新冠疫苗接种证书正在暗网上非法出售。这是调查了卖家如何在线提供伪造疫苗证书的一群网络安全专家的结论。
研究人员甚至使用各国的新冠疫苗应用程序验证了伪造的证书。这增加了伪造者可能已经访问了医疗系统用于保证欧洲及世界各地疫苗证书真实性的私钥的可能性。
首先,一些背景信息。至少理论上,数字疫苗证书应该难以伪造。例如,欧盟国家颁发的证书由数字认证流程保证。
这是通过使用只有卫生部门能够访问的私钥加密信息来实现的。然后,这些信息会被编码到可以被扫描的二维码中,供各国的新冠应用程序扫描。在此过程中,使用任何希望核查证书的组织都可以获取到的公钥来解密信息。
这就是证书的真实性被验证的方式。只要私钥是保密的,这些证书就应该几乎不可能被伪造。
暗网搜索
现在,丹麦奥尔堡大学网络安全小组的 Dimitrios Georgoulias 及其同事表示,伪造的证书可以在暗网上公开获得,暗网是互联网中不被传统搜索引擎索引、只能通过特殊浏览器访问的部分。该团队甚至验证了证书的有效性。
Georgoulias 及其同事使用暗网搜索引擎、论坛和入口点,找到了 17 个市场和 10 个在线卖家,他们声称正在出售有效的疫苗接种证书——包括实体和数字版本——涵盖从美国、英国到许多欧盟国家的各类证书。研究人员表示:“几乎可以购买到在世界大多数国家签发的假疫苗接种证书。”
他们调查了其中几个销售点,发现一个卖家表现出对疫苗证书创建方式的深刻理解,并提供了看似有效但实际上是伪造的证书。网站展示了伪造证书的图片,包括二维码,研究人员得以对其进行验证。其中一些证书还配有匹配的假身份证。
与暗网上的大多数商品一样,证书必须用比特币等加密货币支付,这使得卖家能够保持一定的匿名性。Georgoulias 及其同事表示:“不同列表的价格差异很大,最便宜的证书起价为 39 美元,最高的价格接近 2,800 美元,其中包括了在英国注册的实体和数字证书。”
研究人员表示,一些卖家表现出是骗子的迹象,没有实际产品。然而,其他卖家则提供复杂的支付系统,例如托管账户。在这种情况下,买家将费用支付给中间人,中间人只有在买家收到货物后才会将款项释放给卖家。
被盗证书
另一种方法是卖家提供被盗证书。在这些情况下,二维码指向真实的人,团队试图找到这些人。在一个案例中,团队联系了相关人员。他们报告说:“在解释了我们的发现的背景后,该所有者告知我们,他们出于专业原因公开展示了该证书。”
该团队报告了一个特别复杂的卖家。Georgoulias 及其同事表示:“在整个证书交易市场中,有一个特别突出的例子。” 该网站广告宣传出售伪造的欧洲证书,使用买家选择的疫苗,并附带虚假身份。
其中大部分证书似乎是在意大利签发的。进一步调查显示,通过国家新冠应用程序检查时,这些证书似乎是有效的。
这令人担忧,因为它意味着卖家可以访问私钥,而私钥本应保证证书的真实性。研究人员总结道:“我们设法发现了一些我们能够验证的证书,这引发了恶意个人能够访问他们可以随意操纵的政府系统,或者国家卫生组织的密钥已经泄露的问题。”
这是一个值得进一步调查的发现。
参考:暗网上新冠疫苗证书:arxiv.org/abs/2111.12472
