Что из себя представляют поддельные сайты, содержащие информацию о сертификатах вакцинации? Как обстоит дело с блокировкой подобных ресурсов? Насколько доступны сервисы, позволяющие получить нелегитимный QR-код? Подробнее об этом можно прочитать в статье.
ДИСКЛЕЙМЕР: Данная статья не создана с целью распространения информации о ресурсах, потенциально позволяющих нарушать законы или иные нормативно-правовые акты Федеральной власти, власти субъектов Российской Федерации или местного самоуправления. Статья носит лишь ИНФОРМАЦИОННО-СПРАВОЧНЫЙ характер и посвящена актуальной проблеме использования поддельных QR-кодов. Автор статьи не несёт ответственности за потенциальные действия людей, прочитавших её.
![](https://habrastorage.org/getpro/habr/upload_files/984/640/162/984640162634915a0b298f64458b5955.jpg)
Данная статья изначально должна была быть подразделом статьи, посвящённой разработке приложения для проверки сертификатов вакцинации (ссылка на статью появится в ближайшее время), но позднее я решил вынести этот материал в отдельную статью.
Введение
На фоне постановлений о введении QR-кодов в общественных местах некоторые люди нашли способ обхода проверки наличия кода при помощи фишинговых сайтов, которые содержат данные о несуществующих сертификатах вакцинации. Так, например, «Коммерсантъ» еще в октябре опубликовал статью, в которой содержится информация о регистрации почти 50 сайтов с доменом, похожим на «gosuslugi.ru».
Это стало основной причиной для начала процесса создания вышеупомянутого приложения для верификации этих самых QR-кодов. А для презентации будущего проекта на тот момент я решил побольше углубиться в вопрос сайтов-клонов, содержащих данные о сертификатах вакцинации.
Фишинговые сайты
Я так понимаю, фишинговые сайты эти… м-м-м… это как раз от слова «рыба». Наверное.
Владимир Владимирович Путин
ВНИМАНИЕ! Цитата вырвана из контекста и не является отражением мыслей её автора. Её использование также не служит в качестве попытки унижения или оскорбления автора цитаты.
Фишинговые сайты – это веб-страницы, создаваемые с целью введения пользователя в заблуждение и получения дальнейшей выгоды, например, кражи персональных данных или получения финансовых средств. В нашем случае целью создания таких сайтов является введение в заблуждение человека, сканирующего на входе в общественное место QR-коды посетителей, для получения возможности пройти, например в ресторан или кинотеатр, без наличия существующего сертификата вакцинации.
Ключевое отличие фишинговых сайтов от продажи реальных сертификатов вакцинации заключается в вопросе цены, так как клонирование сайта занимает минимальное количество времени, а зарегистрировать домен можно за 300-500 рублей (и это ещё не самая низкая цена).
Так, например, мой одногруппник, который по моему заказу сделал качественную клонированную версию веб-страницы с данными моего сертификата всего за 3 часа. Оценил стоимость работы он, кстати, как раз всего в 400 рублей (без цены за оплату домена). Таким образом можно сделать вывод о том, что за сутки при наличии согласованной команды можно до 20 отдельных подобных веб-страниц или целый веб-сайт, на котором можно было бы отдельно размещать страницы с данными пользователей.
![Сравнение внешнего вида веб-страниц. Сверху - поддельная страница, снизу - легитимная версия Сравнение внешнего вида веб-страниц. Сверху - поддельная страница, снизу - легитимная версия](https://habrastorage.org/getpro/habr/upload_files/74d/cd6/e41/74dcd6e412fe16fcd041c40761da8032.jpg)
Блокировка фишинговых сайтов
Как было указано в вышеупомянутой статье «Коммерсанта», Минцифры постоянно мониторит потенциальные фишинговые веб-сайты и блокирует ежемесячно около 100-200 подозрительных ресурсов. То есть можно сделать вывод о том, что в принципе Роскомнадзор вместе с подразделениями способны справиться с данной проблемой, но…
Но так удачно я лично столкнулся с этим процессом. Спустя меньше, чем через сутки мой одногруппник получил на свою почту письмо от регистратора доменом с информацией о приостановлении работы веб-сайта в связи с обращением Национального координационного центра по компьютерным инцидентам. Сайт действительно прекратил свою работу.
![Письмо регистратора домена с информированием о блокировке и её причине Письмо регистратора домена с информированием о блокировке и её причине](https://habrastorage.org/getpro/habr/upload_files/e78/cf4/fd3/e78cf4fd38b8a306f0aadec5ebafdcb8.png)
Однако по причине того, что веб-страница нужна была мне в дальнейшем я решил попытаться восстановить её и связался с НКЦКИ по указанному в письме номеру телефона. В разговоре с молодым человеком, который быстро нашёл всю информацию по инциденту, включая скриншоты страницы, я пояснил необходимость работы страницы для учебного проекта и указал на наличие предупреждения внизу страницы (на тот момент его действительно сделали таким, что его сложно было заметить), после чего мне был дан совет написать письмо в НКЦКИ, но при этом несколько раз сказали: «Не советуем создавать такие веб-страницы, так как даже если мы не будем реагировать на неё как на потенциально содержащую угрозу, то это вполне будет делать Роскомнадзор.»
Также в разговоре диспетчер упомянул то, что за последнее время было заблокировано больше сотни веб-сайтов похожих на мой (на момент 1 ноября 2021 года), но подтверждения его словам я не нашёл.
После телефонного разговора я сразу же составил письмо для НКЦКИ, которое содержало информацию о предназначении веб-страницы, а также данные о том, кем я являюсь. На всякий случай я указал свои намерения привести страницу в должный вид, чтобы она не вызывала подозрений.
![Текст моего письма, которое привело к восстановлению работы веб-страницы Текст моего письма, которое привело к восстановлению работы веб-страницы](https://habrastorage.org/getpro/habr/upload_files/5c5/58e/c17/5c558ec177096b396ebf887b5f6dcabd.png)
Спустя всего 40 минут я получил ответ о том, что регистратору домена направлен запрос на восстановление работы страницы.
![Ответное письмо НКЦКИ с информированием о восстановлении работы веб-страницы Ответное письмо НКЦКИ с информированием о восстановлении работы веб-страницы](https://habrastorage.org/getpro/habr/upload_files/b8e/d60/25e/b8ed6025ec64aa1f563eb1ce45602c0a.jpg)
К слову, мой одногруппник после моего запроса действительно наложил водяные знаки и выделил предназначение веб-страницы с моей контактной информацией. В течение месяца после этого уже никаких запросов от ведомств не поступало.
![Внешний вид веб-страницы на данный момент Внешний вид веб-страницы на данный момент](https://habrastorage.org/getpro/habr/upload_files/53b/b37/f98/53bb37f98e5e2c43255c8149b2fb838c.png)
Описал я эту ситуацию в первую очередь по причине того, что мне показалось достаточно странным то, что страницу так быстро восстановили при том, что повода доверять мне особо не было, звонок я мог сделать в принципе с любого телефона, а данные о том, что я являюсь студентом вуза и работаю над учебным проектом, в теории вообще могут быть ложными. Мне кажется, что процедура восстановления подобных сайтов должна быть сложнее, хотя я и весьма благодарен НКЦКИ за быстрое восстановление работы.
Спустя недели 2-3 после ситуации с НКЦКИ я заметил, что Google повесил на веб-страницу баннер «Осторожно, поддельный сайт!», а затем то же самое я обнаружил в Яндекс Браузере и Опере. Каким образом анализируется контент на страницах, и кто отвечает за подобные действия на данный момент я не знаю, но если у кого-то есть такая информация, то буду рад, если напишите её в комментариях.
В принципе, если блокировками, связанными с потенциальными угрозами поддельных сайтов, будут заниматься и браузеры, то эта проблема станет менее острой.
![Уведомление о поддельном сайте в различных браузерах Уведомление о поддельном сайте в различных браузерах](https://habrastorage.org/getpro/habr/upload_files/577/1c7/e52/5771c7e52205099e1849a0772e12032d.jpg)
Поиск услуг создания поддельных сайтов в Telegram
Во время написания статьи я решил ради интереса посмотреть, что происходит в Telegram с вопросом фишинговых сайтов, и нашёл несколько чатов, в которых было заявлено о возможности создать веб-страницу, которая отличается лишь на один символ в адресной строке.
![Чат "covid19_QR_code" Чат "covid19_QR_code"](https://habrastorage.org/getpro/habr/upload_files/536/13c/456/53613c456d82186a49928ed4151712c0.png)
![Чат "vaccine_qr_code" Чат "vaccine_qr_code"](https://habrastorage.org/webt/s0/w_/pw/s0w_pwozzh5g9xuqdyrp5mr3ahq.png)
![Чат "qr_code_vakcina" Чат "qr_code_vakcina"](https://habrastorage.org/getpro/habr/upload_files/0be/b7a/d34/0beb7ad3449fa0f788311b4592be2e0c.png)
Даты создания каналов являются признаком того, что каналы блокируются и создаются снова (это статистически подтверждается датами создания других каналов, которые я находил в процессе поиска, посвящённых простой продаже реальных сертификатов).
Нельзя однозначно сделать вывод о том, что каналы реально предоставляют QR-код на созданный поддельный сайт, а не созданы мошенниками для простого сбора денег с людей, которые желают получить подобную услугу. Проверять каждый канал посредством участия в переписке у меня желания не было, поэтому я уже думал, что особо интересного в Telegram ничего нет.
Но так удачно я наткнулся на Telegram-бота под именем «Qr code Covid-19 Bot QR код бот», который отправляет по запросу ссылку на сайт covid-cert.us.
![Чат-бот "Qr code Covid-19 Bot QR код бот" Чат-бот "Qr code Covid-19 Bot QR код бот"](https://habrastorage.org/getpro/habr/upload_files/a1b/13f/a82/a1b13fa8218d0b32bccdc07ccd1bf47a.png)
Я решил проверить веб-сайт и перешёл по ссылке через виртуальную машину. Сайт носит название «AntiQRCode». Сайт предоставляет возможность регистрации и авторизации, чем я решил воспользоваться и зарегистрировался на нём при помощи почты, созданной именно для проверки потенциальных фишинговых сайтов.
![Главная страница веб-сайта "covid-cert.us" Главная страница веб-сайта "covid-cert.us"](https://habrastorage.org/getpro/habr/upload_files/8eb/b10/469/8ebb10469204c3abb4166e62f706d8bd.png)
На этом сайте я нашёл раздел «Мои QR коды» и зашёл в него. Раздел содержит форму с полями для заполнения данными для сертификатов (для выбора доступен сертификат вакцинации, сертификат переболевшего и результат ПЦР-теста). Создать QR-код по введённым данным можно только при верификации аккаунта, которая проходит через подтверждение по почте. На этом моменте я уже думал, что нашёл «подвох» сервиса, но прошёл по ссылке, присланной на почту, через виртуальную машину. И каково же было моё удивление, когда я просто увидел подтверждение своего аккаунта.
![Форма с полями для заполнения данными Форма с полями для заполнения данными](https://habrastorage.org/getpro/habr/upload_files/945/d32/7af/945d327afd81d3caa5650e669e43dec9.png)
![Письмо для верификации аккаунта Письмо для верификации аккаунта](https://habrastorage.org/getpro/habr/upload_files/796/fde/c9c/796fdec9c32d9d8cc56c54cc9a1719d2.jpg)
После верификации аккаунта я заново заполнил форму, нажал на кнопку «Создать» и на выходе получил фишинговую ссылку с доменом «gosuslugi.ru.covid-cert.us» и QR-код.
![Сформированный QR-код Сформированный QR-код](https://habrastorage.org/getpro/habr/upload_files/259/d3c/dd0/259d3cdd0bdc2278e371d7140563771e.png)
Я всё ещё не мог поверить в то, что сервис действительно просто бесплатно генерирует QR-коды, поэтому с запасного смартфона с NougatOS просканировал QR-код и перешёл на поддельную страницу с данными, которые я ранее вводил. При этом даже на этом этапе никаких угроз безопасности не возникло.
![Результат сканирования QR-кода Результат сканирования QR-кода](https://habrastorage.org/getpro/habr/upload_files/a02/eb9/7b8/a02eb97b82d5303406fc96f78dfafc00.jpg)
Получается, что сервис действительно БЕСПЛАТНО даёт возможность генерировать поддельные QR-коды, ведущие на фишинговые сайты, причем самые качественные в своём исполнении, что я видел за всё время изучения этой темы. То есть теперь минимальную планку цены QR-кода с фишинговой ссылкой можно опустить до 0 рублей, благодаря безымянному «Робин Гуду». Копать дальше с целью поиска человека, зарегистрировавшего домен я не стал. Если у кого-то возникнет такое желание, я буду рад увидеть итоговые результаты.
Крайне удивительным является то, что ссылка на веб-сайт не заблокирована провайдерами по распоряжению Роскомнадзора и в принципе полностью находится в свободном доступе, а значит, что механизм поиска и блокировки подобных ресурсов на данный момент эффективно не работает.
Заключение
На данный момент, к сожалению, нет полной картины, которая позволила бы описать масштаб проблемы. Я надеюсь на то, что Роскомнадзор напрямую или через СМИ будет каким-то образом позднее публиковать отчёты, содержащие информацию о количестве заблокированных за этот период времени веб-страниц. Но на данный момент об этих цифрах можно лишь догадываться.
В этой статье я постарался описать существующую проблему, которая является подводкой к актуальности статьи, посвящённой созданию сервиса, проверяющего QR-коды сертификатов вакцинации.