Onbekende oplichters verkopen Green Passes (certificaten die nodig zijn om te reizen en toegang te krijgen tot veel openbare plaatsen en evenementen binnen de Europese Unie) op hackerfora en op Telegram-kanalen. Om hun capaciteiten te demonstreren en potentiële klanten aan te trekken, creëerden ze een Green Pass die werd uitgegeven op naam van Adolf Hitler. Het meest verontrustend was misschien nog wel dat de QR-code door de app als geldig werd beschouwd. Dit roept een aantal vragen op, die wij in dit bericht zullen proberen te beantwoorden.
Wat is een Green Pass?
De Green Pass is een certificaat dat bevestigt dat de eigenaar ofwel gevaccineerd is, recentelijk hersteld is van COVID-19, of niet meer dan 48 (voor sneltest) of 72 (voor PCR) uur geleden een negatief testresultaat heeft ontvangen. Het certificaat bevat een QR-code die met een applicatie kan worden gevalideerd. De Green Pass is een standaarddocument in de landen van de Europese Unie en enkele andere landen – in Israël (waar hij oorspronkelijk werd ontwikkeld), Turkije, IJsland, Oekraïne, Zwitserland, Noorwegen, en enkele andere landen.
Normaal gesproken zijn het medische instellingen die de Green Pass-certificaten uitgeven. Afhankelijk van het land kan een Green Pass verplicht zijn om te reizen; om bars, restaurants, musea en openbare evenementen te bezoeken; in onderwijsinstellingen; en zelfs voor werk. De Green Pass bestaat ook in papieren vorm, maar meestal is het een applicatie die een QR-code weergeeft om het certificaat te verifiëren.
Hoe aanvallers nepcertificaten kunnen maken
Sommige louche handelaars op het internet en Telegram-kanalen in het bijzonder verkopen vervalste Green Pass-certificaten die kennelijk zijn afgegeven door gezondheidsdiensten in Polen of Frankrijk. Verschillende theorieën leggen uit hoe dit kon gebeuren. Volgens één daarvan, zijn criminelen op een of andere manier aan een geheime cryptografische sleutel gekomen waarmee ze dergelijke certificaten kunnen uitgeven. Als dat het geval is, zullen de legitieme Green Pass-certificaten waarschijnlijk opnieuw moeten worden uitgegeven.
Volgens een andere theorie hebben de verkopers handlangers in de gezondheidszorg van Frankrijk en Polen. In dat geval zal het opnieuw uitgeven van de cryptografische sleutel waarschijnlijk niet helpen – de wetshandhavingsinstanties zullen de insiders moeten vinden.
Bijgewerkt op 2 november 2021: Volgens de laatste informatie van vertegenwoordigers van de Europese Commissie werd het incident niet veroorzaakt door een cryptografisch probleem met het genereren van de certificaten, of met de opslag van de ondertekeningssleutels. Hoogstwaarschijnlijk hebben “personen met geldige legitimatie om toegang te krijgen tot de nationale IT-systemen, of personen die misbruik maken van dergelijke geldige legitimatie,” de valse certificaten aangemaakt.
Loopt het volledige Green Pass-systeem gevaar?
Voorlopig blijven de Green Passes die de meeste EU-landen afgeven even legitiem als voorheen. Alleen de certificaten die in Polen en Frankrijk zijn uitgegeven zijn verdacht.
Zullen de Green Pass-certificaten die in Polen en Frankrijk zijn uitgegeven worden ingetrokken?
EU-autoriteiten zijn nog bezig met het doen van onderzoek. In het ergste geval zullen Polen en Frankrijk opnieuw certificaten moeten afgeven, maar niet noodzakelijk allemaal. Als de boosdoeners de datum van uitgifte niet kunnen manipuleren, dan zal slechts een deel vervangen moeten worden.
Kunt u een neppe Green Pass kopen?
Niets staat u in de weg om uw geld uit te geven. Het bezoeken van EU-landen met een vals certificaat is echter geen goed idee. Ten eerste zullen de valse certificaten worden ingetrokken, en hoewel u hoogstwaarschijnlijk alleen wat geld zou verliezen, is het ook mogelijk dat kopers ervan door de wetshandhavingsinstanties op dezelfde wijze worden gepakt als de vervalsers zelf. Met een valse Green Pass maakt u een goede kans op een lang gesprek met Europese wetshandhavers.
Wij hebben redenen om aan te nemen dat dit nog lang niet de laatste fraude is met het Green Pass-systeem. Er zullen waarschijnlijk vrij snel verschillende nieuwe scams verschijnen. Dit incident zal echter ook meer aandacht trekken van de rechtshandhavingsinstanties. Om die en andere redenen raden wij aan alleen bij een officiële Europese medische instelling een Green Pass aan te vragen.