November 8, 2021, 11:29 AM

Внимание! QR-коды прививочных сертификатов свердловчан могут использоваться для заражения телефонов вирусами (КАК ЗАЩИТИТЬСЯ)

Переход на повсеместную проверку QR-кодов создал угрозу кибербезопасности в Свердловской области. Злоумышленники могут воспользоваться ситуацией для внедрения вредоносного ПО на устройства сотрудников служб охраны общественных зданий.

Причина в том, что люди, как правило, невнимательно смотрят на то, какое сообщение им выдает телефон при чтении QR-кода. Это позволяет загрузить на телефон проверяющего практически любую информацию. Например такую.

Для этого достаточно вместо QR-кода прививочного сертификата показать вот этот QR-код, при желании его можно даже вставить в отредактированный сертификат, скачанный с сайта госуслуг:

Конечно, пройти по такому QR-коду никуда не получится, но напугать проверяющих этой шуточной ссылкой вполне возможно. На изготовление QR-кода у редакции ЕАН ушло несколько минут, большая часть из которых была потрачена на картинку.

Вместе с тем, объяснили ЕАН специалисты, в QR-код можно зашифровать любую картинку или даже ссылку на вредоносный сайт. В сети полно сервисов, которые позволяют сделать это бесплатно.

Для того, чтобы защититься, необходимо как минимум внимательно следить за тем, какой именно сайт пытается открыть устройство, считывающее QR-код. Как видим на этой картинке, это должны быть gosuslugi.ru. При этом надо быть внимательными и учитывать, что злоумышленники вполне могут зарегистрировать подменные сайты вроде gosuslugi.tv или с другим иным доменом первого уровня и при невнимательном просмотре подмену будет не распознать.

Точно так же способ может использоваться и для создания фальшивых сертификатов о вакцинировании. Достаточно отредактировать настоящий сертификат, чтобы данные в нем совпали с данными паспорта, разместить его в качестве картинки на специальном сервисе и сгенерировать там же соответствующий QR-код. Если при этом проверяющий не будет внимательно следить за тем, какая ссылка открывается, у него на экране появится сообщение, что сертификат действителен и принадлежит предъявителю. Как видим по этой картинке, от настоящего QR-кода результат в этом случае будет отличаться лишь дополнительной строчкой браузера, на что мало кто обратит внимание. 

«Сейчас уже выпущено приложение «СтопКовид». Если проверять QR-код через него, то неправильный код оно просто не откроет. Но я посмотрел, кто чем проверяет, — в большинстве своем чем попало. Так что да, для телефонов, по крайней мере, на Андроид, риск есть», - прокомментировал ЕАН экс-кандидат в министры цифрового развития Свердловской области Алексей Холодарев. 

Есть новость — поделитесь! Мессенджеры ЕАН для ценной информации

+7 922 143 47 42


Комментировать
Функционирует при финансовой поддержке Федерального агентства по печати и массовым коммуникациям
18+