В рунете начали появляться схемы для обхода требований мэрии Москвы по доступу в заведения общепита по QR-кодам. Для этого предлагается использовать генераторы кодов и привязывать их к сайтам, имитирующим «Госуслуги». В мэрии считают такую деятельность уголовным преступлением, но юристы отмечают, что наказание может последовать только за подделку официальных документов, к которым QR-коды не относятся. В ресторанах могут просто не распознать поддельные домены, считают эксперты, рекомендуя специальный софт для сравнения доменов.
Фото: Ирина Бужор, Коммерсантъ / купить фото
Специалисты в области информационной безопасности рассказали “Ъ” об уязвимости в системе пропуска вакцинированных москвичей в кафе и рестораны по QR-кодам. Так, по словам независимого аналитика Дмитрия Артимовича, обойти требования мэрии можно с помощью генератора QR-кодов и привязки кода к сайту, имитирующему страницу на «Госуслугах». На нем придется ввести свои персональные данные, в том числе паспортные, предупреждает эксперт. В случае проверки такого кода, поясняет он, сотрудник ресторана может не заметить подмены домена.
С 28 июня жители Москвы по указу мэрии могут попасть в заведения общепита, театры, кинотеатры, концертные залы, только предъявив QR-код и паспорт.
Код могут получить на портале «Госуслуги» те, кто прошел вакцинацию, переболел COVID-19 в течение последних шести месяцев или имеет отрицательный ПЦР-тест, действительный в течение трех дней. До 12 июля для посещения без QR-кодов открыты летние веранды ресторанов.
Инструкция по получению QR-кода в Москве
Эксперты ГК InfoWatch подтверждают, что описанный способ обхода требований мэрии уже набирает популярность. «В последнее время зафиксировано множество групп и Telegram-каналов, предлагающих купить QR-коды для посещения кафе и ресторанов. Причем если в случае с поддельными сертификатами о вакцинации можно говорить о коррупции в медучреждениях, то QR-коды, как правило, продают мошенники»,— отмечает руководитель направления аналитики и спецпроектов ГК InfoWatch Андрей Арсентьев. По данным «Серчинформ», количество доменных имен, имитирующих «Госуслуги», уже заметно выросло — до 29, в то время как в марте их было зафиксировано всего два.
Использование фейкового сайта, на который ведет поддельный QR-код, стало наиболее распространенной схемой среди предложений по обходу коронавирусных ограничений, подтверждает ведущий эксперт направления «Информационная безопасность» IT-компании «Крок» Александр Черныхов. В сети, отмечает он, уже появились инструкции по созданию подобных связок.
В пресс-службе департамента информационных технологий (ДИТ) Москвы заявили, что использование поддельных QR-кодов подпадает под ст. 327 УК РФ — подделка и использование официальных документов. Но с выводами ДИТ не соглашаются опрошенные “Ъ” юристы.
«QR-код не является документом, а ст. 327 УК РФ может вменяться только к бумажным документам на официальных бланках, утвержденных госстандартом, либо к электронным документам, подписанным электронной цифровой подписью»,— объяснил член комиссии по правовому обеспечению цифровой экономики московского отделения Ассоциации юристов России Дмитрий Липин.
Эксперты допускают, что описанный способ обхода требований мэрии теоретически может сработать.
Многое зависит от того, как будут организованы системы проверки QR-кодов, говорит эксперт Moscow Digital School Ефим Казанцев: «Если сотрудники общепита подойдут к этому формально, то они могут считывать коды, ведущие по ссылкам на сайты-клоны».
Но даже самый бдительный официант в спешке не может быть внимательным 100% времени и гарантировать, что гиперссылка с QR-кода ведет на реальную базу настоящего портала «Госуслуги», отмечает начальник отдела информационной безопасности «Серчинформ» Алексей Дрозд. Сейчас официанты могут сканировать QR-коды просто камерой на смартфоне. Чтобы обезопасить процесс от мошенничества, полагает эксперт, стоит использовать специальный софт, который сопоставляет домен и поддомены и будет отсекать любые ссылки, кроме правильных.