Что из себя представляют поддельные сайты, содержащие информацию о сертификатах вакцинации? Как обстоит дело с блокировкой подобных ресурсов? Насколько доступны сервисы, позволяющие получить нелегитимный QR-код? Подробнее об этом можно прочитать в статье.

ДИСКЛЕЙМЕР: Данная статья не создана с целью распространения информации о ресурсах, потенциально позволяющих нарушать законы или иные нормативно-правовые акты Федеральной власти, власти субъектов Российской Федерации или местного самоуправления. Статья носит лишь ИНФОРМАЦИОННО-СПРАВОЧНЫЙ характер и посвящена актуальной проблеме использования поддельных QR-кодов. Автор статьи не несёт ответственности за потенциальные действия людей, прочитавших её.

Данная статья изначально должна была быть подразделом статьи, посвящённой разработке приложения для проверки сертификатов вакцинации (ссылка на статью появится в ближайшее время), но позднее я решил вынести этот материал в отдельную статью.

Введение

На фоне постановлений о введении QR-кодов в общественных местах некоторые люди нашли способ обхода проверки наличия кода при помощи фишинговых сайтов, которые содержат данные о несуществующих сертификатах вакцинации. Так, например, «Коммерсантъ» еще в октябре опубликовал статью, в которой содержится информация о регистрации почти 50 сайтов с доменом, похожим на «gosuslugi.ru».

Это стало основной причиной для начала процесса создания вышеупомянутого приложения для верификации этих самых QR-кодов. А для презентации будущего проекта на тот момент я решил побольше углубиться в вопрос сайтов-клонов, содержащих данные о сертификатах вакцинации.

Фишинговые сайты

Я так понимаю, фишинговые сайты эти… м-м-м… это как раз от слова «рыба». Наверное.

Владимир Владимирович Путин

ВНИМАНИЕ! Цитата вырвана из контекста и не является отражением мыслей её автора. Её использование также не служит в качестве попытки унижения или оскорбления автора цитаты.


Фишинговые сайты – это веб-страницы, создаваемые с целью введения пользователя в заблуждение и получения дальнейшей выгоды, например, кражи персональных данных или получения финансовых средств. В нашем случае целью создания таких сайтов является введение в заблуждение человека, сканирующего на входе в общественное место QR-коды посетителей, для получения возможности пройти, например в ресторан или кинотеатр, без наличия существующего сертификата вакцинации.

Ключевое отличие фишинговых сайтов от продажи реальных сертификатов вакцинации заключается в вопросе цены, так как клонирование сайта занимает минимальное количество времени, а зарегистрировать домен можно за 300-500 рублей (и это ещё не самая низкая цена).

Так, например, мой одногруппник, который по моему заказу сделал качественную клонированную версию веб-страницы с данными моего сертификата всего за 3 часа. Оценил стоимость работы он, кстати, как раз всего в 400 рублей (без цены за оплату домена). Таким образом можно сделать вывод о том, что за сутки при наличии согласованной команды можно до 20 отдельных подобных веб-страниц или целый веб-сайт, на котором можно было бы отдельно размещать страницы с данными пользователей.

Сравнение внешнего вида веб-страниц. Сверху - поддельная страница, снизу - легитимная версия
Сравнение внешнего вида веб-страниц. Сверху - поддельная страница, снизу - легитимная версия

Блокировка фишинговых сайтов

Как было указано в вышеупомянутой статье «Коммерсанта», Минцифры постоянно мониторит потенциальные фишинговые веб-сайты и блокирует ежемесячно около 100-200 подозрительных ресурсов. То есть можно сделать вывод о том, что в принципе Роскомнадзор вместе с подразделениями способны справиться с данной проблемой, но…

Но так удачно я лично столкнулся с этим процессом. Спустя меньше, чем через сутки мой одногруппник получил на свою почту письмо от регистратора доменом с информацией о приостановлении работы веб-сайта в связи с обращением Национального координационного центра по компьютерным инцидентам. Сайт действительно прекратил свою работу.

Письмо регистратора домена с информированием о блокировке и её причине
Письмо регистратора домена с информированием о блокировке и её причине

Однако по причине того, что веб-страница нужна была мне в дальнейшем я решил попытаться восстановить её и связался с НКЦКИ по указанному в письме номеру телефона. В разговоре с молодым человеком, который быстро нашёл всю информацию по инциденту, включая скриншоты страницы, я пояснил необходимость работы страницы для учебного проекта и указал на наличие предупреждения внизу страницы (на тот момент его действительно сделали таким, что его сложно было заметить), после чего мне был дан совет написать письмо в НКЦКИ, но при этом несколько раз сказали: «Не советуем создавать такие веб-страницы, так как даже если мы не будем реагировать на неё как на потенциально содержащую угрозу, то это вполне будет делать Роскомнадзор.»

Также в разговоре диспетчер упомянул то, что за последнее время было заблокировано больше сотни веб-сайтов похожих на мой (на момент 1 ноября 2021 года), но подтверждения его словам я не нашёл.

После телефонного разговора я сразу же составил письмо для НКЦКИ, которое содержало информацию о предназначении веб-страницы, а также данные о том, кем я являюсь. На всякий случай я указал свои намерения привести страницу в должный вид, чтобы она не вызывала подозрений.

Текст моего письма, которое привело к восстановлению работы веб-страницы
Текст моего письма, которое привело к восстановлению работы веб-страницы

Спустя всего 40 минут я получил ответ о том, что регистратору домена направлен запрос на восстановление работы страницы.

Ответное письмо НКЦКИ с информированием о восстановлении работы веб-страницы
Ответное письмо НКЦКИ с информированием о восстановлении работы веб-страницы

К слову, мой одногруппник после моего запроса действительно наложил водяные знаки и выделил предназначение веб-страницы с моей контактной информацией. В течение месяца после этого уже никаких запросов от ведомств не поступало.

Внешний вид веб-страницы на данный момент
Внешний вид веб-страницы на данный момент

Описал я эту ситуацию в первую очередь по причине того, что мне показалось достаточно странным то, что страницу так быстро восстановили при том, что повода доверять мне особо не было, звонок я мог сделать в принципе с любого телефона, а данные о том, что я являюсь студентом вуза и работаю над учебным проектом, в теории вообще могут быть ложными. Мне кажется, что процедура восстановления подобных сайтов должна быть сложнее, хотя я и весьма благодарен НКЦКИ за быстрое восстановление работы.

Спустя недели 2-3 после ситуации с НКЦКИ я заметил, что Google повесил на веб-страницу баннер «Осторожно, поддельный сайт!», а затем то же самое я обнаружил в Яндекс Браузере и Опере. Каким образом анализируется контент на страницах, и кто отвечает за подобные действия на данный момент я не знаю, но если у кого-то есть такая информация, то буду рад, если напишите её в комментариях.

В принципе, если блокировками, связанными с потенциальными угрозами поддельных сайтов, будут заниматься и браузеры, то эта проблема станет менее острой.

Уведомление о поддельном сайте в различных браузерах
Уведомление о поддельном сайте в различных браузерах

Поиск услуг создания поддельных сайтов в Telegram

Во время написания статьи я решил ради интереса посмотреть, что происходит в Telegram с вопросом фишинговых сайтов, и нашёл несколько чатов, в которых было заявлено о возможности создать веб-страницу, которая отличается лишь на один символ в адресной строке.

Чат "covid19_QR_code"
Чат "covid19_QR_code"
Чат "vaccine_qr_code"
Чат "vaccine_qr_code"
Чат "qr_code_vakcina"
Чат "qr_code_vakcina"

Даты создания каналов являются признаком того, что каналы блокируются и создаются снова (это статистически подтверждается датами создания других каналов, которые я находил в процессе поиска, посвящённых простой продаже реальных сертификатов).

Нельзя однозначно сделать вывод о том, что каналы реально предоставляют QR-код на созданный поддельный сайт, а не созданы мошенниками для простого сбора денег с людей, которые желают получить подобную услугу. Проверять каждый канал посредством участия в переписке у меня желания не было, поэтому я уже думал, что особо интересного в Telegram ничего нет.

Но так удачно я наткнулся на Telegram-бота под именем «Qr code Covid-19 Bot QR код бот», который отправляет по запросу ссылку на сайт covid-cert.us.

Чат-бот "Qr code Covid-19 Bot QR код бот"
Чат-бот "Qr code Covid-19 Bot QR код бот"

Я решил проверить веб-сайт и перешёл по ссылке через виртуальную машину. Сайт носит название «AntiQRCode». Сайт предоставляет возможность регистрации и авторизации, чем я решил воспользоваться и зарегистрировался на нём при помощи почты, созданной именно для проверки потенциальных фишинговых сайтов.

Главная страница веб-сайта "covid-cert.us"
Главная страница веб-сайта "covid-cert.us"

На этом сайте я нашёл раздел «Мои QR коды» и зашёл в него. Раздел содержит форму с полями для заполнения данными для сертификатов (для выбора доступен сертификат вакцинации, сертификат переболевшего и результат ПЦР-теста). Создать QR-код по введённым данным можно только при верификации аккаунта, которая проходит через подтверждение по почте. На этом моменте я уже думал, что нашёл «подвох» сервиса, но прошёл по ссылке, присланной на почту, через виртуальную машину. И каково же было моё удивление, когда я просто увидел подтверждение своего аккаунта.

Форма с полями для заполнения данными
Форма с полями для заполнения данными
Письмо для верификации аккаунта
Письмо для верификации аккаунта

После верификации аккаунта я заново заполнил форму, нажал на кнопку «Создать» и на выходе получил фишинговую ссылку с доменом «gosuslugi.ru.covid-cert.us» и QR-код.

Сформированный QR-код
Сформированный QR-код

Я всё ещё не мог поверить в то, что сервис действительно просто бесплатно генерирует QR-коды, поэтому с запасного смартфона с NougatOS просканировал QR-код и перешёл на поддельную страницу с данными, которые я ранее вводил. При этом даже на этом этапе никаких угроз безопасности не возникло.

Результат сканирования QR-кода
Результат сканирования QR-кода

Получается, что сервис действительно БЕСПЛАТНО даёт возможность генерировать поддельные QR-коды, ведущие на фишинговые сайты, причем самые качественные в своём исполнении, что я видел за всё время изучения этой темы. То есть теперь минимальную планку цены QR-кода с фишинговой ссылкой можно опустить до 0 рублей, благодаря безымянному «Робин Гуду». Копать дальше с целью поиска человека, зарегистрировавшего домен я не стал. Если у кого-то возникнет такое желание, я буду рад увидеть итоговые результаты.

Крайне удивительным является то, что ссылка на веб-сайт не заблокирована провайдерами по распоряжению Роскомнадзора и в принципе полностью находится в свободном доступе, а значит, что механизм поиска и блокировки подобных ресурсов на данный момент эффективно не работает.

Заключение

На данный момент, к сожалению, нет полной картины, которая позволила бы описать масштаб проблемы. Я надеюсь на то, что Роскомнадзор напрямую или через СМИ будет каким-то образом позднее публиковать отчёты, содержащие информацию о количестве заблокированных за этот период времени веб-страниц. Но на данный момент об этих цифрах можно лишь догадываться.

В этой статье я постарался описать существующую проблему, которая является подводкой к актуальности статьи, посвящённой созданию сервиса, проверяющего QR-коды сертификатов вакцинации.

Комментарии (25)


  1. iiwabor
    12.12.2021 12:47
    +1

    Несколько моих родственников и знакомых, когда на работе потребовали, купили сертификаты о вакцинации, про пятерых знаю, что потом серьезно переболели - с поражением легких от 30 до 50%, чудом выжили, слава Богу и врачам. Стоило оно того? Каждый решает для себя сам...


    1. ibrin
      12.12.2021 14:27
      +1

      Так не дают же, принуждают. Так что стоило 100%, свободная воля дороже.


      1. FGV
        12.12.2021 15:43
        +1

        Нда... назло бабушке отморожу уши.


        1. ibrin
          13.12.2021 23:54

          Это не бабушка, это старуха процентщица. Берегите уши!


  1. Ninil
    12.12.2021 13:53
    +8

    Благодаря массированной информационной компании в Масс-медиа, почему-то у многих, даже очень неглупых людей в голове образовалось тождественное равенство «Защита от КОВИДА» = «Вакцинация» = «QR-код» со всеми вытекающими из этого шаблонами поведения. В итоге реакция на позитивное/негативное высказывание относительно, например, «QR-кода» автоматом в их голове вызывает соотв ответ относительно одобрения/неодобрения вакцинации.

    И лишь немногие (по моим наблюдениям) избежали прошивки в свои мозги этого ошибочного тождества


  1. Reformat
    12.12.2021 13:57
    +7

    В чем ценность подобной статьи для Хабра? Вы внезапно для себя открыли, что можно поднять любую страничку на своем хосте? Или для вас стало неожиданостью то, что спецификация QR кодов позволяет закодировать любой текст? Какие у вас будут предложения для помощи роскомпозору? Запретить HTML и CSS?


    1. fougasse
      12.12.2021 14:01
      +7

      Скорее интересно, зачем такое выпускают из песочницы. Кроме хайпа и накрутки кликов на ключевых словах ничего в голову и не приходит.

      А так, да, форматы кодов открыты, проблем сгенерировать нет никаких. Сложности возникнут только при проверке, но, судя по комментариям, люди вообще какую-то белиберду охранникам показывают.


      1. Reformat
        12.12.2021 14:05

        А вообще, эта статья является наглядной иллюстрацией, что даже у самых отвратительных злодеев обязательно найдутся желающие выслужиться. Радует правда, что мозгов у автора хватило только на истеричные вопли.


    1. Girrafeec Автор
      12.12.2021 15:20
      -4

      Отвечаю на ваш комментарий и на все размещённые в этой ветке. Как я указал в начале статьи: "Данная статья изначально должна была быть подразделом статьи, посвящённой разработке приложения для проверки сертификатов вакцинации..."
      Я вынес эту информацию в отдельную статью, так как она не слишком сочетается с материалом в статье о разработке, но не сделать на неё ссылку нельзя, так как это является по сути актуальностью моей другой работы (которая ещё не опубликована).


  1. Reformat
    12.12.2021 14:01
    +11

    Я надеюсь на то, что Роскомнадзор

    А вы уверены что находитесь на правильной стороне с роскомпозором?
    Быть может, QR коды, увеличивающие полномочия любых вахтеров, и хранящиеся на неподконтрольных обществу серверах, вовсе не являются безусловным благом? Иногда лечение хуже болезни. Что если они приведут нас к чему-то более ужасному, чем короновирус, тоталитаризму, например?


    1. DracoL1ch
      12.12.2021 14:06
      -5

      А что принципиально изменится в сравнении с тем, что уже было последние годы?


      1. Reformat
        12.12.2021 14:10
        +15

        В последние годы за наличку все еще можно было купить нужные товары, одежду, инструменты, перемещаться безо всякого участия правительства. Теперь - нет.

        Если ваш сертификат о вакцинации, на портале госуслуг, после того как вы сходили на «неправильный» митинг, станет красным, то вахтеру в магазине объяснения вряд ли будут интересны.

        В свете этого, все помощники окукливания страны qr или другими кодами — настоящие враги гражданского общества. Вы бы стали помогать строить лагерь с колючей проволокой, фашистам, пообещавшим, что вышки будут использоваться исключительно ради безопасности отдыхающих?


  1. vikarti
    12.12.2021 14:55
    +1

    Не понимаю. Что, где то есть проверяющие эти самые коды НЕ официальным приложением Стоп COVID-19 (которое такой такой фокус не опознает, добавили таки проверку домена)?
    Что, настолько все плохо?


    1. Girrafeec Автор
      12.12.2021 15:24
      +1

      Я могу сказать только о собственном опыте наблюдения, так как какой-то статистики я не находил. Я в основном видел просто обычные QR-сканеры, так как они изначально есть у всех, а приложение от Минцифры нужно специально ставить, авторизовываться и т.д.
      Да и в принципе же есть только рекомендация по его использованию, а не обязательное условие (пока что).


    1. shornikov
      12.12.2021 18:54
      +5

      Скорее всего, там должен выкусываться хеш из адреса, а домен заменяться на правильный.

      А на счет пользоваться официальным... Как теоретический владелец бизнеса, которому навязали проверку - я буду пользоваться, чем мне удобно. Если у меня купят товар несколько "злодеев" - отлично. Как подозрительный владелец - точно не буду пользоваться официальным. Зачем я буду давать непонятно кому статистику по проходимости на моей точке...

      Как я понимаю, сейчас в основном смотрят код, но не смотрят паспорт.


      1. Girrafeec Автор
        12.12.2021 19:39
        -2

        Подробнее про приложение от Госуслуг я напишу в другой статье, ссылка на которую появится чуть позже в начале этой статьи.
        Но если кратко, то пока что я не заметил, чтобы там собиралась какая-то статистика. Сканер вставили в приложение, которое хранило данные о сертификате, но при этом история сканирования, исходя из того, что я знаю сейчас, не записывается.

        Сам пока не сталкивался с требованием предъявить паспорт, но в принципе это совершенно не законно, поэтому это ещё одна из нерешённых на данный момент проблем.


    1. tvr
      13.12.2021 13:20

      Что, где то есть проверяющие эти самые коды НЕ официальным приложением Стоп COVID-19 (которое такой такой фокус не опознает, добавили таки проверку домена)?

      Буквально вчера:
      -Ну у вас же есть пиар-код?
      -Конечно.
      -Что будете заказывать?
      Россия, не Москва, РнД.


  1. F1eex
    12.12.2021 15:59
    +11

    Вообще, никуда не шарюсь кроме продуктового магазина. Но две недели назад понадобилось сходить в парикмахерскую, а там на двери надпись: "вход только с QR кодом".

    Открыл чью-то страничку с QR кодом с госууслуг, через девтулс браузера сменил данные, сохранил эту измененную страницу себе. Поставил на комп Open Server, засунул туда страничку. Получился сайт вида MyiIP//covid-cert/verify/XXXXXXXXXXXXXXXXXXXXXX.htm Прописал в опенсервере переадресацию на сайт госуслуг, если ввести только мой IP.

    Засунул эту ссылку в онлайн генератор QR кодов, получил картинку. Сохранил ее на смарте, распечатал ее на принтере. Проверил своим смартфоном - работает. Продумал вариант того, что парикмахерша воспользуется приложением госуслуг а не браузером - тогда я сам ей покажу что все работает на моем смарте, а про ее приложение скажу, что оно глючит. Утром перед походом в парикмахерскую включил комп, проверил еще раз. Почувствовал себя хакером и социнжинером ) Фиг какой ркн заблочит мой сайт на моем компе, фиг кто стырит мои данные фишингом!

    Парикмахерша QR код не спросила


    1. Girrafeec Автор
      12.12.2021 16:11

      Мне в таком случае было бы даже обидно, что QR-код не спросили) Но способ вообще интересный.


  1. apapacy
    12.12.2021 18:37

    Афтор. Вы забыли или еще не поняли в каком мире Вы живете. Фишинг он и в Африке фишинг. Вы генерируете сертификат — товарищ майор Вас ловит и получает товарища полковника. А Вы предлагаете закрыть эти сайты.


    1. Girrafeec Автор
      12.12.2021 18:54

      :)


  1. ilyasok
    12.12.2021 18:58

    https://youtu.be/NLKsDT3hCeQ

    Жванецкий сказал в 1982


  1. K36
    12.12.2021 21:27
    +1

    Чтобы не блокировали страницу, нужно ее показывать только после обращения на определенный URL для включения. Скажем, QR код представляет из себя PWA приложение на смартфоне. При запуске, оно включает страницу фейковой информации кода (обращением на спец URL) и показывает код. При закрытии, выключает отображение. Таким образом, РКНовские (и другие) боты ее не найдут.


    1. Girrafeec Автор
      12.12.2021 21:58
      +1

      Хабр мне нравится именно тем, что статью может прочитать человек, которому есть что дополнить. Способ по описанию интересный, и было бы любопытно увидеть реализацию.


      1. K36
        14.12.2021 07:00

        было бы любопытно увидеть реализацию

        Я пошел более простым и полезным путем - привился.