Что из себя представляют поддельные сайты, содержащие информацию о сертификатах вакцинации? Как обстоит дело с блокировкой подобных ресурсов? Насколько доступны сервисы, позволяющие получить нелегитимный QR-код? Подробнее об этом можно прочитать в статье.

ДИСКЛЕЙМЕР: Данная статья не создана с целью распространения информации о ресурсах, потенциально позволяющих нарушать законы или иные нормативно-правовые акты Федеральной власти, власти субъектов Российской Федерации или местного самоуправления. Статья носит лишь ИНФОРМАЦИОННО-СПРАВОЧНЫЙ характер и посвящена актуальной проблеме использования поддельных QR-кодов. Автор статьи не несёт ответственности за потенциальные действия людей, прочитавших её.

Данная статья изначально должна была быть подразделом статьи, посвящённой разработке приложения для проверки сертификатов вакцинации (ссылка на статью появится в ближайшее время), но позднее я решил вынести этот материал в отдельную статью.

Введение

На фоне постановлений о введении QR-кодов в общественных местах некоторые люди нашли способ обхода проверки наличия кода при помощи фишинговых сайтов, которые содержат данные о несуществующих сертификатах вакцинации. Так, например, «Коммерсантъ» еще в октябре опубликовал статью, в которой содержится информация о регистрации почти 50 сайтов с доменом, похожим на «gosuslugi.ru».

Это стало основной причиной для начала процесса создания вышеупомянутого приложения для верификации этих самых QR-кодов. А для презентации будущего проекта на тот момент я решил побольше углубиться в вопрос сайтов-клонов, содержащих данные о сертификатах вакцинации.

Фишинговые сайты

Я так понимаю, фишинговые сайты эти… м-м-м… это как раз от слова «рыба». Наверное.

Владимир Владимирович Путин

ВНИМАНИЕ! Цитата вырвана из контекста и не является отражением мыслей её автора. Её использование также не служит в качестве попытки унижения или оскорбления автора цитаты.

Фишинговые сайты – это веб-страницы, создаваемые с целью введения пользователя в заблуждение и получения дальнейшей выгоды, например, кражи персональных данных или получения финансовых средств. В нашем случае целью создания таких сайтов является введение в заблуждение человека, сканирующего на входе в общественное место QR-коды посетителей, для получения возможности пройти, например в ресторан или кинотеатр, без наличия существующего сертификата вакцинации.

Ключевое отличие фишинговых сайтов от продажи реальных сертификатов вакцинации заключается в вопросе цены, так как клонирование сайта занимает минимальное количество времени, а зарегистрировать домен можно за 300-500 рублей (и это ещё не самая низкая цена).

Так, например, мой одногруппник, который по моему заказу сделал качественную клонированную версию веб-страницы с данными моего сертификата всего за 3 часа. Оценил стоимость работы он, кстати, как раз всего в 400 рублей (без цены за оплату домена). Таким образом можно сделать вывод о том, что за сутки при наличии согласованной команды можно до 20 отдельных подобных веб-страниц или целый веб-сайт, на котором можно было бы отдельно размещать страницы с данными пользователей.

Блокировка фишинговых сайтов

Как было указано в вышеупомянутой статье «Коммерсанта», Минцифры постоянно мониторит потенциальные фишинговые веб-сайты и блокирует ежемесячно около 100-200 подозрительных ресурсов. То есть можно сделать вывод о том, что в принципе Роскомнадзор вместе с подразделениями способны справиться с данной проблемой, но…

Но так удачно я лично столкнулся с этим процессом. Спустя меньше, чем через сутки мой одногруппник получил на свою почту письмо от регистратора доменом с информацией о приостановлении работы веб-сайта в связи с обращением Национального координационного центра по компьютерным инцидентам. Сайт действительно прекратил свою работу.

Однако по причине того, что веб-страница нужна была мне в дальнейшем я решил попытаться восстановить её и связался с НКЦКИ по указанному в письме номеру телефона. В разговоре с молодым человеком, который быстро нашёл всю информацию по инциденту, включая скриншоты страницы, я пояснил необходимость работы страницы для учебного проекта и указал на наличие предупреждения внизу страницы (на тот момент его действительно сделали таким, что его сложно было заметить), после чего мне был дан совет написать письмо в НКЦКИ, но при этом несколько раз сказали: «Не советуем создавать такие веб-страницы, так как даже если мы не будем реагировать на неё как на потенциально содержащую угрозу, то это вполне будет делать Роскомнадзор.»

Также в разговоре диспетчер упомянул то, что за последнее время было заблокировано больше сотни веб-сайтов похожих на мой (на момент 1 ноября 2021 года), но подтверждения его словам я не нашёл.

После телефонного разговора я сразу же составил письмо для НКЦКИ, которое содержало информацию о предназначении веб-страницы, а также данные о том, кем я являюсь. На всякий случай я указал свои намерения привести страницу в должный вид, чтобы она не вызывала подозрений.

Спустя всего 40 минут я получил ответ о том, что регистратору домена направлен запрос на восстановление работы страницы.

К слову, мой одногруппник после моего запроса действительно наложил водяные знаки и выделил предназначение веб-страницы с моей контактной информацией. В течение месяца после этого уже никаких запросов от ведомств не поступало.

Описал я эту ситуацию в первую очередь по причине того, что мне показалось достаточно странным то, что страницу так быстро восстановили при том, что повода доверять мне особо не было, звонок я мог сделать в принципе с любого телефона, а данные о том, что я являюсь студентом вуза и работаю над учебным проектом, в теории вообще могут быть ложными. Мне кажется, что процедура восстановления подобных сайтов должна быть сложнее, хотя я и весьма благодарен НКЦКИ за быстрое восстановление работы.

Спустя недели 2-3 после ситуации с НКЦКИ я заметил, что Google повесил на веб-страницу баннер «Осторожно, поддельный сайт!», а затем то же самое я обнаружил в Яндекс Браузере и Опере. Каким образом анализируется контент на страницах, и кто отвечает за подобные действия на данный момент я не знаю, но если у кого-то есть такая информация, то буду рад, если напишите её в комментариях.

В принципе, если блокировками, связанными с потенциальными угрозами поддельных сайтов, будут заниматься и браузеры, то эта проблема станет менее острой.

Поиск услуг создания поддельных сайтов в Telegram

Во время написания статьи я решил ради интереса посмотреть, что происходит в Telegram с вопросом фишинговых сайтов, и нашёл несколько чатов, в которых было заявлено о возможности создать веб-страницу, которая отличается лишь на один символ в адресной строке.

Даты создания каналов являются признаком того, что каналы блокируются и создаются снова (это статистически подтверждается датами создания других каналов, которые я находил в процессе поиска, посвящённых простой продаже реальных сертификатов).

Нельзя однозначно сделать вывод о том, что каналы реально предоставляют QR-код на созданный поддельный сайт, а не созданы мошенниками для простого сбора денег с людей, которые желают получить подобную услугу. Проверять каждый канал посредством участия в переписке у меня желания не было, поэтому я уже думал, что особо интересного в Telegram ничего нет.

Но так удачно я наткнулся на Telegram-бота под именем «Qr code Covid-19 Bot QR код бот», который отправляет по запросу ссылку на сайт covid-cert.us.

Я решил проверить веб-сайт и перешёл по ссылке через виртуальную машину. Сайт носит название «AntiQRCode». Сайт предоставляет возможность регистрации и авторизации, чем я решил воспользоваться и зарегистрировался на нём при помощи почты, созданной именно для проверки потенциальных фишинговых сайтов.

На этом сайте я нашёл раздел «Мои QR коды» и зашёл в него. Раздел содержит форму с полями для заполнения данными для сертификатов (для выбора доступен сертификат вакцинации, сертификат переболевшего и результат ПЦР-теста). Создать QR-код по введённым данным можно только при верификации аккаунта, которая проходит через подтверждение по почте. На этом моменте я уже думал, что нашёл «подвох» сервиса, но прошёл по ссылке, присланной на почту, через виртуальную машину. И каково же было моё удивление, когда я просто увидел подтверждение своего аккаунта.

После верификации аккаунта я заново заполнил форму, нажал на кнопку «Создать» и на выходе получил фишинговую ссылку с доменом «gosuslugi.ru.covid-cert.us» и QR-код.

Я всё ещё не мог поверить в то, что сервис действительно просто бесплатно генерирует QR-коды, поэтому с запасного смартфона с NougatOS просканировал QR-код и перешёл на поддельную страницу с данными, которые я ранее вводил. При этом даже на этом этапе никаких угроз безопасности не возникло.

Получается, что сервис действительно БЕСПЛАТНО даёт возможность генерировать поддельные QR-коды, ведущие на фишинговые сайты, причем самые качественные в своём исполнении, что я видел за всё время изучения этой темы. То есть теперь минимальную планку цены QR-кода с фишинговой ссылкой можно опустить до 0 рублей, благодаря безымянному «Робин Гуду». Копать дальше с целью поиска человека, зарегистрировавшего домен я не стал. Если у кого-то возникнет такое желание, я буду рад увидеть итоговые результаты.

Крайне удивительным является то, что ссылка на веб-сайт не заблокирована провайдерами по распоряжению Роскомнадзора и в принципе полностью находится в свободном доступе, а значит, что механизм поиска и блокировки подобных ресурсов на данный момент эффективно не работает.

Заключение

На данный момент, к сожалению, нет полной картины, которая позволила бы описать масштаб проблемы. Я надеюсь на то, что Роскомнадзор напрямую или через СМИ будет каким-то образом позднее публиковать отчёты, содержащие информацию о количестве заблокированных за этот период времени веб-страниц. Но на данный момент об этих цифрах можно лишь догадываться.

В этой статье я постарался описать существующую проблему, которая является подводкой к актуальности статьи, посвящённой созданию сервиса, проверяющего QR-коды сертификатов вакцинации.