Valse CoronaCheck-apps in omloop die altijd groen vinkje geven

Groen vinkje of geldig coronatoegangsbewijs in CoronaCheck-app

Er zijn twee malafide CoronaCheck-apps in omloop die QR-codes van gebruikers doorsturen naar een externe server. De ene app kopieert legitieme QR-codes van gebruikers, zodat mensen zonder coronatoegangsbewijs bij locaties naar binnen kunnen waar zo’n bewijs nodig is. De andere app is voor ondernemers en levert een groen vinkje op bij iedere QR-code die hiermee gescand wordt. Wie toegang heeft tot de codes en wat er vervolgens mee gebeurt, is onbekend.

Dat schrijft de NOS op basis van eigen onderzoek. Het medium werd getipt door een anonieme gebruiker, waarna de redactie in de broncode van de webversie van de malafide CoronaCheck-apps dook.

Groene vinkjes

Uit analyse van de broncode blijkt dat de QR-codes die met de apps gescand worden op een externe server belanden. Waar deze server staat en wie deze beheert is onduidelijk. Wat er precies met de verzamelde codes gebeurt is eveneens onbekend.

Waar de verzamelde QR-codes voor gebruikt kunnen worden, is wel duidelijk. De ene nagemaakte CoronaCheck-app is bedacht voor mensen die zich niet willen laten inenten. Met deze app kunnen ze de code van iemand kopiëren die gevaccineerd, getest of genezen is. Door deze code in de nagemaakte CoronaCheck-app te laden, krijgen ze toegang tot locaties waar een coronatoegangsbewijs nodig is. Bij het scannen van die code wordt op de achtergrond een kopietje verstuurd.

De andere nepapplicatie is ontwikkeld voor ondernemers die zogenaamd ‘niet willen discrimineren’ aan de deur. Hiermee scannen ze een QR-code, die in praktijk altijd een groen vinkje oplevert. Mensen zonder toegangsbewijs of met QR-code die verlopen is, kunnen zonder problemen doorlopen.

QR-code op naam

Bij beide malafide applicaties worden QR-codes doorgestuurd naar een externe server. Dit is overigens niet nodig, omdat de codes lokaal (op de smartphone van de gebruiker) worden opgeslagen. Hoeveel QR-codes er zijn doorgestuurd en of er daadwerkelijk gebruik wordt gemaakt van de apps, is onbekend.

Wel hintte de maker van de apps op een nieuwe functie: een QR-code op naam zetten. Als je een QR-code toont bij een locatie waar een toegangsbewijs vereist is, moet degene die controleert eigenlijk ook informeren naar de eerste letter van de voor- en achternaam en een deel van de geboortedatum. In praktijk gebeurt dat echter zelden. Met deze nieuwe functie kunnen gebruikers deze extra controle omzeilen.

‘Fake news’

De NOS probeerde donderdag contact op te nemen met de ontwikkelaar van de app, maar hij was niet bereikbaar voor commentaar. Toen de redactie een reactie probeerde te krijgen via het Telegram-kanaal waarmee de apps worden verspreid, werd ze uit de groep verbannen. De beheerder van het kanaal noemde de bevindingen van de NOS ‘fake news’. “Pure framing en trap er niet in”, zo verklaarde de beheerder.

Een woordvoerder van het ministerie van Volksgezondheid, Welzijn en Sport laat er geen misverstand over bestaan: wat de maker van de apps doet is strafbaar. “We hebben eerder aangifte gedaan en onderzoeken of we dat opnieuw moeten doen”, vertelt hij tegenover de NOS.

Frauderende medewerkers, artsen en website

Het is niet de eerste keer dat er gesjoemeld wordt met QR-codes. In september zette GGD GHOR, de koepelorganisatie van alle 25 GGD-afdelingen, een aantal medewerkers op non-actief. Er waren aanwijzingen dat wij gefraudeerd hadden door vaccinatiebewijzen te verkopen aan mensen die helemaal niet gevaccineerd waren tegen het coronavirus.

“Wij tolereren niet dat medewerkers hun werkzaamheden bij de GGD’en of in het landelijk callcenter misbruiken voor het plegen van fraude”, aldus een woordvoerder. De GGD deed aangifte bij de politie, die snel daarna een 20-jarige verdachte uit Alphen aan den Rijn arresteerde.

In oktober startte de Inspectie Gezondheidszorg en Jeugd een onderzoek naar diverse artsen. Net als de GGD-medewerkers werden zij verdacht van fraude met coronatoegangsbewijzen. Naar verluidt verkochten zij voor enkele honderden euro’s per stuk deze toegangsbewijzen aan mensen zonder geldige QR-code. Het enige dat de inspectie hierover kwijt wilde, was dat het om “minder dan vijf artsen” ging.

Diezelfde maand deed het ministerie van Volksgezondheid aangifte tegen een website die valse toegangsbewijzen verkocht. De site maakte valse QR-codes aan in een nagemaakte CoronaCheck-app. Naast een werkende QR-code werden ook de initialen en de geboortemaand en -dag vermeld, voor het geval dat een horecaondernemer er naar vroeg. De kans om door de mand te vallen was hierdoor klein.

Techredacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. Meer over Anton.
Plaats een reactie
Een reactie plaatsen