Диджитал

Государство в гастрономе. Чем опасно появление лже-"Дії" для покупки алкоголя подростками

Эксперт по кибербезопасности пояснил, по какой причине ежедневно появляются подделки Covid-сертификатов, QR-кодов и приложений, а главное — можно ли и стоит ли бороться с этим явлением.

Почему данные из "Дія" редко проверяют

"Часто те, кто должен проверять паспортные данные просто не заморачиваются. Даже иногда полиция не сканирует эти QR-коды. Просто посмотрели приложении, сравнили с фото, и на этом все", — говорит Андрей. "Что уж говорить о кассирах супермаркетов? У них зачастую нет ни времени, ни желания проверять данные из "Дія" на подлинность".

Эксперт рассказал, что сам был свидетелем того, как кассиры просто просили покупателей пролистать открытую "Дію" влево-вправо, чтобы убедиться, что это не скриншот. Однако на сегодняшний день существует масса фейковых сервисов, которые визуально ничем не отличаются от настоящего, и даже отчасти функционируют, как настоящий сервис. Ставка делается на то, что QR-коды никто не проверяет.

Андрей считает, что проверка QR-кодов Covid-сертификатов там, где проверка паспорта не требуется, то есть вне вокзалов и аэропортов, — занятие бессмысленное. Эксперт привел простой пример: охранник в магазине просит вас предъявить QR-код. Вы его показываете, и охранник получает информацию о том, что вы вакцинировались и что ваше имя — Иванов Иван Иванович. Как охранник может проверить достоверность этой информации, если у вас с собой нет паспорта (а носить его с собой вы не обязаны)?

"Ставить везде блок-посты для проверок документов — это нонсенс. Гоняться за каждым мелким аферистом — бессмысленно, и если начать сильно давить, то может дойти до того, что начнут красть личности", — резюмировал он.

Почему подделок "Дія" и Covid-сертификатов будет все больше

Есть спрос — есть и предложение. И пока это так, мошенники будут штамповать фейки ради наживы, а люди будут покупать их, чтобы не вакцинироваться, но иметь необходимый документ, и чтобы покупать те товары, которые хотят.

Андрей Баранович сообщил Фокусу, что фейковых сервисов достаточно большое количество, и, как он считает, их будет появляться все больше и больше (только в одном Telegram-канале "Фейк Дія" мы обнаружили более 2 тыс. пользователей, которые заплатили деньги за установку подделки).

С QR-кодами для проверки подлинности Covid-сертификатов — та же история, говорит эксперт. Некоторые клиники вводят данные с ошибками в электронную систему охраны здоровья (ЭСОЗ), и потом при проверке результаты получают некорректные. Некоторые медики намеренно генерируют "левые" коды с тем, чтобы потом их продать. И это проблема не только Украины. Как нам сообщил Баранович, недавно на таком мошенничестве попались немецкие фармацевты.

"Изначально у властей были немного завышенные ожидания: они, наверное, слабо представляют, как себя ведут живые люди. Не все граждане ведут себя добросовестно. Не все умеют и не все хотят пользоваться теми или иными сервисами. Так что придется смириться с таким положением дел", — комментирует Андрей.

Корень проблемы, считает специалист по кибербезопасности, в том, что при разработке сервисов изначально неправильно была поставлена задача. Видимо, во внимание не брали то, что найдутся люди, которые смогут обойти ограничения, понадеялись, что все будет работать правильно, и все будут пользоваться продуктом правильно.

"Но это же не техническая задача. Это социо-техническая задача, где участвует огромное количество людей, которые не хотят выполнять хотелки госчиновников", — рассуждает Баранович. "Поэтому имеет смысл не затягивать гайки, а проверять документы только там, где это действительно необходимо".

Предусмотрено ли наказание за подделку "Дія"

Фокус отправил запрос руководителю по развитию электронных услуг в Минцифры Мстиславу Банику: является ли "Дія" документом или все же нет (потому как подделываются не только паспортные данные, но и сам сервис в целом)? Чиновник пояснил, что документы в сервисе имеют такую же юридическую силу, как и физические, а значит, что подделка сервиса, как в случае с "Фейк "Дія", трактуется как подделка документов и подпадает под соответствующую статью Уголовного кодекса Украины (УКУ).

В своем телеграм-канале Министр цифровой трансформации Михаил Федоров отреагировал на новость о мошенничестве с сервисом и написал, что аферистов ждет серьезное наказание.

"Тут одни умельцы для Android сделали фейковую копию приложения с документами в дизайн стиле Дии, которая устанавливается по ссылке, не с Google Play (формат apk). Цель — создавать подделки ковидных сертификатов, фейковые паспорта для покупки алкоголя несовершеннолетним. Конечно же документы не валидируются через QR. И, для тех, кто покупает подобные "сервисы", будьте осторожны, можно попасть под статью "подделка документов".

Поставил задачу команде разработать новый электронный документ "паспорт заключенного", организаторам данного мошенничества приготовиться стать первыми бета-тестировщиками", — поиронизировал он и опубликовал фото "прототипа".

Однако Баранович считает, что если дело дойдет до суда, то легко рассыпется.

"Если привлекут к ответственности пользователя игрушечной "Дія", то, по сути, в чем его вина? Материальный и моральный ущерб не причинен, выгоды он не получил, это не вредоносное ПО, не хакерское ПО. Поэтому "обвиняемый" — не мошенник в глазах закона", — пояснил специалист.

Также он добавил, что и самих создателей фейковой "Дії" привлечь к ответственности тоже не за что, потому как подделка — это просто программа с картинками, работающая по принципу графического или текстового редактора.

"Фейковую версию сервиса нельзя расценивать, как подделку документов — она к реестрам не обращается, с ее помощью счет в банке вы открыть не сможете. Поэтому это просто игрушка", — сказал Андрей.

Реакция госпредприятия "Дія" и Минцифры

Мстислав Баник рассказал, как отличить настоящий сервис от подделки.

Чтобы подтвердить свою личность, нажмите на цифровой документ в "Дія". Сгенерируется QR-код, который представители бизнеса могут считать сканером, представители полиции — планшетом или любой человек при помощи своей "Дія".
Каждый может самостоятельно проверить подлинность цифрового документа. В приложении есть считыватель, которым можно просканировать QR-код другого пользователя.
Нажмите на иконку считывателя в правом верхнем углу и наведите камеру смартфона на QR — паспорт проверится автоматически.
Если документ фейковый, сканер или приложение его не считают — появится сообщение об ошибке.
Фейковый документ не считывается сервисом "Дія", а лишь сторонними QR-сканерами и открывается в браузере.

Баник добавил, что "у Минцифры нет опции отслеживания количества установок приложений, которые не имеют ничего общего с "Дія". Это приложение устанавливается не из официального маркета, поэтому никакой сторонней статистики тоже нет".

То есть ведомству о масштабах мошеннических схем ничего не известно. Но нас заверили в том, что пользователям настоящего сервиса ничего не грозит. А вот пользователи фейка рискуют тем, что у них могут украсть данные банковских карт и доступ ко всем функциям и информации в их телефонах. Чиновники посоветовали ознакомиться с материалом, где подробно рассказывается о том, как правильно пользоваться цифровыми документами и посмотреть видео, как проверить их подлинность.

Мстислав Баник отметил, что мошенников уже разыскивает киберполиция, которая рассматривает каждый случай отдельно.

"Киберпол привлечен к поискам мошенников, которые через приложения воруют данные пользователей. Этот случай — не исключение", — прокомментировал он. "Бороться с фейковыми сайтами и приложениями — не в пределах полномочий ГП "Дія" и Минцифры. Этим занимается киберполиция и мы с ними на постоянной связи".

Напомним, что генпрокурор пригрозила мошенникам и недобросовестным гражданам, покупающим фейковые ковид-сертификаты. Она отметила, что все прокуроры обязаны взять под контроль "такие производства".