести свои персональные данные, в том числе паспортные. Такая операция может окончиться для пользователя обычной фишинговой темой — например, на его паспорт будет зарегистрирована какая-нибудь фирма или взят кредит.
В департаменте информационных технологий Москвы заявили, что использование поддельных QR-кодов подпадает под ст. 327 УК РФ («Подделка и использование официальных документов»). Одако ряд юристов полагает, что сам QR-код не является документом, а ст. 327 УК РФ может вменяться только к бумажным документам на официальных бланках, утвержденных госстандартом, либо к электронным документам, подписанным электронной цифровой подписью. В свою очередь председатель комитета Совфеда по конституционному законодательству Андрей Клишас отметил, что, если человек использует код с привязкой к фейковому сайту, это является нарушением санитарно-эпидемиологических правил. «В зависимости от последствий может наступать ответственность до 2 лет лишения свободы», – заявил Клишас. Ответственность установлена ст. 236 УК РФ («Нарушение санитарно-эпидемиологических правил»).
Как будет работать предложенная схема, во многом зависит от того, как будут организованы системы проверки QR-кодов; если сотрудники общепита подойдут к этому формально, то они могут считывать коды, ведущие по ссылкам на сайты-клоны. Как отметил начальник отдела информационной безопасности «Серчинформ» Алексей Дрозд, сейчас официанты могут сканировать QR-коды просто камерой на смартфоне. Однако, чтобы обезопасить процесс от мошенничества, стоит использовать специальный софт, который сопоставляет домен и поддомены и будет отсекать любые ссылки, кроме правильных.
С 28 июня жители Москвы по указу мэрии могут попасть в заведения общепита, театры, кинотеатры, концертные залы, только предъявив QR-код и паспорт. Код могут получить те, кто прошел вакцинацию, переболел COVID-19 в течение последних шести месяцев или имеет отрицательный ПЦР-тест, действительный в течение трех дней. QR-код можно получить с помощью электронной медкарты Москвы, на портале mos.ru, в системе ЕМИАС, на портале «Госуслуги» или в регистратуре поликлиники. По состоянию на понедельник, 28 июня, коды за три дня получили примерно 2,5 млн человек.
Как сообщает РБК со ссылкой на источники в мэрии, сейчас обсуждаются предложения по введению QR-кодов для прохода в театры, кинотеатры и концертные залы. Кроме того, как заявил глава столичного департамента торговли и услуг Алексей Немерюк 29 июня в эфире Первого канала, власти Москвы планируют распространить принцип прохода по QR-коду на магазины и общественный транспорт.