Hakeri masovno prodaju lažne covid-potvrde po Europi, ima ih i kod nas

KORONA Vijesti

LAŽNE covid-potvrde već su neko vrijeme u optjecaju u Hrvatskoj, ali i drugim europskim zemljama koje su ih uvele kao dokaz da je osoba stekla imunitet na covid-19 cijepljenjem ili prebolijevanjem, odnosno da je trenutno negativna na covid-19.

Posljednjih tjedana tako se zaredao čitav niz vijesti o otkrivenim krivotvorenim covid-potvrdama u Hrvatskoj i susjedstvu. Prošlog su tjedna zdravstvene vlasti Hercegbosanske županije, odnosno kantona, izvijestile da je više krivotvorenih covid-potvrda, uz lažne potpise i pečate iz te županije, otkriveno u Hrvatskoj i u drugim zemljama EU.

Prevare su otkrivene kada je Zavodu za javno zdravstvo Hercegbosanske županije (HBŽ) stigao zahtjev za provjerom iskaznice cijepljenja koju je poslala Služba za izdavanje EU covid-potvrda iz Zagreba. Nakon toga su dobili još nekoliko covid-iskaznica iz Hrvatske i zemalja EU za koje je provjerama utvrđeno da su lažne.

>> U Hrvatskoj otkrivene lažne covid-potvrde iz BiH. Liječnica: Nisam mogla vjerovati

Također, općinsko državno odvjetništvo u Splitu je od 1. lipnja do 1. rujna ove godine podiglo optužnice protiv sedam hrvatskih državljana, dvoje bosanskohercegovačkih i jednog nizozemskog državljanina zbog krivotvorenja covid-isprava.

Lažne potvrde prodaju se na dark webu za 300 eura
A ekipa RTL Potrage u ponedjeljak je objavila reportažu prema kojoj se krivotvorene covid-potvrde u Zagrebu prodaju za 300 do 500 eura, i to preko preko interneta, odnosno njegovog kriptiranog i manje dostupnog dijela poznatog kao dark web.

“Pitanje je što je stvarno, što nije. I na dark webu, kao što ljudi pokušavaju nešto lažno nabaviti, tako se daju i prevariti”, kazao je za RTL Alen Delić iz Hrvatske udruge menadžera sigurnosti. “Cijene su pale na 100 do 300 eura. To može upućivati na to da se ne radi o stvarnoj mogućnosti jer u lancu moraju namiriti puno ljudi za taj novac, a s druge strane može biti da je to stvar tržišta. Ako toga ima puno, cijene padaju.”

RTL piše kako su ovakve prevare zabilježene i u Belgiji i Makedoniji, među ostalim europskim zemljama. Delić napominje da, za razliku od slučajeva u drugim zemljama, u Hrvatskoj dosad nije primijećeno krivotvorenje samog potpisnog ključa na kojem se temelji kriptiranje ovih potvrda.

O ovom slučaju curenja, odnosno hakiranja potpisnog ključa za covid-potvrde, portal Schengenvisainfo.com pisao je još početkom studenog, izvještavajući da europske vlasti provode istragu o tome je li procurio dotični digitalni ključ kojim se zaključavaju i verificiraju kodovi covid-certifikata.
Hakeri su tada novinaru nizozemske televizije RTL, koji se raspitivao za kupnju lažne covid-potvrde, kao ogledne primjerke poslali QR kodove za potvrde za imaginarne likove poput Sponge Boba i Mickeyja Mousea, kao i za Adolfa Hitlera – a ti QR kodovi prolazili su u svim službenim aplikacijama zemalja članica EU. Iako im je diler potvrda priznao da može krivotvoriti potvrde samo za Poljsku i Francusku, zahvaljujući integriranom sustavu EU digitalnih covid-certifikata te potvrde vrijede u cijeloj Uniji.

“Ovo je zabrinjavajuće. Ako bi curenje bilo potvrđeno, to znači da se EU digitalni covid-certifikat može krivotvoriti za bilo koju osobu (u EU)”, naglasio je tviteraš po imenu Reversebrain, koji je objavio QR kod “Hitlerove” potvrde.

 

Europska komisija: Očito postoje osobe koje su zloupotrijebile vjerodajnice za pristup sustavu

Portal Threat Post, koji piše o cyber-sigurnosti, naveo je kako nije potpuno jasno znači li to da su digitalni ključevi za covid-potvrde u Poljskoj i Francuskoj na neki način kompromitirani ili ukradeni.

Europska komisija je na upit Threat Posta odgovorila da su, prema istrazi zemalja članica, potvrde očito generirale “osobe s valjanim vjerodajnicama za pristup nacionalnim IT sustavima ili osoba koja je zloupotrijebila takve valjane vjerodajnice”. Prema istrazi koju su provele vlasti u Francuskoj i Poljskoj, isključena je mogućnost da su sami kriptografski ključevi koji se koriste za potpisivanje certifikata kompromitirani, navodi Komisija:

“Prema dostupnim informacijama, kriptografski ključevi koji se koriste za potpisivanje certifikata nisu ugroženi. Ovaj incident uzrokovan je nezakonitom radnjom, a ne tehničkim kvarom. Zajedno s državama članicama, ponovno potvrđujemo naše puno povjerenje u sustav digitalnih EU covid-certifikata.”

Međutim, prema podacima QR kodova koje je vidio još jedan specijalizirani portal, BleepingComputer, lažni certifikati koji kruže internetom izdani su iz čitavog niza europskih zemalja – Francuske, Njemačke, Italije, Nizozemske, Sjeverne Makedonije, Poljske i tako dalje, što ukazuje da bi problem mogao jako utjecati na cijelu EU.


Ako su potpisni ključevi procurili, to bi moglo poništiti autentične potvrde

A Dirk Schrader, globalni potpredsjednik za sigurnosna istraživanja u New Net Technologies (NNT), upozorio je za Threat Post da bi najgori potencijalni ishod ove infiltracije u sustav covid-potvrda bio opoziv tog digitalnog ključa jer bi to moglo utjecati na 278 milijuna građana EU.

“Vrlo je zabrinjavajuće što su privatni ključevi navodno procurili ili prodani i aktivno se koriste za izradu krivotvorenih EU digitalnih putovnica. Ovo curenje bi zapravo moglo poništiti postojeće autentične digitalne putovnice EU, osim ako se provedu potpuna reakcija na incident i analiza temeljnog uzroka, koji bi mogli potencijalnu štetu svesti na najmanju moguću mjeru”, komentirao je i Joseph Carson, glavni sigurnosni znanstvenik u ThycoticCentrifyu, pružatelju sigurnosnih rješenja identiteta u oblaku iz Washingtona, za ovaj portal.

Talijanska policija još je preko ljeta uhitila niz osoba koje su nudile lažne covid-potvrde za 100 do 150 eura, piše ovaj portal. Deutsche Welle je pak u studenom izvijestio da je njemačka policija uhitila 12 osoba osumnjičenih za proizvodnju i prodaju krivotvorenih covid-potvrda, i to po cijeni do 400 eura, u velikoj policijskoj akciji na 23 lokacije u saveznoj državi Hessen i još 2 u Baden-Württembergu. Dvojica glavnih osumnjičenih optuženi su za rad s krivotvorenim QR kodovima i papirnatim dokumentima, a policija sumnja da su stotine osoba kupile lažne potvrde od njih.

Austrijska policija pronašla skoro 500 lažnih potvrda

To je očito bio rezultat rada posebnog njemačkog policijskog tima koji je formiran u lipnju za ovu svrhu, kako je tada izvijestio BBC. A prevara s certifikatima, koja se često odvija i na servisu za slanje poruka Telegram, uključuje i stvarnu prodaju lažnih certifikata i lažne ponude pri kojima mušterije plate, a na kraju zauzvrat ni ne dobiju lažnu potvrdu. Za plaćanje se često koriste kriptovalute poput bitcoina, baš kao na virtualnim crnim tržištima droge i oružja.

I austrijske vlasti izvijestile su krajem prošlog mjeseca da su od ožujka ove godine pronašle gotovo 500 lažnih covid-potvrda i “poduzele odgovarajuće kaznene radnje”, javlja Schengenvisainfo. Lažne covid-potvrde pronađene su i u Irskoj, a prodavao ih je osumnjičeni diler droge koji je, očito, u pandemiji pronašao novu kriminalnu nišu.

Hakerska skupina Chaos Computer Club (CCC) upozorila je zastupnike Bundestaga, još dok su raspravljali o uvođenju covid-putovnica, da postojeća zaštita od krivotvorenja enkripcijom neće moći spriječiti krivotvorenje pojedinačnih dokumenata. Matthias Marx iz CCC-a rekao je za Deutsche Welle da će se potražnja za lažnim putovnicama vjerojatno povećavati s postrožavanjem režima covid-potvrda.

 

Ovim sve ozbiljnijim problemom pozabavili su se i znanstvenici sa Sveučilišta Aalborg u Kopenhagenu, koji su na platformi za znanstvene radove arXiv krajem studenog objavili svoje istraživanje pod naslovom Certifikati o cijepljenju protiv covida-19 na dark webu.

Istraživanje otkrilo niz virtualnih tržnica i prodavača lažnih potvrda

“EU koristi digitalni certifikat u obliku QR koda koji je digitalno potpisan i koji se lako može potvrditi u svim zemljama EU. U ovom radu istražujemo trenutno stanje tržišta certifikata o cijepljenju protiv covida-19 na dark webu s naglaskom na EU digitalni zeleni certifikat (DGC). Istražujemo 17 (virtualnih) tržnica i 10 prodavača koji uključuju potvrde o cijepljenju u svojim oglasima. Naši rezultati sugeriraju da mnoštvo prodavača na obje vrste platformi oglašava prodajne sposobnosti. Prema njihovim tvrdnjama, moguće je kupiti lažne potvrde o cijepljenju izdane u većini zemalja svijeta”, navode ovi istraživači u sažetku svog znanstvenog rada koji, kao i mnoštvo drugih znanstvenih radova u ovoj pandemiji, još čeka stručnu recenziju i objavu u nekom znanstvenom časopisu.

“Pokazujemo neke primjere takvih prodavača, uključujući način na koji oglašavaju svoje sposobnosti i metode za koje tvrde da ih koriste za pružanje svojih usluga. Izdvajamo dva konkretna slučaja (virtualnih) trgovina, pri čemu jedna od njih pokazuje povišeni stupanj profesionalnosti, prikazujući krivotvorene važeće certifikate, čiju valjanost provjeravamo pomoću dvije različite nacionalne mobilne aplikacije za covid-19”, dodaje se u sažetku rada.

Štoviše, te su virtualne “tržnice” ili “štandovi” objavljivali fotografije lažnih covid-potvrda koje prodaju, s krivotvorenim QR kodovima i lažnim osobnim podacima. Istraživači su utvrdili da su neki prodavači vjerojatno prevaranti bez proizvoda, ali da drugi nude sofisticirane sustave plaćanja, kao što su escrow računi. U tom slučaju kupac plaća dogovorenu cijenu posredniku, koji novac daje prodavaču tek nakon što kupac primi robu.

Jesu li se hakeri domogli ključeva za kriptiranje covid-potvrda?

“Nakon što je plaćanje potvrđeno na tržnici, klijent mora dati svoje privatne podatke. To se razlikuje ovisno o zemlji u kojoj se potvrda izdaje i može uključivati puno ime, zemlju, adresu, broj socijalnog osiguranja, državu, poštanski broj i e-mail adresu. Takve informacije, ovisno o platformi, šalju se različitim metodama, a glavne su ProtonMail i funkcije slanja poruka same platforme… Sve te informacije zatim koriste prodavači za izradu važećeg certifikata za covid-19”, pišu istraživači, koji također spominju mogućnost da su hakeri uspjeli ukrasti potpisne ključeve.

“Uspjeli smo otkriti niz certifikata koje smo mogli provjeriti, što povlači pitanje imaju li zlonamjerni pojedinci pristup državnim sustavima kojima mogu manipulirati po svojoj volji i jesu li ključevi nacionalnih zdravstvenih organizacija procurili”, zaključuju istraživači.

Na kraju su izrazili nadu da će njihov rad “podići svijest o situaciji, motivirajući nadležna tijela da dodatno istraže sigurnost trenutnih sustava izdavanja certifikata”.