Національна поліція викрила чергового зловмисника, який розробив фейковий застосунок, зовні схожий на державний сервіс «Дія», щоб через нього торгувати підробленими документами. Прикметно, що за останні два місяці це вже третій випадок створення програми-підробки. На думку експертів, таких кібер-шахраїв в рази більше, і їхня кількість лише буде зростати.
Фальшиві сертифікати від 100 до 300 гривень
Наразі державний сервіс «Дія» вподобали 8,6 мільйона українців, повідомляє міністр цифрової трансформації України Михайло Федоров. За його словами, щодня цим застосунком користується понад 1 мільйон людей, і популярність його продовжує зростати.
Як заявив очільник цифрового відомства в інтерв’ю виданню «Українська правда», без «Дії» держава не змогла б запустити цифрові сертифікати про вакцинацію. Ба більше, припускає Михайло Федоров, якби не застосунок, то нині кожен другий сертифікат був би фейковим, а цифрові документи дали можливість боротися з підробками. До того ж, спростилась сама процедура отримання сертифікатів.
Втім, оптимізму міністра не поділяє фахівець з кібербезпеки Костянтин Корсун. Як показує досвід, примітивних знань і стандартних інструментів виявилось цілком достатньо, щоб більш-менш обізнані у технологіях шахраї звели нанівець усі старання і фінанси, витрачені на розробку і впровадження цього застосунку:
- У Запорізькій області 21-річний правопорушник створив фейковий застосунок, копію державної «Дії». Програма дозволяла генерувати документи-підробки, зокрема, несправжній сертифікат про вакцинацію можна було замовити за 100 гривень.
- У Харкові 17-річний кіберзлочинець підробив «Дію», в якій сертифікат про вакцинацію коштував 300 гривень. Фейковий документ містив навіть QR-код.
- У Миколаєві 15-річний зловмисник через імітовану «Дію» торгував несправжніми документами. У застосунку можна змінювати свій вік і додавати будь-яке фото.
Перевірка QR-кодів
У більшості країн після отримання щеплення людина отримує паперовий документ із QR-кодом. Вона може скачати його, сфотографувати чи відсканувати і тримати в своєму телефоні. Для України проблема полягає в тому, що у переважній більшості випадків цей код «зчитують очима», каже експерт з інформаційної безпеки.
«У нас нечасто перевіряють QR-код на валідність. Навіть телефоном, не кажучи про сканер застосунку «Дія». Питання полягає у коректності перевірки. У випадку зі зловмисником з Миколаєва код генерувався, але він нікуди не вів. Є місця, де є високий шанс перевірки – на кордоні, в аеропорту. І там перевіряють одного з 20 осіб», – зауважує Костянтин Корсун.
«Всі яйця в одному кошику»
На його думку, ідея діджіталізації державних цифрових послуг не повинна була реалізовуватись таким чином. Саме завдання – тримати всю інформацію про людину на одному сервісі – з самого початку виглядало хибним кроком, каже він. Недаремно цивілізовані країни світу відмовились іти цим шляхом: були прораховані ризики, створена модель загроз, передбачені можливі наслідки.
Я абсолютно проти того, щоб цей застосунок мав статус офіційного ідентифікаційного документа найвищого ступеню довіриКостянтин Корсун
«Дію», як виявилося легко підробити. Маємо імітацію, і це лише верхівка айсбергу кіберзлочинності. Я звертався до розробників справжньої «Дії»: покажіть, де розміщений оригінал, де вихідний код, вони його приховують, засекречують і щиро дивуються, які можна до них висувати претензії.
Було б зручно, якби існував так званий віртуальний довідник, в якому можна було б тримати внутрішній чи закордонний паспорти. Але я абсолютно проти того, щоб цей застосунок мав статус офіційного ідентифікаційного документа найвищого ступеню довіри. Такі документи мають купу підзаконних актів», – наголошує Костянтин Корсун.
Якщо держава прагне оперативно і безпечно оцифрувати державні послуги, то починати слід з відновлення довіри до самої себе, переконаний фахівець з кібербезпеки. Необхідно впорядкувати державні бази даних, викорінити корупцію серед чиновників, запровадити механізми логування та документування інформації.