«Все сделает наш человек из клиники»
Чтобы узнать, как работают мошенники, обращаюсь в один из популярных Telegram-чатов и для начала заказываю справку об антителах — на самом деле, не так важно, какой документ вам нужен, все схемы получения одинаковы.
В ответ менеджер просит меня написать ФИО на русском и английском языках, дату рождения, условную дату сдачи теста и город. По итогу справку обещают прислать в виде pdf-файла. Цена услуги — 1500 рублей.
На вопрос, «прокатит» ли она у меня на работе, менеджер заверяет, что «прокатит»: ее занесут в базу клиники, где будет сделан документ.
— Какой у вас город? — интересуется он.
— Москва.
— «Гемотест» будет лаборатория.
На мое недоумение о том, как фейковая справка сможет оказаться в базе «Гемотеста», дилер уверенно отвечает, что это будет делать их «человек» — сотрудник клиники.
Следуя такой логике, я предполагаю: если чат предоставляет столь шикарный сервис, у него свои люди будут по всей России.
— А если бы я была из Владивостока, тоже делал бы человек из клиники? — уточняю я.
Оказалось, что во Владивостоке у менеджера связей нет, можно было бы все равно сделать «Гемотест», как будто я сдавала анализы в Москве.
Дальше, как выяснилось, чат предлагает скидку, но при условии, что вы приобретаете три справки.
Мошенники пытались подделывать QR-код, но «Гемотест» его не распознает
Если «Гемотест» узнает о чатах или сайтах, продающих поддельные сертификаты о прохождении ПЦР-исследования на COVID-19, то организация перенаправляет ее в правоохранительные органы. Об этом «Правмиру» сообщил Федор Соколов, руководитель блока обеспечения корпоративной безопасности лаборатории «Гемотест».
— По подобным фактам возбуждались уголовные дела по ст. 327 УК РФ («Подделка, изготовление или оборот поддельных документов»). Нашими специалистами совместно с сотрудниками МВД были проведены контрольные закупки на сайтах, распространяющих подделки. Курьеры, доставившие поддельные справки, были переданы в органы МВД для дальнейшего выяснения всех обстоятельств, — рассказывает эксперт.
Лаборатория принимает обращения граждан, которым продали поддельные справки без прохождения теста на COVID-19. Недавний случай был в аэропорту Ростова-на-Дону: турецкие авиалинии продавали справки об отсутствии коронавируса улетающим гражданам за стойкой регистрации. По данному факту «Гемотест» также подал заявление.
— Мы не доверяем защиту наших справок и сертификатов визуальному оформлению документа — его очень легко сымитировать, — отмечает Федор Соколов. — Основная защита справки, выдаваемой лабораторией «Гемотест», — уникальный QR-код, который можно проверить только на официальном сайте компании. Такую справку в дополнение к стандартному бланку получает любой пациент, прошедший ПЦР-исследование или анализ на антитела.
В этом документе содержится ФИО пациента, дата рождения, адрес проживания, дата выполнения исследования и метод исследования, а также уникальный QR-код для проверки подлинности справки. Если результаты исследования есть в системе «Гемотеста», пользователь получит ответ «Справка действительна», и на экране будут отображаться только ФИО пациента и дата его рождения. Если нет — появится надпись «Справка недействительна» и предупреждение о том, что документ может являться подделкой.
— Мошенники пытались подделывать и QR-код, но «Гемотест» никогда не распознает такие справки — такие коды не содержат данных, известных только пациенту и лаборатории. Если пациент попытается проверить фальшивую справку через наш сайт, на экране появится надпись «Справка недействительна» и предупреждение о том, что документ может являться подделкой.
Хакеры или сотрудники клиник?
Давид Медведик
Внести данные в регистр можно двумя способами, как отмечает специалист по кибербезопасности Давид Медведик, ведущий инженер-разработчик компании Positive Technologies. В первом случае это будет делать человек, который работает в клинике и у которого есть прямой доступ к базе — точно так же некоторые сотрудники в сетях мобильных операторов продают информацию о пользователях. Во втором случае базы данных могут иметь открытые выходы в интернет.
— Если они никак не защищены, то любую информацию можно добавить туда своими руками, и никто об этом не узнает. В истории будет видно, что данные были внесены с другого IP-адреса, но это вполне могут посчитать за какую-то ошибку. Так что либо это делает человек внутри самой системы, либо система уязвима извне, — резюмирует эксперт.
За время пандемии очень сильно увеличился рост атак на медицину, а за последние три года более 93% медицинских организаций испытали утечку данных.
— Все айти-инструменты в этой сфере очень низкого качества. В основном средства вкладываются либо в медицинское оборудование, либо в зарплаты медработников, а защита баз данных остается очень слабой, поэтому за последние три года очень много баз данных, которые содержат учетные записи пользователей, были слиты в интернет, — говорит Давид Медведик.
Если все-таки данные о вакцинации заносят хакеры, то особенных навыков им здесь не нужно, считает Медведик.
Для продавцов фиктивных сертификатов технически сделать такую «работу» довольно просто, если они знают, как устроены базы данных и где они находятся.
— Хакеру достаточно написать скрипт, который будет эти данные обновлять. Вы им присылаете свои данные, они заполняют скрипт, нажимают одну кнопку — и получают от вас деньги. Они тратят несколько минут и выручают несколько тысяч. Этим может заниматься кто-то один. Но, скорее всего, в подобных схемах задействованы несколько людей, которые отвечают на входящие запросы, и есть человек, который эти данные заполняет и отправляет их скрипту, чтобы он обновил базу.
Посмотрев мою переписку в чате, эксперт увидел несколько вариантов развития событий. Первый — действительно есть человек, который просто работает в сети клиник. Второй — этим занимается хакер, который смог получить доступ к московским базам данных, а до Владивостока пока не добрался: либо там старые базы данных, либо он не знает, где они находятся. Третий вариант — в чате меня просто обманывают, и никто ничего в базы вносить не собирался.
— Распознать, кто занимается этим в Telegram, почти невозможно, — отмечает Давид Медведик. Конечно, если только не получится добыть личную информацию о менеджере и том, где он находится.
«Сертификат выдали, а вакцина ушла в раковину»
Когда человек вакцинируется, в его сертификат заносят серию и номер конкретного препарата. У государства есть вся информация о том, какие партии с какими номерами поступают в медицинские организации, поэтому малейшее несовпадение может открыться. В материале Baza источники, пожелавшие остаться неизвестными, рассказывают, что во время виртуальной вакцинации данные просто заносят в систему, а саму вакцину выливают.
Чтобы понять, участвуют ли сотрудники клиник в мошенничестве, необходимо следствие. Волонтеры чатов вакцинации V1V2 сообщили «Правмиру» о фактах покупки фальшивых сертификатов, которые им прислали анонимно. Они собирают эти данные, чтобы передать в МВД. Из многочисленных случаев два, по словам отправителей, связаны с участием врачей.
Этот скрин прислали волонтеру чата вакцинации V1V2. Сообщение волонтеру в Telegram: «Всё хуже. Там и врачи в теме. Это в чате моего ЖК. И главное, вообще не боятся и открыто выкладывают».
Это сообщение пришло волонтеру в Facebook: «Здравствуйте, пишу по поводу липовых паспортов. Моя мама делала вакцину Спутник в амбулатории, относящейся к детской поликлинике №1 города Красногорска. 15.06 ей принесли списки людей, которые получили паспорта, но вакцина ушла в раковину. Дело было в последний день перед ее увольнением и она не стала ничего подписывать, собственно это и явилось причиной увольнения. На сколько я понимаю — это широко практикуется в данном мед. учреждении». (Авторские орфография и пунктуация сохранены. — Прим. авт.)
В поликлинике на вопросы «Правмира» не ответили.
Образец лжесертификата, который прислали волонтерам
Справка с маркировкой INVITRO, а номер зарегистрирован в Великобритании
Редактор «Правмира» Дарья Кельн тоже попыталась купить ковидную справку, но уже через WhatsApp. После недолгого ожидания ей ответили, что справка будет с рабочим QR-кодом и личным кабинетом, прислали даже образец с маркировкой INVITRO — вероятно, просто скачанный с официального сайта. Цена — 2200 рублей, справку тоже обещали предоставить в электронном виде.
Ее попросили прислать не только ФИО и дату рождения, но и паспортные данные — подходит как паспорт РФ, так и загранпаспорт. Попросили также написать город получения справки, дату взятия анализа с указанием времени и дату выдачи результата.
«Правмир” пытается купить справку
Образец с маркировкой Инвитро, который прислали нашему корреспонденту
Давид Медведик рассказал, что злоумышленники, получив доступ к базе, способны внести туда любые данные, и это будет отражаться в личном кабинете пользователя на сайте медицинской организации.
— Когда вы заходите в личный кабинет, там появляется информация из базы данных. И кто эти данные вносит в базу, сайт не знает — он просто отображает все, что там есть. Если кто-то забьет бессмысленный набор букв, это тоже будет отображено в личном кабинете конечного пользователя. Организация сможет обнаружить, что была какая-то вставка, но понять, откуда она взялась, — нет.
В INVITRO на запрос «Правмира» ответили, что их отдел информационной безопасности отрабатывает все инциденты, включая атаки и вирусы, но раскрывать подробности организация не может.
— «Инвитро» не только медицинская, но и IT-компания. Мы используем передовые технологии как для лабораторных исследований, так и для защиты данных пациентов. Медицинские данные — очень чувствительные, это субъект защиты высокого уровня. Мы всегда учитываем все потенциальные риски и предпринимаем надлежащие меры для защиты данных, — уточнили в пресс-службе.
Генерировать поддельные, но внешне правдоподобные электронные справки и образцы, подобные тому, как прислали моей коллеге в WhatsApp, хакеры могут, используя скрипт — алгоритм, который берет входные данные и предоставляет конечный результат в виде pdf-файла. Так что здесь можно получить любой документ из Invitro и прочих организаций даже без помощи фотошопа.
Отправлять дилерам свои паспортные данные Давид Медведик не рекомендует.
— Во-первых, есть вероятность, что защиту базы улучшат и ваша справка станет недействительна буквально через несколько дней. Во-вторых, все эти паспортные данные попадут третьим лицам, которые с этими данными могут делать что угодно и получать за это деньги. В-третьих, ваши данные могут вообще никуда не внести.
Номер, с которого торгуют справками, зарегистрирован в Великобритании. Эти мошенники вполне могут находиться в России, но использовать зарубежных операторов.
— С российскими они предпочитают не связываться, потому что вы можете позвонить оператору и сообщить, что с такого-то номера ведут нелегальную деятельность. Тогда оператор сам его заблокирует и, возможно, подаст в полицию. А если вы попытаетесь позвонить в Великобританию, вы ничего не добьетесь.
Впрочем, мошенники могут заводить одноразовые номера, как и, например, временные ссылки в интернете. Мы нашли группу «ВКонтакте», где продают поддельные справки и сертификаты, но она исчезла буквально за полчаса, когда мы собрались туда написать. «Такие ссылки делаются за дополнительную плату. Но если их покупают — значит, есть спрос», — считает Давид Медведик.
Подделка документов — это преступление
Если правоохранительным органам удастся вскрыть схему с покупкой лжесертификатов и справок, нарушители будут нести серьезную ответственность, так как здесь речь идет не только о подделке документов. Об этом «Правмиру» рассказал Андрей Карпенко, юрист Центра медицинского права.
Андрей Карпенко
— Нужно понимать, что это общественно опасная история, потому что человек, имеющий сертификат, в любом случае будет пользоваться какими-то льготами, которые будут предоставлены вакцинированным людям. И при этом он может оказаться очагом инфекции. Если удастся доказать причинно-следственную связь между фиктивным сертификатом и, допустим, смертельным исходом, можно даже привлечь к статье за причинение смерти по неосторожности, — уверен эксперт.
Но даже если летального исхода нет и никто из окружающих не заболел, за фальшивые документы все равно придется отвечать. Фиктивные справки и сертификаты от коронавируса попадают под 327-ю статью УК РФ — «Подделка, изготовление или оборот поддельных документов, государственных наград, штампов, печатей или бланков». Сказать заранее, какое это повлечет наказание, нельзя, потому что квалифицировать деяния — задача следствия.
— Уголовное наказание назначают суды, санкции статей Уголовного кодекса очень широкие — от штрафа до лишения свободы, и невозможно спрогнозировать, какое наказание будет в каждом конкретном случае, — объясняет юрист. — Суд учтет все обстоятельства — и смягчающие, и отягчающие. Может быть, даже для конкретного гражданина найдутся обстоятельства, исключающие уголовную ответственность. Но нельзя вот так с ходу говорить, на какой срок человека посадят. С правовой точки зрения это будет некорректно.
Наказание назначается индивидуально и с учетом обстоятельств, но если вы принесете на работу фиктивный сертификат, то это, как минимум, будет считаться предоставлением заведомо подложного документа.
А дальше все зависит от действий правоохранительных органов.
— Уголовный кодекс разнообразен, для него здесь широчайшее поле деятельности. Но в любом случае это умышленное правонарушение. Человек, покупая сертификат без вакцинации, осознает, какие последствия это может повлечь, — заключает Андрей Карпенко.
«Рисуйте в фотошопе, откуда умники такие берутся»
Работодатель может проверить сертификат по базе данных. Однако, как мы выяснили из разговора с экспертом по кибербезопасности, самое слабое место в них — занесение информации. Если данные о фиктивных прививках вносят изнутри, то узнать ничего нельзя.
Я написала еще нескольким дилерам. Первый, узнав мой город, предложил доставить сертификат курьером или такси: «3–4 часа и у вас на руках». Здесь цена оказалась самой высокой — 3800 рублей. Пообещали, что данные появятся на портале «Госуслуги».
— А там же все ампулы на учете, как так?
— Просто они поменяют данные и все.
— Это врачи делают, что ли?
— Все верно.
Вот такую инструкцию приложили в чате
Второй дилер написал, что через сутки после оформления заказа мне сделают паспорт с QR-кодом и печатями о двух прививках и сертификат, который вносится в реестр и предоставляется в электронном варианте. Стоимость — 2800 рублей. Также он сказал, что сертификат будет отображаться в реестре Госуслуг с привязкой к личному кабинету. Как человеку беспокойному, мне этого было мало.
— А если меня на работе проверять начнут? Не очень понимаю, как мои данные окажутся в Госуслугах, если честно…
— Привязка к личному кабинету. Информация о том, что вы привиты, все официально.
— Хм… ну там же каждая ампула учтена. Так просто все?
— Нельзя верить слухам и СМИ. Ажиотаж вышел за рамки, скажу вам честно: нам по 200–250 человек в сутки пишет, а мы ведь не только сертификаты делаем.
— А мне говорили, что ампулы пронумерованы.
— Повторюсь: нельзя верить слухам и СМИ.
— Окей. А как мне проверить, что вы точно занесете мои данные в базу?
— По готовности, когда предоставлю сертификат, проверите его по QR. Предоставляете данные по форме: ФИО, дата рождения, адрес проживания, адрес для доставки, адрес электронной почты, оплачиваете заказ по указанным реквизитам, и запускаем в работу. По срокам предоставления: сутки с момента оформления заказа, доставка паспорта вакцинируемого курьером на указанный адрес. Услуги предоставляем по всем крупным городам РФ и СНГ, максимально быстрые сроки доставки.
— Вы не поняли. Как мне узнать, что вы меня сейчас не обманываете и действительно всё занесете, когда я это пришлю.
— Мы с 2016 года ведем деятельность по предоставлению услуг. Огромнейший опыт работы и наивысшее качество, нам есть чем подтвердить свой высокий рейтинг надежности. Отзывы по последним заказам. Будет актуально, обращайтесь.
Этот скрин мне прислали в качестве подтверждения «огромнейшего опыта работы»
— Ну я такое тоже могу в фотошопе нарисовать.
— Рисуйте в фотошопе, откуда умники такие берутся только, не понимаю, которые думают, что знают все. Платформа Hydra, вход через Tor Browser, зайдите, почитайте отзывы, можете оформить заказ напрямую через платформу, удачи.