Не свое на уме: чем грозит использование чужого QR-кода
Посещение общественных мест во многих регионах страны требует предъявления QR-кода, подтверждающего вакцинацию. Также обычно необходимо показать документ, удостоверяющий личность. В ходе таких проверок нередко выясняется, что студент пытался пройти в торговый центр с кодом пенсионера, а девушка — с «кьюаром» подруги. За такие подмены грозит реальное наказание — как административное, так и уголовное. Особо строгие меры предусмотрены в том случае, если QR-код был украден. Подробнее — в материале «Известий».
Как злоумышленники могут заполучить QR-код
По словам главного эксперта «Лаборатории Касперского» Сергея Голованова, существуют две основные схемы мошенничества, связанные с использованием QR-кода: продажа «кьюаров», которые ведут на фишинговые страницы, имитирующие официальные ресурсы, и покупка реальных матричных кодов у злоумышленников.
— В первом случае проверяющим очень важно удостовериться, что ссылка в адресной строке верная. Во втором обнаружить неладное будет почти невозможно, — говорит эксперт, подчеркивая, что регуляторы принимают активные меры по разрешению таких ситуаций.
Ведущий эксперт информационной безопасности IT-компании КРОК Виктор Рыжков добавил, что за время пандемии сформировался теневой рынок по продаже фальшивых QR-кодов. При переходе по матричному штрихкоду проверяющий попадает на поддельный сайт, визуально схожий со страницей проверки на госуслугах и содержащий всю необходимую для сверки информацию: паспортные данные, дату вакцинации и другие сведения.
— Однако при использовании такого сервиса покупатель может заплатить и не получить даже фальшивого QR-кода, — заметил эксперт. — Более того, при утечке персональных данных граждан мошенники теоретически могут продавать их, а покупатели использовать с целью шантажа. Например, звонить гражданам с угрозой передать сведения о фальсификации QR-кода в правоохранительные органы и требованием выкупа «за удаление данных из базы».
По словам Рыжкова, украденные QR-коды привитых россиян также продаются на черном рынке. При таком сценарии основной проблемой для покупателя станет только сверка с удостоверением личности, которое, весьма вероятно, будет подделано.
Получить доступ к действующему «кьюару» вполне реально, считают эксперты. Не стоит забывать, что QR-код — это информация, которая хранится, как правило, не только на портале госуслуг, но и на мобильном устройстве или в почтовом ящике пользователя. Поэтому методы, используемые злоумышленниками, не являются принципиально новыми: подбор пароля от почтового ящика или аккаунта на госуслугах. Критическими факторами здесь становятся сложность пользовательского пароля и использование двухфакторной аутентификации при входе.
— С другой стороны, QR-код — это визуальная информация, никак не защищенная от копирования. Поэтому появляется еще дополнительный вектор атаки: злоумышленнику достаточно находиться в непосредственной близости к жертве во время предъявления QR-кода и воспользоваться камерой своего смартфона или иными средствами фото- и видеофиксации, — предупредил специалист КРОК.
Эксперт по кибербезопасности Сергей Вакулин согласен, что похищение QR-кода возможно. Злоумышленники способны получить удаленный доступ к устройству, на котором хранится информация, а также заснять код при его предъявлении в торговых центрах, кафе, транспорте.
Как защитить QR-код
Для предотвращения кражи QR-кодов Виктор Рыжков советует быть аккуратнее с демонстрацией их в публичных местах, а также не забывать о традиционных правилах кибербезопасности:
- установить сложный пароль и настроить двухфакторную аутентификацию для доступа на портал госуслуг и почтовый ящик;
- использовать защитное ПО для мобильных устройств;
- не переходить по подозрительным ссылкам, доставленных как в электронных письмах, так и посредством QR-кодов.
Проверяющим также следует быть начеку. Эксперт рекомендует сличать QR-коды с использованием официального приложения или сканера QR-кодов с функцией сверки по «белым спискам». А также визуально проверять доменное имя, указанное в ссылке перехода: адрес gosuslugi.ru не должен содержать ошибок или инописаний.
— Вполне возможно, что скоро появятся новые способы защиты QR-кодов, в том числе от свободного копирования, — предположил Рыжков.
Чем грозит кража или подделка QR-кода
Судебная практика постепенно пополняется делами, связанными с подложными документами о вакцинации. Покупка поддельного сертификата влечет уголовную ответственность (ч. 3 ст. 327 УК РФ). Максимальное наказание составляет до одного года лишения свободы. Использование же чужого или фейкового QR-кода пока остается вне правового поля.
— Если QR-код содержит гиперссылку на сертификат о вакцинации с номером, датой рождения и датой вакцинации, такой QR-код будет считаться официальным документом. Таким образом, использование заведомо подложного QR-кода может привести к уголовной ответственности по п. 5 ст. 327 УК РФ. Санкция в этом случае будет варьироваться от штрафа в 80 тыс. рублей до ареста на срок до шести месяцев. Если же при переходе по QR-коду таких данных не обнаружится, то оснований для применения указанной статьи не будет. Однако остается риск привлечения к административной ответственности из-за невыполнения требований по санитарно-эпидемиологическому контролю, ст. 6.3 КоАП, — пояснила адвокат Юлия Кремер.
Присвоение чужого QR-кода или цифрового сертификата можно рассматривать как завладение чужими персональными данными, отметила юрист по финансовым спорам Анна Грецкая.
— За такие действия установлена административная ответственность по ч. 1 ст. 13.11 КоАП РФ («Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)». Гражданин может получить штраф в размере от 2 до 6 тыс. рублей, юридическое лицо — от 60 тыс. до 100 тыс. рублей, — уточнила юрист.
Более того, за нарушение неприкосновенности частной жизни наступает уже уголовная ответственность (ст. 137 УК РФ). Она гарантирована в том случае, если злоумышленник незаконно собирал или распространял сведения, составляющие личную или семейную тайну потерпевшего, какой и может оказаться информация о вакцинации. За это предусмотрен штраф в размере до 200 тыс. рублей или лишение свободы на срок до двух лет.
Проблемы возникнут и в том случае, если злоумышленник завладел QR-кодом с чужого гаджета, предупредила Анна Грецкая. Информация, хранящаяся в компьютере, охраняется законом. Ее копирование, удаление или блокировка может грозить серьезным наказанием. Согласно ст. 272 УК РФ, за такие действия предусмотрен штраф в размере от 200 тыс. рублей или лишение свободы на срок до двух лет.
