Есть ли у QR-кодов для доступа в рестораны слабые места?

Власти активно борются с мошенниками, продающими фальшивые справки о вакцинации. А можно ли подделать QR-коды, которые в столице будут использовать для доступа в «бесковидные» бары и рестораны?

QR-код — это черно-белая картинка, в которой зашита некая информация, в простейшем случае — ссылка на страницу в интернете. Сканируешь код — и смартфон открывает ее в браузере. При этом человек не в состоянии определить по внешнему виду, что именно содержится в QR-коде, чем и пользуются мошенники, генерирующие коды со ссылками на фейковые сайты банков и соцсетей.

Аналогичным образом можно попробовать обмануть условного официанта или охранника на входе в московский бар. Продолжает программист Григорий Бакунов:

Григорий Бакунов программист «Чисто теоретически любой QR-код, как и любой код, подделать можно. Единственный «хороший» способ, который я сейчас вижу, для обмана людей — создать не просто QR-код, а сделать целый сайт, который очень сильно по внешним признакам похож на сайт mos.ru или на сайт госуслуг, и QR-код, который будет вести на этот сайт. Такую конструкцию сделать можно, это не очень сложно и даже не очень дорого, но любой внимательный пользователь все равно увидит, что это сайт не mos.ru».

Сгенерировать QR-код может любой, даже не самый продвинутый пользователь — в интернете полно таких программ, в том числе бесплатных. С созданием фейкового сайта сложнее, но и это решаемая задача. Так что можно, наверное, ожидать появления предложений о продаже поддельных QR-кодов для свободного доступа в «бесковидные» кафе и рестораны, а также во все другие места, где, возможно, в будущем эти коды потребуются. Другое дело, что, если система сделана правильно, обмануть ее при помощи такой схемы не удастся, говорит гендиректор компании Zecurion Алексей Раевский.

Алексей Раевский гендиректор компании Zecurion «Если приложение, которым будут проверять QR-коды, сделано нормально, то по идее такое должно быть невозможно, потому что в этом QR-коде должна быть не ссылка на веб-сайт, а внутренний идентификатор записи в базе данных, и уже по этому идентификатору приложение будет запрашивать базу данных госуслуг или mos.ru. Если так будет сделано, то это подделать не получится. Просто приложение при проверке увидит, что такой записи в базе данных нет, и выдаст отрицательный результат проверки».

Как устроена система проверки QR-кодов в столице, выяснить не удалось. Business FM отправила соответствующий запрос в Департамент информационных технологий Москвы, но оперативного ответа не получила.

Нелишним, наверное, будет напомнить, что никаких гарантий мошенники не дают. Любой купивший поддельный QR-код может остаться у разбитого корыта — то есть у закрытой двери ресторана, а денег за фальшивку никто не вернет.