Переход на повсеместную проверку QR-кодов создал угрозу кибербезопасности в Свердловской области. Злоумышленники могут воспользоваться ситуацией для внедрения вредоносного ПО на устройства сотрудников служб охраны общественных зданий.
Причина в том, что люди, как правило, невнимательно смотрят на то, какое сообщение им выдает телефон при чтении QR-кода. Это позволяет загрузить на телефон проверяющего практически любую информацию. Например такую.
Для этого достаточно вместо QR-кода прививочного сертификата показать вот этот QR-код, при желании его можно даже вставить в отредактированный сертификат, скачанный с сайта госуслуг:
Конечно, пройти по такому QR-коду никуда не получится, но напугать проверяющих этой шуточной ссылкой вполне возможно. На изготовление QR-кода у редакции ЕАН ушло несколько минут, большая часть из которых была потрачена на картинку.
Вместе с тем, объяснили ЕАН специалисты, в QR-код можно зашифровать любую картинку или даже ссылку на вредоносный сайт. В сети полно сервисов, которые позволяют сделать это бесплатно.
Для того, чтобы защититься, необходимо как минимум внимательно следить за тем, какой именно сайт пытается открыть устройство, считывающее QR-код. Как видим на этой картинке, это должны быть gosuslugi.ru. При этом надо быть внимательными и учитывать, что злоумышленники вполне могут зарегистрировать подменные сайты вроде gosuslugi.tv или с другим иным доменом первого уровня и при невнимательном просмотре подмену будет не распознать.
Точно так же способ может использоваться и для создания фальшивых сертификатов о вакцинировании. Достаточно отредактировать настоящий сертификат, чтобы данные в нем совпали с данными паспорта, разместить его в качестве картинки на специальном сервисе и сгенерировать там же соответствующий QR-код. Если при этом проверяющий не будет внимательно следить за тем, какая ссылка открывается, у него на экране появится сообщение, что сертификат действителен и принадлежит предъявителю. Как видим по этой картинке, от настоящего QR-кода результат в этом случае будет отличаться лишь дополнительной строчкой браузера, на что мало кто обратит внимание.
«Сейчас уже выпущено приложение «СтопКовид». Если проверять QR-код через него, то неправильный код оно просто не откроет. Но я посмотрел, кто чем проверяет, — в большинстве своем чем попало. Так что да, для телефонов, по крайней мере, на Андроид, риск есть», - прокомментировал ЕАН экс-кандидат в министры цифрового развития Свердловской области Алексей Холодарев.
Есть новость — поделитесь! Мессенджеры ЕАН для ценной информации
+7 922 143 47 42
