L’introduzione del tanto desiderato qr code per poter entrare in molti negozi e anche per muoversi in totale sicurezza ha dato ai criminali digitali un nuovo mercato da esplorare. e ce n’è per tutti i gusti con tanto di garanzia di poter superare la app VerificaC19.
Greenpass in vendita ! «Gli unici in Italia ed Europa ad offrire questo servizio! Sii la protesta non parte del branco». https://t.me/greenpassitalia
L’introduzione del Green pass ha portato con sé una scia di polemiche non indifferenti. Dalla schiera no vax a chi ne fa una questione di diritti. Ma a lato delle questioni della scena politica e “di piazza”, questo documento digitale ha anche attivato – come di consueto – la schiera di truffatori e Criminal Hacker pronti a soddisfare le “necessità” di chi vuole ottenere il Green pass senza vaccinazione o tampone rapido. Infatti, da qualche giorno, è in corso un’apparente truffa informatica che prende luogo su Telegram proprio con questo tema.
Green Pass via Telegram
Il Security Operation Center di Swascan ha rintracciato un gruppo di criminali su Telegram, che con lo pseudonimo di @maurogp e di @VeronicaGreenPass – che stanno apparentemente vendendo migliaia di green pass falsi per consentire ai non vaccinati e a chi non avesse fatto il tampone nelle ultime 48 ore di evitare le restrizioni che entreranno in vigore dal prossimo 6 agosto.
Secondo @maurogp il numero di green Pass venduti dall’inizio della sua attività sono oltre 2000: con un prezzo che oscilla tra i 100€ e i 120€ a certificato, il guadagno stimato è di oltre 200mila euro in pochi giorni.
Come usufruire di questo “servizio” (apparso come vero e proprio annuncio pubblicitario su Telegram)?
I truffatori sostengono che l’unica cosa di cui si ha bisogno al fine di ottenere il fake GreenPass sia una tessera sanitaria e un documento ancora in corso di validità. Da lì si può scegliere se ricevere il GreenPass cartaceo o digitale; nel primo caso si dovrà fornire ovviamente un indirizzo dove poter spedire il documento falso mentre nel secondo caso è sufficiente un indirizzo mail o un numero di telefono.
Secondo l’annuncio, il GreenPass verrà rilasciato entro 48/72 ore ed i prezzi variano dai 100€ per il digitale ai 120€ per il cartaceo; non mancano ovviamente le offerte famiglia: per 4 GreenPass, il prezzo scenderebbe a 300€ per il digitale e 350€ per il cartaceo mentre se si è in 6, i prezzi scendono ancora a 450€ per il digitale e 500€ per il cartaceo.
Le modalità di pagamento sono ovviamente le crypto valute: è possibile pagare in BitCoin, Moneros Ethereum e USDT. C’è anche la possibilità, inoltre, di pagare in buoni Amazon o Zalando.
Monitorando l’indirizzo BTC (Bitcoin) indicato nella chat Telegram, sembrerebbe essere presente (attualmente) un saldo di appena 7.000USD:
Indirizzo BTC: 1NvsJp7n8frjeMysv4PHwwpZfcHpD3BtYE
È possibile comunque che l’indirizzo BTC indicato nel post Telegram venga modificato periodicamente, così da non permettere il monitoraggio sulle cifre “reali” raccolte dagli attaccanti. Oltre ai BTC, vengono utilizzate anche altre cryptovalute come Monero, USDT ed Ethereum:
Monero: 44ZiZ8WG9vqbRFVqQgRxTwGVupJ8CL4Ra1xBZnPKCxCjKWeaZLFZzfoPzmfnSzWEv5GDxucxZr248QD4ouMmxpKwUMy3e8
EETH: 0x5760B3568E9cB489e0Cd3aaCeE9bF21555D3C34c
Secondo i truffatori, i documenti emessi sono reali e rilasciati da enti preposti: la “promessa” è che i loro clienti verranno registrati all’interno del sistema sanitario e risulterebbero quindi regolarmente vaccinati. Il GreenPass rilasciato dai truffatori avrebbe una durata che varia dai 6 ai 9 mesi e secondo quanto dichiarato nel canale Telegram non c’è rischio di essere scoperti o incappare in denunce sottolineando come i documenti emessi siano “reali” e pertanto muniti di QR code attivo e scansionabile. Inoltre, sembrerebbe che, come nel caso di un “vero” GreenPass, il documento rilasciato sarà possibile visualizzarlo tramite l’app Immuni o AppIO.
Nel peggiore dei casi, si tratta di un vero e proprio modello di business che punta a lucrare ancora una volta sulla pandemia, concedendo quindi il diritto, a chiunque voglia, di diventare un potenziale veicolo di trasmissione del virus. Certo, ipotesi peggiore. In fondo si tratta di Telegram e – come era stato in passato per i vaccini – gran parte di questi annunci si rivelano essere vere e proprie truffe senza alcun “ritorno” per cui acquista.
Ma come viene generato il QR Code?Anzitutto viene creato un documento in JSON (un linguaggio di programmazione web) con le informazioni relative al soggetto (Nome, Cognome, Data di Nascita, Codice Fiscale) e al vaccino (numero di dosi fatte, lotto del vaccino, tipo di vaccino, data di vaccinazione, …).Tale documento viene poi compilato ed in seguito “firmato” attraverso l’utilizzo di una chiave privata del Ministero della Salute. L’ultimo step è la compressione e la generazione di un QR Code: chiunque abbia la chiave pubblica può quindi verificarne l’autenticità della firma decodificandone la firma.
Le informazioni contenute nel QR Code sono “in chiaro” e relative al soggetto ed al vaccino:I dettagli dei dati presenti all’interno del QRCode sono evidenziati nel Green Pass Schema (https://ec.europa.eu/health/sites/default/files/eh…) e sono i seguenti:
· Data di nascita · Cognome · Codice Fiscale · Nome · ID Certificato · Paese di vaccinazione · Numero dosi effettuate · Data di vaccinazione · Emittente certificato · Azienda produttrice vaccino · Product ID vaccino · Numero totali di dosi (da effettuare)· Malattie a cui si è soggetti · Vaccino o Profilassi · JSON Schema Version · Emittente QR Code · Scadenza QR Code · Data Rilascio QR Code
(fonte: https://github.com/ehn-dcc-development/hcert-spec )
Come fanno i truffatori a generare Green Pass autentici?
Esistono due possibilità: o i truffatori sono in possesso della chiave privata del Ministero della Salute, cosa alquanto improbabile, oppure i truffatori riescono a inserire, all’interno della “Banca dati” iniziale, le informazioni relative al soggetto “pagante” (e mai vaccinato) così da avviare il processo (lecito) di creazione del Green Pass.Ovviamente entrambe le possibilità rimangono nel campo delle ipotesi. Perché ripetiamo: nella maggior parte dei casi questi annunci sono semplici truffe senza alcun ritorno.In ogni modo, gli step effettuati dalle persone che si celano dietro @maurogp potrebbero essere i seguenti:
1. Richiesta dei documenti (Tessera Sanitaria e documento di riconoscimento – o patente – in corso di validità) della persona che desidera un Green Pass e invio di tali documenti all’Insider Threat
2. Inserimento dei dati del richiedente nel sistema sanitario nazionale in modo tale da certificare l’avvenuta vaccinazione (mediante medici compiacenti)
3. Invio di SMS o e-mail di conferma, al soggetto interessato, relativo alla creazione del certificato Green pass.
Abbiamo provato a contattare il venditore/truffatore su Telegram cercando di avere maggiori informazioni sulla genuinità del Green pass emesso. Queste le sue risposte:
Il venditore, naturalmente sostiene la “bontà” del suo prodotto, senza offrire garanzie concrete.Il Soc Team di Swascan attraverso i sistemi di Threat Intelligence ha identificato un altro gruppo (@greenpassitalialiberi) collegato al canale @greenpassitalia: in tale gruppo @VeronicaGreenPass risulta essere amministratrice:
Nella descrizione del gruppo Telegram è presente il link al canale dove sono in vendita i Green Pass “fasulli”, a conferma del collegamento tra il gruppo ed il canale. Leggendo i numerosi commenti abbiamo notato come, durante una conversazione, Veronica ammetta che effettivamente dietro la creazione di questi Green Pass ci siano “medici compiacenti, pure di un certo livello”:
In uno dei tanti commenti, @VeronicaGreenPass citi il gruppo Telegram @greenpassitalia amministrato da @maurogp:
Il dato certo è che chi acquisti i Green Pass sul canale Telegram, senza aver effettuato la vaccinazione, sta commettendo un reato ed è penalmente perseguibile. Non è escluso che le attività preposte al monitoraggio riescano a risalire a tutti coloro i quali abbiano ottenuto il Greenpass illecitamente.
Aldilà della giustizia ordinaria, andrebbe evidenziato anche come una simile attività, qualora si rivelasse veritiera, possa avere delle conseguenze drammatiche sulla collettività, mettendo a rischio la vita di quelle persone più fragili che, magari per motivi di salute, non possano vaccinarsi: l’esposizione con persone dichiarate “vaccinate” ma in realtà potenzialmente infette, potrebbe portare tragiche conseguenze.
L’App è sicura?
Ma a destare preoccupazione non è solo la possibilità che i Criminal Hacker stiano sfruttando l’esca del Green pass per estorcere denaro. Alcuni approfondimenti dell’Offensive team di Swascan hanno evidenziato come l’app utilizzata per il Green pass potrebbe non essere a prova di criminale informatico. Nello specifico:
· È possibile decompilare l’applicazione e leggerne tutto il codice sorgente ed eventualmente modificarlo;
· Per la verifica del green pass, l’app funziona anche OFFLINE verificando una firma digitale. Un Criminal Hacker potrebbe modificare l’app per accettare persone specifiche oppure tutti i QR-code;
· I dati forniti nel QR-code sono molti di più di quelli necessari alla verifica della validità del pass. Praticamente sono tutti i dati riportati sul cartaceo. Un actor potrebbe modificare l’app e raccogliere informazioni dettagliate su tamponi, dati sui vaccini, ecc… delle persone che vengono scansionate attraverso quel device.
· Le informazioni nel QR-code di cui sopra sono solo codificate e non cifrate. Possono essere lette da qualsiasi lettore QR-code e da uno script per decodificarle (in pratica sono in chiaro).
- Data di nascita
- 1.Richiesta dei documenti (Tessera Sanitaria e documento di riconoscimento – o patente – in corso di validità) della persona che desidera un Green Pass e invio di tali documenti all’Insider Threat
- È possibile decompilare l’applicazione e leggerne tutto il codice sorgente ed eventualmente modificarlo;
- Per la verifica del green pass, l’app funziona anche OFFLINE verificando una firma digitale. Un Criminal Hacker potrebbe modificare l’app per accettare persone specifiche oppure tutti i QR-code;
- I dati forniti nel QR-code sono molti di più di quelli necessari alla verifica della validità del pass. Praticamente sono tutti i dati riportati sul cartaceo. Un actor potrebbe modificare l’app e raccogliere informazioni dettagliate su tamponi, dati sui vaccini, ecc… delle persone che vengono scansionate attraverso quel device.
- Le informazioni nel QR-code di cui sopra sono solo codificate e non cifrate. Possono essere lette da qualsiasi lettore QR-code e da uno script per decodificarle (in pratica sono in chiaro).
- 1.Richiesta dei documenti (Tessera Sanitaria e documento di riconoscimento – o patente – in corso di validità) della persona che desidera un Green Pass e invio di tali documenti all’Insider Threat
- Data di nascita
- 1.Richiesta dei documenti (Tessera Sanitaria e documento di riconoscimento – o patente – in corso di validità) della persona che desidera un Green Pass e invio di tali documenti all’Insider Threat
- È possibile decompilare l’applicazione e leggerne tutto il codice sorgente ed eventualmente modificarlo;
- Per la verifica del green pass, l’app funziona anche OFFLINE verificando una firma digitale. Un Criminal Hacker potrebbe modificare l’app per accettare persone specifiche oppure tutti i QR-code;
- I dati forniti nel QR-code sono molti di più di quelli necessari alla verifica della validità del pass. Praticamente sono tutti i dati riportati sul cartaceo. Un actor potrebbe modificare l’app e raccogliere informazioni dettagliate su tamponi, dati sui vaccini, ecc… delle persone che vengono scansionate attraverso quel device.
- Le informazioni nel QR-code di cui sopra sono solo codificate e non cifrate. Possono essere lette da qualsiasi lettore QR-code e da uno script per decodificarle (in pratica sono in chiaro).
- 1.Richiesta dei documenti (Tessera Sanitaria e documento di riconoscimento – o patente – in corso di validità) della persona che desidera un Green Pass e invio di tali documenti all’Insider Threat