Держава в гастрономі. Чим небезпечна поява псевдо-"Дії" для покупки алкоголю підлітками
Експерт з кібербезпеки пояснив, чому щодня з'являються підробки Covid-сертифікатів, QR-кодів і додатків, а головне — чи можна і чи варто боротися з цим явищем.
Днями Фокус повідомляв про те, що в Telegram з'явився канал, де молодим людям, які не досягли повноліття, пропонується додаток, що імітує сервіс "Дія". Підлітки можуть завантажити його за невелику плату собі на смартфони, вписати необхідні дані про себе, підкоригувавши вік і додавши фото, і користуватися ним, наприклад, під час купівлі алкоголю або сигарет (продаж яких заборонено особам, які не досягли 18-ти років). Ми поговорили з експертом з кібербезпеки Андрієм Барановичем, який пояснив, чим загрожує підробка е-документів, чому з кожним разом з'являються все сміливіші шахрайські схеми з електронними сервісами, незважаючи на загрозу бути спійманим і залученими до відповідальності. Ми поставили собі запитання чому ні самих аферистів, ні їх "клієнтів" не лякає перспектива опинитися на лаві підсудних? Вони настільки осміліли, що кількість афер зростає, як на дріжджах... і чи буде далі тільки гірше? І як це зупинити?
Чому дані з "Дія" рідко перевіряють
"Часто ті, хто повинен перевіряти паспортні дані просто не заморочуються. Навіть іноді поліція не сканує ці QR-коди. Просто подивилися додаток, порівняли з фото, і на цьому все", — каже Андрій. "Що вже говорити про касирів супермаркетів? У них часто немає ні часу, ні бажання перевіряти дані з "Дія" на справжність".
Експерт розповів, що сам був свідком того, як касири просто просили покупців перегорнути відкриту "Дію" вліво-вправо, щоб переконатися, що це не скріншот. Однак сьогоднішні існує маса фейковий сервісів, які візуально нічим не відрізняються від справжнього, і навіть частково функціонують, як справжній сервіс. Ставка робиться на те, що QR-коди ніхто не перевіряє.
Андрій вважає, що перевірка QR-кодів Covid-сертифікатів там, де перевірка паспорта не потрібна, тобто поза вокзалами і аеропортами — заняття безглузде. Експерт навів простий приклад: охоронець в магазині просить вас пред'явити QR-код. Ви його показуєте, і охоронець отримує інформацію про те, що ви вакцинувалися і що ваше ім'я — Іванов Іван Іванович. Як охоронець може перевірити правдивість цієї інформації, якщо у вас з собою немає паспорта (а носити його з собою ви не зобов'язані)?
"Ставити всюди блок-пости для перевірок документів — це нонсенс. Ганятися за кожним дрібним аферистом — безглуздо, і якщо почати сильно тиснути, то може дійти до того, що почнуть красти особистості", — резюмував він.
Чому підробок "Дія" та Covid-сертифікатів буде все більше
Є попит — є і пропозиція. І поки це так, шахраї штампуватимуть фейки заради наживи, а люди будуть купувати їх, щоб не вакцинуватися, але мати необхідний документ, і щоб купувати ті товари, які хочуть.
Андрій Баранович повідомив Фокусу, що фейкових сервісів досить велика кількість, і, як він вважає, їх буде з'являтися все більше і більше (тільки в одному Telegram-каналі "Фейк Дія" ми виявили понад 2 тис. користувачів, які заплатили гроші за установку підробки).
З QR-кодами для перевірки справжності Covid-сертифікатів — та ж історія, говорить експерт. Деякі клініки вводять дані з помилками в електронну систему охорони здоров'я (ЕСОЗ), і потім у процесі перевірки результати отримують некоректні. Деякі медики навмисно генерують "ліві" коди з тим, щоб потім їх продати. І це проблема не тільки України. Як нам повідомив Баранович, недавно на такому шахрайстві піймалися німецькі фармацевти.
"Спочатку у влади були трохи завищені очікування: вони, напевно, слабко уявляють, як себе поводять живі люди. Не всі громадяни поводяться сумлінно. Не всі вміють і не всі хочуть користуватися тими чи іншими сервісами. Так що доведеться змиритися з таким станом справ", — коментує Андрій.
Корінь проблеми, вважає фахівець з кібербезпеки, в тому, що під час розробці сервісів спочатку неправильно була поставлена задача. Мабуть, до уваги не брали те, що знайдуться люди, які зможуть обійти обмеження, сподівалися, що все працюватиме правильно, і всі користуватимуться продуктом правильно.
"Але це ж не технічна задача. Це соціо-технічна задача, де бере участь величезна кількість людей, які не хочуть виконувати забаганки держчиновників", — міркує Баранович. "Тому має сенс не затягувати гайки, а перевіряти документи тільки там, де це справді необхідно".
Чи передбачене покарання за підробку "Дія"
Фокус відправив запит керівнику з розвитку електронних послуг в Мінціфри Мстиславу Баніку: чи є "Дія" документом або все ж ні (бо якщо підробляються не лише паспортні дані, але і сам сервіс загалом)? Чиновник пояснив, що документи в сервісі мають таку ж юридичну силу, як і фізичні, а значить, що підробка сервісу, як у випадку з "Фейк "Дія", трактується як підробка документів і підпадає під відповідну статтю Кримінального кодексу України (ККУ).
У своєму телеграм-каналі Міністр цифрової трансформації Михайло Федоров відреагував на новину про шахрайство з сервісом і написав, що аферистів чекає серйозне покарання.
"Тут одні умільці для Android зробили фейкову копію програми з документами в дизайн стилі Дії, яка встановлюється за посиланням, не з Google Play (формат apk). Мета — створювати підробки ковідних сертифікатів, фейкові паспорти для покупки алкоголю неповнолітнім. Звичайно ж документи не валідуються через QR. І, для тих, хто купує подібні "послуги", будьте обережні, можна потрапити під статтю "підробка документів".
Поставив завдання команді розробити новий електронний документ "паспорт ув'язненого", організаторам цього шахрайства приготуватися стати першими бета-тестувальниками", — поіронізував він і опублікував фото "прототипу".
Однак Баранович вважає, що якщо справа дійде до суду, то легко розсиплеться.
"Якщо притягнуть до відповідальності користувача іграшкової "Дія", то, по суті, в чому його вина? Матеріальний і моральний збиток не завдано, вигоди він не отримав, це не шкідливе програмне забезпечення, не хакерське ПЗ. Тому "обвинувачений" — не шахрай в очах закону", — пояснив фахівець.
Також він додав, що і самих творців фейкової "Дії" притягнути до відповідальності теж нема за що, тому що підробка — це просто програма з картинками, що працює за принципом графічного або текстового редактора.
"Фейкову версію сервісу можна розцінювати, як підробку документів — вона до реєстрів не звертається, з її допомогою рахунок в банку ви відкрити не зможете. Тому це просто іграшка", — сказав Андрій.
Реакція держпідприємства "Дія" та Мінцифри
Мстислав Банік розповів, як відрізнити справжній сервіс від підробки.
- Щоб підтвердити свою особу, натисніть на цифровий документ в "Дія". Згенерується QR-код, який представники бізнесу можуть зчитати сканером, представники поліції — планшетом або будь-яка людина за допомогою своєї "Дія".
- Кожен може самостійно перевірити справжність цифрового документа. У додатку є зчитувач, яким можна просканувати QR-код іншого користувача.
- Натисніть на іконку зчитувача у правому верхньому кутку і наведіть камеру смартфона на QR — паспорт перевіриться автоматично.
- Якщо документ фейковий, сканер або додаток його не зчитають — з'явиться повідомлення про помилку.
- Фейковий документ не зчитується сервісом "Дія", а лише сторонніми QR-сканерами і відкривається в браузері.
Банік додав, що "у Мінцифри немає опції відстеження кількості установок додатків, які не мають нічого спільного з "Дія". Ця програма встановлюється не з офіційного маркету, тому ніякої сторонньої статистики теж немає".
Тобто відомству про масштаби шахрайських схем нічого не відомо. Але нас запевнили у тому, що користувачам справжнього сервісу нічого не загрожує. А ось користувачі фейку ризикують тим, що у них можуть вкрасти дані банківських карт і доступ до всіх функцій та інформації в їх телефонах. Чиновники порадили ознайомитися з матеріалом, де докладно розповідається про те, як правильно користуватися цифровими документами і подивитися відео, як перевірити їх справжність.
Мстислав Банік зазначив, що шахраїв вже розшукує кіберполіція, яка розглядає кожен випадок окремо.
"Кіберпол притягнутий до пошуків шахраїв, які через додатки крадуть дані користувачів. Цей випадок — не виняток", — прокоментував він. "Боротися з фейковими сайтами і додатками — не в межах повноважень ДП "Дія" та Мінцифри. Цим займається кіберполіція і ми з ними на постійному зв'язку".
Нагадаємо, що генпрокурор пригрозила шахраям і несумлінним громадянам, які купують фейкові ковід-сертифікати. Вона зазначила, що всі прокурори зобов'язані взяти під контроль "такі провадження".