как проверить qr код на подлинность вакцины
Как я покупала сертификат о вакцинации. Расследование «Правмира»
«Все сделает наш человек из клиники»
Чтобы узнать, как работают мошенники, обращаюсь в один из популярных Telegram-чатов и для начала заказываю справку об антителах — на самом деле, не так важно, какой документ вам нужен, все схемы получения одинаковы.
В ответ менеджер просит меня написать ФИО на русском и английском языках, дату рождения, условную дату сдачи теста и город. По итогу справку обещают прислать в виде pdf-файла. Цена услуги — 1500 рублей.
На вопрос, «прокатит» ли она у меня на работе, менеджер заверяет, что «прокатит»: ее занесут в базу клиники, где будет сделан документ.
— Какой у вас город? — интересуется он.
— «Гемотест» будет лаборатория.
На мое недоумение о том, как фейковая справка сможет оказаться в базе «Гемотеста», дилер уверенно отвечает, что это будет делать их «человек» — сотрудник клиники.
Следуя такой логике, я предполагаю: если чат предоставляет столь шикарный сервис, у него свои люди будут по всей России.
— А если бы я была из Владивостока, тоже делал бы человек из клиники? — уточняю я.
Оказалось, что во Владивостоке у менеджера связей нет, можно было бы все равно сделать «Гемотест», как будто я сдавала анализы в Москве.
Дальше, как выяснилось, чат предлагает скидку, но при условии, что вы приобретаете три справки.
Мошенники пытались подделывать QR-код, но «Гемотест» его не распознает
— По подобным фактам возбуждались уголовные дела по ст. 327 УК РФ («Подделка, изготовление или оборот поддельных документов»). Нашими специалистами совместно с сотрудниками МВД были проведены контрольные закупки на сайтах, распространяющих подделки. Курьеры, доставившие поддельные справки, были переданы в органы МВД для дальнейшего выяснения всех обстоятельств, — рассказывает эксперт.
Лаборатория принимает обращения граждан, которым продали поддельные справки без прохождения теста на COVID-19. Недавний случай был в аэропорту Ростова-на-Дону: турецкие авиалинии продавали справки об отсутствии коронавируса улетающим гражданам за стойкой регистрации. По данному факту «Гемотест» также подал заявление.
— Мы не доверяем защиту наших справок и сертификатов визуальному оформлению документа — его очень легко сымитировать, — отмечает Федор Соколов. — Основная защита справки, выдаваемой лабораторией «Гемотест», — уникальный QR-код, который можно проверить только на официальном сайте компании. Такую справку в дополнение к стандартному бланку получает любой пациент, прошедший ПЦР-исследование или анализ на антитела.
В этом документе содержится ФИО пациента, дата рождения, адрес проживания, дата выполнения исследования и метод исследования, а также уникальный QR-код для проверки подлинности справки. Если результаты исследования есть в системе «Гемотеста», пользователь получит ответ «Справка действительна», и на экране будут отображаться только ФИО пациента и дата его рождения. Если нет — появится надпись «Справка недействительна» и предупреждение о том, что документ может являться подделкой.
— Мошенники пытались подделывать и QR-код, но «Гемотест» никогда не распознает такие справки — такие коды не содержат данных, известных только пациенту и лаборатории. Если пациент попытается проверить фальшивую справку через наш сайт, на экране появится надпись «Справка недействительна» и предупреждение о том, что документ может являться подделкой.
Хакеры или сотрудники клиник?
— Если они никак не защищены, то любую информацию можно добавить туда своими руками, и никто об этом не узнает. В истории будет видно, что данные были внесены с другого IP-адреса, но это вполне могут посчитать за какую-то ошибку. Так что либо это делает человек внутри самой системы, либо система уязвима извне, — резюмирует эксперт.
— Все айти-инструменты в этой сфере очень низкого качества. В основном средства вкладываются либо в медицинское оборудование, либо в зарплаты медработников, а защита баз данных остается очень слабой, поэтому за последние три года очень много баз данных, которые содержат учетные записи пользователей, были слиты в интернет, — говорит Давид Медведик.
Если все-таки данные о вакцинации заносят хакеры, то особенных навыков им здесь не нужно, считает Медведик.
Для продавцов фиктивных сертификатов технически сделать такую «работу» довольно просто, если они знают, как устроены базы данных и где они находятся.
— Хакеру достаточно написать скрипт, который будет эти данные обновлять. Вы им присылаете свои данные, они заполняют скрипт, нажимают одну кнопку — и получают от вас деньги. Они тратят несколько минут и выручают несколько тысяч. Этим может заниматься кто-то один. Но, скорее всего, в подобных схемах задействованы несколько людей, которые отвечают на входящие запросы, и есть человек, который эти данные заполняет и отправляет их скрипту, чтобы он обновил базу.
Посмотрев мою переписку в чате, эксперт увидел несколько вариантов развития событий. Первый — действительно есть человек, который просто работает в сети клиник. Второй — этим занимается хакер, который смог получить доступ к московским базам данных, а до Владивостока пока не добрался: либо там старые базы данных, либо он не знает, где они находятся. Третий вариант — в чате меня просто обманывают, и никто ничего в базы вносить не собирался.
— Распознать, кто занимается этим в Telegram, почти невозможно, — отмечает Давид Медведик. Конечно, если только не получится добыть личную информацию о менеджере и том, где он находится.
«Сертификат выдали, а вакцина ушла в раковину»
Когда человек вакцинируется, в его сертификат заносят серию и номер конкретного препарата. У государства есть вся информация о том, какие партии с какими номерами поступают в медицинские организации, поэтому малейшее несовпадение может открыться. В материале Baza источники, пожелавшие остаться неизвестными, рассказывают, что во время виртуальной вакцинации данные просто заносят в систему, а саму вакцину выливают.
Чтобы понять, участвуют ли сотрудники клиник в мошенничестве, необходимо следствие. Волонтеры чатов вакцинации V1V2 сообщили «Правмиру» о фактах покупки фальшивых сертификатов, которые им прислали анонимно. Они собирают эти данные, чтобы передать в МВД. Из многочисленных случаев два, по словам отправителей, связаны с участием врачей.
Этот скрин прислали волонтеру чата вакцинации V1V2. Сообщение волонтеру в Telegram: «Всё хуже. Там и врачи в теме. Это в чате моего ЖК. И главное, вообще не боятся и открыто выкладывают».
В поликлинике на вопросы «Правмира» не ответили.
Образец лжесертификата, который прислали волонтерам
Справка с маркировкой INVITRO, а номер зарегистрирован в Великобритании
Редактор «Правмира» Дарья Кельн тоже попыталась купить ковидную справку, но уже через WhatsApp. После недолгого ожидания ей ответили, что справка будет с рабочим QR-кодом и личным кабинетом, прислали даже образец с маркировкой INVITRO — вероятно, просто скачанный с официального сайта. Цена — 2200 рублей, справку тоже обещали предоставить в электронном виде.
«Правмир” пытается купить справку
Образец с маркировкой Инвитро, который прислали нашему корреспонденту
Давид Медведик рассказал, что злоумышленники, получив доступ к базе, способны внести туда любые данные, и это будет отражаться в личном кабинете пользователя на сайте медицинской организации.
— Когда вы заходите в личный кабинет, там появляется информация из базы данных. И кто эти данные вносит в базу, сайт не знает — он просто отображает все, что там есть. Если кто-то забьет бессмысленный набор букв, это тоже будет отображено в личном кабинете конечного пользователя. Организация сможет обнаружить, что была какая-то вставка, но понять, откуда она взялась, — нет.
В INVITRO на запрос «Правмира» ответили, что их отдел информационной безопасности отрабатывает все инциденты, включая атаки и вирусы, но раскрывать подробности организация не может.
— «Инвитро» не только медицинская, но и IT-компания. Мы используем передовые технологии как для лабораторных исследований, так и для защиты данных пациентов. Медицинские данные — очень чувствительные, это субъект защиты высокого уровня. Мы всегда учитываем все потенциальные риски и предпринимаем надлежащие меры для защиты данных, — уточнили в пресс-службе.
Генерировать поддельные, но внешне правдоподобные электронные справки и образцы, подобные тому, как прислали моей коллеге в WhatsApp, хакеры могут, используя скрипт — алгоритм, который берет входные данные и предоставляет конечный результат в виде pdf-файла. Так что здесь можно получить любой документ из Invitro и прочих организаций даже без помощи фотошопа.
Отправлять дилерам свои паспортные данные Давид Медведик не рекомендует.
— Во-первых, есть вероятность, что защиту базы улучшат и ваша справка станет недействительна буквально через несколько дней. Во-вторых, все эти паспортные данные попадут третьим лицам, которые с этими данными могут делать что угодно и получать за это деньги. В-третьих, ваши данные могут вообще никуда не внести.
Номер, с которого торгуют справками, зарегистрирован в Великобритании. Эти мошенники вполне могут находиться в России, но использовать зарубежных операторов.
— С российскими они предпочитают не связываться, потому что вы можете позвонить оператору и сообщить, что с такого-то номера ведут нелегальную деятельность. Тогда оператор сам его заблокирует и, возможно, подаст в полицию. А если вы попытаетесь позвонить в Великобританию, вы ничего не добьетесь.
Впрочем, мошенники могут заводить одноразовые номера, как и, например, временные ссылки в интернете. Мы нашли группу «ВКонтакте», где продают поддельные справки и сертификаты, но она исчезла буквально за полчаса, когда мы собрались туда написать. «Такие ссылки делаются за дополнительную плату. Но если их покупают — значит, есть спрос», — считает Давид Медведик.
Подделка документов — это преступление
— Нужно понимать, что это общественно опасная история, потому что человек, имеющий сертификат, в любом случае будет пользоваться какими-то льготами, которые будут предоставлены вакцинированным людям. И при этом он может оказаться очагом инфекции. Если удастся доказать причинно-следственную связь между фиктивным сертификатом и, допустим, смертельным исходом, можно даже привлечь к статье за причинение смерти по неосторожности, — уверен эксперт.
Но даже если летального исхода нет и никто из окружающих не заболел, за фальшивые документы все равно придется отвечать. Фиктивные справки и сертификаты от коронавируса попадают под 327-ю статью УК РФ — «Подделка, изготовление или оборот поддельных документов, государственных наград, штампов, печатей или бланков». Сказать заранее, какое это повлечет наказание, нельзя, потому что квалифицировать деяния — задача следствия.
— Уголовное наказание назначают суды, санкции статей Уголовного кодекса очень широкие — от штрафа до лишения свободы, и невозможно спрогнозировать, какое наказание будет в каждом конкретном случае, — объясняет юрист. — Суд учтет все обстоятельства — и смягчающие, и отягчающие. Может быть, даже для конкретного гражданина найдутся обстоятельства, исключающие уголовную ответственность. Но нельзя вот так с ходу говорить, на какой срок человека посадят. С правовой точки зрения это будет некорректно.
Наказание назначается индивидуально и с учетом обстоятельств, но если вы принесете на работу фиктивный сертификат, то это, как минимум, будет считаться предоставлением заведомо подложного документа.
А дальше все зависит от действий правоохранительных органов.
— Уголовный кодекс разнообразен, для него здесь широчайшее поле деятельности. Но в любом случае это умышленное правонарушение. Человек, покупая сертификат без вакцинации, осознает, какие последствия это может повлечь, — заключает Андрей Карпенко.
«Рисуйте в фотошопе, откуда умники такие берутся»
Работодатель может проверить сертификат по базе данных. Однако, как мы выяснили из разговора с экспертом по кибербезопасности, самое слабое место в них — занесение информации. Если данные о фиктивных прививках вносят изнутри, то узнать ничего нельзя.
Я написала еще нескольким дилерам. Первый, узнав мой город, предложил доставить сертификат курьером или такси: «3–4 часа и у вас на руках». Здесь цена оказалась самой высокой — 3800 рублей. Пообещали, что данные появятся на портале «Госуслуги».
— А там же все ампулы на учете, как так?
— Просто они поменяют данные и все.
— Это врачи делают, что ли?
Вот такую инструкцию приложили в чате
— А если меня на работе проверять начнут? Не очень понимаю, как мои данные окажутся в Госуслугах, если честно…
— Привязка к личному кабинету. Информация о том, что вы привиты, все официально.
— Хм… ну там же каждая ампула учтена. Так просто все?
— Нельзя верить слухам и СМИ. Ажиотаж вышел за рамки, скажу вам честно: нам по 200–250 человек в сутки пишет, а мы ведь не только сертификаты делаем.
— А мне говорили, что ампулы пронумерованы.
— Повторюсь: нельзя верить слухам и СМИ.
— Окей. А как мне проверить, что вы точно занесете мои данные в базу?
— По готовности, когда предоставлю сертификат, проверите его по QR. Предоставляете данные по форме: ФИО, дата рождения, адрес проживания, адрес для доставки, адрес электронной почты, оплачиваете заказ по указанным реквизитам, и запускаем в работу. По срокам предоставления: сутки с момента оформления заказа, доставка паспорта вакцинируемого курьером на указанный адрес. Услуги предоставляем по всем крупным городам РФ и СНГ, максимально быстрые сроки доставки.
— Вы не поняли. Как мне узнать, что вы меня сейчас не обманываете и действительно всё занесете, когда я это пришлю.
— Мы с 2016 года ведем деятельность по предоставлению услуг. Огромнейший опыт работы и наивысшее качество, нам есть чем подтвердить свой высокий рейтинг надежности. Отзывы по последним заказам. Будет актуально, обращайтесь.
Этот скрин мне прислали в качестве подтверждения «огромнейшего опыта работы»
— Ну я такое тоже могу в фотошопе нарисовать.
— Рисуйте в фотошопе, откуда умники такие берутся только, не понимаю, которые думают, что знают все. Платформа Hydra, вход через Tor Browser, зайдите, почитайте отзывы, можете оформить заказ напрямую через платформу, удачи.
Правовое просвещение
Как проверить QR-код, который подтверждает вакцинацию от COVID-19
Для проверки QR-кодов на входе в заведения общественного питания и на массовые мероприятия безопаснее использовать официальные городские мобильные приложения. Это позволяет избежать фишинга и помогает выявить поддельные QR-коды.
«Если QR-код не является цифровым сертификатом, полученным официальным способом, приложение в отличие от простого сканирования камерой сообщит о недействительности сертификата. По ссылке в нем перейти нельзя. Функционал проверки QR-кода предусмотрен в пяти популярных городских мобильных приложениях, так что большинству проверяющих даже не придется устанавливать дополнительные приложения на свой смартфон», — пояснили в Департаменте информационных технологий города Москвы.
Для проверки QR-кодов можно использовать пять мобильных приложений: «Моя Москва», «Госуслуги Москвы», «Московский транспорт», «Метро Москвы» и «Помощник Москвы».
В приложении необходимо выбрать сервис «Проверка цифрового сертификата (QR-кода)», а затем отсканировать код. На экране отобразится статус кода (действителен/недействителен), инициалы посетителя (первые буквы фамилии, имени и отчества), а также его дата рождения и последние цифры номера паспорта (только для QR-кодов, полученных на портале gosuslugi.ru или в мобильном приложении «Госуслуги. Стоп коронавирус»). Эти данные необходимо сверить с данными в документе, удостоверяющем личность. Если они совпадают, посетитель может пройти в заведение или на мероприятие.
Получить QR-код горожане могут только на официальных московских и федеральных ресурсах: в электронной медицинской карте на портале mos.ru, в мобильном приложении «ЕМИАС.ИНФО», в сервисе mos.ru/qr, на портале gosuslugi.ru или в мобильном приложении «Госуслуги. Стоп коронавирус». Кроме того, для получения QR-кода можно обратиться в регистратуру городской поликлиники или воспользоваться инфоматом.
Получить QR-код могут граждане, прошедшие вакцинацию двумя компонентами вакцины (или однокомпонентной вакциной), зарегистрированной в Российской Федерации, переболевшие COVID-19 в течение последних шести месяцев или получившие отрицательный результат ПЦР-теста, который действителен 72 часа с момента его регистрации в лаборатории. Пройти ПЦР-тестирование необходимо в одной из лабораторий Москвы, подключенной к Единой медицинской информационно-аналитической системе (ЕМИАС). Ознакомиться с перечнем учреждений можно на сайте Департамента здравоохранения города Москвы.
Росреестр рассказал, что проверить перед покупкой или продажей квартиры
Ведомство дало советы тем, кто планирует оформлять сделку с недвижимостью. Так, продавцам следует начать с подготовки пакета документов. Для этого можно воспользоваться сервисом «Жизненные ситуации» на сайте Росреестра – он подскажет с помощью интерактивного анкетирования, какой перечень документов необходим в конкретной ситуации, и обозначит порядок действий.
Скорую помощь, полицию и МЧС граждане смогут вызывать бесплатно и круглосуточно
Правительство РФ заново утвердило перечень экстренных оперативных служб, вызов которых круглосуточно и бесплатно обязан обеспечить оператор связи своим абонентам. Как и прежде, это служба пожарной охраны, служба реагирования в ЧС, полиция, служба скорой медпомощи, аварийная служба газовой сети и служба «Антитеррор».
Напомним, что на территории России поэтапно вводится единый номер 112 для вызова таких служб.
Для некоторых льготных категорий граждан вводятся электронные сертификаты
С помощью этих сертификатов можно будет приобрести отдельные виды товаров, работ, услуг по утвержденным перечням. На первом этапе это – технические средства реабилитации, товары, работы, услуги в рамках медицинской, социальной и профессиональной реабилитации застрахованных в системе ОСС граждан, а с 1 января 2023 года – также лекарственные препараты для медицинского применения. Воспользоваться электронными сертификатами смогут инвалиды, дети-инвалиды, участники Великой Отечественной войны, ветераны, лица, подлежащие ОСС от несчастных случаев на производстве и профзаболеваний, и т. п. Для учета сведений об электронных сертификатах и операциях, совершаемых с их использованием, будет создана ГИС электронных сертификатов, а сам электронный сертификат привяжут к карте «Мир», на которую и будет зачисляться сумма, необходимая для приобретения товаров, работ и услуг.
Подлог по QR-коду: как распознать поддельный сертификат о вакцинации от коронавируса
Жители Самарской области, проходя вакцинацию от коронавируса, получают соответствующие сертификаты. Находятся и те, кто предлагает «лазейки», чтобы избежать прививки и получить заветный QR-код. Однако полицейские предостерегают от поддельной вакцинации: во-первых, можно стать жертвой мошенников и лишиться денег, а во-вторых, подлог легко распознать.
—> 
Поддельный сертификат не стоит «выделки»: заплатив деньги вперед, можно остаться без всего, то есть не получить обещанный документ. Или получить такую бумагу, которая не будет иметь юридической силы.
Проще всего выявить подделку через портал госуслуг: QR-код, изображенный на таком сертификате, можно сканировать с помощью приложения «Госуслуги СТОП коронавирус».
Приложение показывает только первые буквы фамилии, имени и отчества, дату рождения, первые и последние цифры номера паспорта. Персональные данные при этом не разглашаются. Но достаточно сверить эту информацию с паспортом и понять, действительно человек вакцинировался или заплатил мошеннику за юридически ничтожный лист бумаги.
В полиции предупреждают, что за изготовление, приобретение и использование поддельного сертификата о вакцинации или QR-кода грозит уголовная ответственность, до двух лет тюрьмы.
О фактах подделок, продажи сертификатов о вакцинации можно сообщать по телефону дежурной части ГУ МВД России по Самарской области 8(846)278-22-22 или 112, или по телефонам дежурных частей городских и районных ОВД, а также на сайте 63.мвд.рф.
—> 
Как проверяют QR-код вакцинации от коронавируса в ресторанах Москвы
Распоряжением Правительства Москвы допуск посетителей в заведения общественного питания временно осуществляется по специальным кодам. Он является подтверждением «чистоты» посетителя. То есть пришедший либо вакцинирован, либо имеет отрицательный ПЦР тест, или уже переболел Covid-19 в течение последних шести месяцев. О том, как проверяют QR-код вакцинации от коронавируса в ресторанах и кафе, могут ли принять для допуска бумажный документ, и как происходит сверка его подлинности.
Как проверяют QR код вакцинации от коронавируса
Все заведения общественного питания столичного региона должны уведомить об участии в эксперименте, чтобы данные организации в ключи в единый реестр. Перед входом в заведение устанавливается пункт контроля и ограждения. Проверку кодов посетителей осуществляют отдельно выделенные сотрудники кафе или ресторана.
Если вы пришли без кода, то можно заказать еду на вынос. Кстати обслуживание на открытых верандах в некоторых кафе доступна. Без кода можно войти в заведение в маске, если вам нужно посетить туалетную комнату.
QR-код для посещения ресторанов и кафе должен предъявить практически каждый посетитель. Исключение составят дети, которые пришли в сопровождении родителей. При этом взрослые сертификат предъявить обязаны. Коды есть у всех жителей Москвы, которые соответствуют одному из требований:
Как проверяют подлинность QR кодов: защита от подделок
Никакие бумажные справки, а также сертификаты, на которых нет нанесенного штрих-кода, не рассматривают. Не стоит доставать и справки о ПЦР, все это не является «входным билетом». Специалист кафе проверяет домены, подтверждающие действительность данных.
Вышеупомянутые ресурсы могут быть только двух видов:
QR-код можно предъявить в распечатанном виде, главное, чтобы с нее можно было считать данные. Получить распечатку можно в инфоматах поликлиники, или сделать это самостоятельно с сайта Госуслуг. Также предъявляются они в электронном виде с экрана мобильного устройства. Происходит проверка таким образом:
Обратите внимание! Данных в базе может не оказаться. Поэтому перед посещением ресторана проверьте сами наличие кода на Госуслугах. Если его не окажется, обратитесь в «группу разбора» на портале mos.ru.
Могут ли не проверить QR код у посетителей ресторанов?
Некоторых посетителей пропускают, не спрашивая данные сертификата. Но это не фейс-контроль. Дело в том, что есть несколько категорий, которые не обязаны его предоставлять:
А вот если подросток решил самостоятельно посетить кафе или ресторан, то код ему придется предъявить. Так как прививки детям не делают, предъявляется QR-код с отрицательным ПЦР-тестом, либо подтверждением перенесенного коронавируса.