Как используют мошенники QR‑коды? Они создают поддельные сайты, которые выглядят как официальные ресурсы известных брендов или компаний. На них размещают QR-коды, ведущие на вредоносные страницы или предлагающие скачать файлы, содержащие вирусы.
Что еще? Также реклама с использованием QR-кодов может содержать информацию о скидках, акциях или специальных предложениях, которые на самом деле ими не являются. Под мошенническим штрихкодом часто скрывается согласие на списывание денег.
Что такое QR‑коды
Они представляют собой усовершенствованную версию привычных штрихкодов, которые можно увидеть, например, на товарах в магазинах. Они состоят из черных и белых квадратов, расположенных в определенном порядке. Несмотря на кажущуюся хаотичность, камера смартфона распознает их как двоичный код — последовательность нулей и единиц. Затем информация преобразуется в понятные данные, такие как ссылка на сайт или текст.
QR-коды можно использовать для различных целей:
- перехода на веб-ресурсы;
- подключения к Wi-Fi;
- считывания текстовой информации;
- звонков или отправки сообщений по зашифрованному номеру;
- определения местоположения.
После ограничения доступа к Apple Pay и Google Pay в России такие коды стали активно внедряться в сфере денежных переводов. Этот способ удобен, так как позволяет оплачивать покупки без использования банковской карты.
Механизм работы прост. На кассе магазина клиент сканирует QR-код, в котором зашифрованы реквизиты компании для перевода средств. Банк, где обслуживается фирма, подключен к Системе быстрых платежей (СБП). После сканирования код автоматически передает данные о счете и сумме в банковское приложение. Пользователю остается лишь подтвердить операцию, и деньги отправляются получателю. При этом вводить номер карты, срок ее действия, CVV и другую конфиденциальную информацию не требуется.
По данным ЦБ РФ, каждый третий житель страны активно пользуется QR-кодами для оплаты. Несмотря на высокую степень безопасности технологии, в ней есть уязвимости. Злоумышленники могут закодировать фишинговые сайты, подставные реквизиты, чаты, используемые для обмана.
Суть мошенничества с QR‑кодами
Схема начинается с классического звонка, где злоумышленники представляются сотрудниками службы безопасности банка. Они сообщают жертве о якобы зафиксированной попытке несанкционированного снятия средств. Однако в отличие от других мошеннических схем, здесь преступники не требуют сообщить данные карты, коды из SMS или доступ к личному кабинету мобильного банка. Вместо этого они убеждают, что проблему можно решить с помощью QR-кода, сгенерированного в его приложении.
Источник: marielle ursua/ unsplash.com
Несколько лет назад в ряде банков появилась возможность снимать деньги без использования карты, а только по QR-коду. Процесс выглядит так: владелец счета создает в мобильном ПО банка код на определенную сумму. Он передается другому человеку, который может сканировать его для снятия денег в банкомате. Для завершения операции нужна аутентификация через мобильное приложение владельца. Эта технология была разработана для того, чтобы держатель мог передать код доверенному лицу, не рискуя безопасностью своей карты. При этом сам пластик не считается скомпрометированным.
Злоумышленники активно эксплуатируют низкую информированность граждан о работе QR-кодов в онлайн-банкинге. Они убеждают жертв переслать сгенерированный узор под предлогом защиты средств. Получив QR-код, мошенники снимают наличные со счета жертвы.
Важно помнить, что QR-код, созданный в мобильном банке, приравнивается к персональным данным владельца счета. Центробанк РФ подчеркивает: он является распоряжением на выдачу средств. Если клиент добровольно передал код третьему лицу, банк будет считать это согласием на проведение операции. В таких случаях возврат украденных средств невозможен.
Способы мошенничества с QR‑кодами
Снятие денег мошенниками через QR-код в банкомате
Эти узоры в квадрате позволяют снимать наличные через банкоматы. Для этого в ПО формируется код, который можно даже сохранить в виде скриншота, чтобы использовать позже.
Схема обмана. Мошенники представляются сотрудниками банка и сообщают, что на имя клиента пытаются оформить кредит. Они убеждают, что отменить это действие можно немедленно, если сгенерировать QR-код в мобильном ПО и отправить его скриншот. На деле злоумышленники вводят жертву в заблуждение, утверждая, что код необходим для «защиты средств». Получив изображение, они без дополнительных подтверждений снимают деньги со счета клиента.
Меры защиты. Не доверяйте звонкам от людей, представляющихся сотрудниками, даже если номер телефона совпадает с официальным номером банка, а речь часто кажется убедительной.
Источник: marielle ursua / unsplash.com
Остерегайтесь ситуаций, когда вас торопят принять решение. Это типичная тактика мошенников, направленная на создание паники. Не предпринимайте никаких действий под давлением.
Прекратите разговор и перезвоните в банк самостоятельно, используя номер телефона с официального сайта или из приложения. Настоящие сотрудники всегда поддержат вашу осторожность и спокойно продолжат разговор.
Привлечение в мошеннические чаты через QR-коды
Эти узоры в квадрате можно встретить на разных рекламных материалах, таких как объявления, афиши и листовки. Это удобно — отсканировав код, можно быстро перейти на сайт, не набирая ссылку вручную. Но важно быть осторожными, так как не каждый из них является безопасным.
Схема обмана. Злоумышленники часто размещают объявления, раздают листовки или рисуют граффити с обещаниями помощи в оформлении пособий, поиске работы с высокой зарплатой или списании долгов. Там говорится, что подробности можно узнать, отсканировав QR-код, который перенаправит вас в чат-бот в мессенджере. А здесь мошенники запрашивают личные данные, которые могут использовать для кражи денег с вашего счета. Это может быть как информация о банковской карте, так и данные для доступа к вашим аккаунтам.
Методы защиты. Не сканируйте QR-коды на сомнительных объявлениях или незнакомых сайтах. Если вы уже перешли по такому на веб-ресурс, не вводите личные или финансовые данные и не соглашайтесь на скачивание файлов с таких источников. Еще более эффективный способ защиты — установка специального приложения, которое будет предупреждать вас о возможных угрозах и вредоносных ссылках. Подойдут бесплатные SecScanQR, QR Scanner или QR & Barcode Scanner.
Замена мошенниками QR-кодов в кафе и ресторанах
В условиях пандемии многие заведения общественного питания заменили традиционные бумажные меню на электронные версии. Они доступны через QR-коды. Обычно это наклейка с кодом, которую размещают прямо на столе. Сканируя его, клиент получает доступ к меню или иной информации. Но такая система может стать инструментом мошенников.
Способ обмана. Мошенники могут незаметно подменить QR-код на наклейке с меню или для перевода чаевых, поместив свой поверх оригинального. Вместо того чтобы перейти на меню заведения или перевести чаевые официанту, клиент может попасть на фишинговый сайт, где его личные данные или средства окажутся в руках злоумышленников. Иногда такие подмененные коды ведут на сайты с вредоносным ПО или на чаты, где мошенники собирают информацию.
Источник: mitya ivanov / unsplash.com
Меры защиты. Прежде чем сканировать QR-код, всегда проверяйте, не наклеен ли поверх оригинального сторонний. Если собираетесь оставить чаевые, убедитесь, что по ссылке указано правильное название банка или сервиса, используемого рестораном. Обратите внимание, что фальшивые линки могут очень сильно напоминать настоящие. Кроме того, для дополнительной безопасности проверьте, начинается ли ссылка с «https://» — это гарантирует защищенное соединение и минимизирует риск кражи данных или денежных средств.
Распространение фальшивых приложений мошенниками через QR-коды
Эти узоры в квадрате часто используются для удобного скачивания ПО или файлов. Но не все такие приложения безопасны. Злоумышленники могут скрыть опасные программы за красивыми внешними признаками и заманить пользователей на поддельные платформы.
Схема обмана. Мошенники создают фальшивые приложения, имитирующие дизайн и функционал популярных сервисов (банковское ПО, сайты объявлений или государственные порталы), размещают QR-коды на ложных веб-страницах, афишах, рекламных листовках. При сканировании скачивается поддельное приложение. Введенные в нем личные данные, включая информацию о банковских счетах, могут быть украдены.
Способ защиты. Скачивайте ПО только из официальных магазинов — App Store или Google Play. Если вы хотите установить программу через QR‑код, обязательно убедитесь, что он ведет на проверенный сайт или приложение.
Другие технологии, которые используют мошенники
Еще одной популярной у них методикой является NFC (Near Field Communication). Она позволяет передавать данные между устройствами на близком расстоянии без подключения к интернету. Эта технология активно применяется в различных сферах: от бесконтактных платежей и оплаты проезда до управления умным домом или загрузки контента в самолете.
Принцип работы NFC. Если у вас есть смартфон, планшет или умные часы, скорее всего, в них встроен NFC-модуль. Он обеспечивает передачу платежных данных в зашифрованном виде при оплате товаров и услуг, что делает его удобным и безопасным способом совершения транзакций.
Схема обмана. Мошенники используют уязвимость клиентов в стрессовых ситуациях. Они звонят и сообщают, что с карты пытаются украсть деньги, убеждая перевести средства на «безопасный» счет. Для этого просят предоставить личные данные (номер карты, пароль, код из СМС).
Источник: the blowup / unsplash.com
Когда мошенникам удается получить доступ к вашему личному кабинету, они могут оформить дополнительную виртуальную карту и использовать полученные данные для перевода средств. Чтобы обналичить деньги, преступники используют банкоматы, которые поддерживают NFC, считывая информацию с устройства мошенника, вводят ПИН‑код и снимают все, что могут.
Существует еще один тип мошенничества. В нем злоумышленники не просят предоставить конфиденциальные данные карты. Сначала они звонят жертве, представляясь сотрудниками банка, и утверждают, что с ее карты пытаются снять деньги. Затем они сообщают реквизиты своего пластика, представляя его как «безопасный» счет, который надо привязать к смартфону через систему для бесконтактных платежей.
После этого мошенники дают адрес банкомата с NFC-считывателем и просят приложить сначала карту, а затем смартфон. Жертва считает, что она переводит деньги на свой «защищенный» счет, связанный с ее устройством. Однако, поскольку данные пластиковой карты находится у мошенников, они могут снять с нее всю сумму.
Меры предосторожности. Не доверяйте звонящим, даже если они представляются сотрудниками банка, говорят убедительно, используют ваше имя, обладают личной информацией. Не сообщайте свои данные и не выполняйте никаких действий по просьбе собеседника. В случае сомнений лучше прекратить разговор и самостоятельно перезвонить в банк.
Как уберечься от мошенников
Если вам поступил звонок «от банка», лучше всего не продолжать разговор и сразу положить трубку. Для дополнительной уверенности можно напрямую обратиться в учреждение, чтобы подтвердить, что они действительно пытались с вами связаться. В 90 % случаев, окажется, что звонок был мошенническим.
Если разговор уже состоялся, главное — не раскрывать никаких личных данных, включая QR-коды, попытаться как можно скорее завершить его. Злоумышленники часто используют тактику запугивания, чтобы заставить вас действовать поспешно, но ни в коем случае не следует поддаваться на их давление.
Если вы часто оплачиваете покупки с помощью QR-кода, не активируйте его заранее. Лучше всего включать код непосредственно у кассы. Пользуйтесь динамическими QR-кодами, которые обновляются каждый раз, это усложнит работу мошенников. Перед тем как подтвердить оплату, внимательно проверьте все данные, включая сумму и информацию о получателе.
Будьте осторожны с бумажными QR-кодами — всегда уточняйте у продавца, официанта, что это именно их код. Также рекомендуется установить на своем смартфоне надежное антивирусное приложение — это обеспечит дополнительную защиту. Полезно также скачать специальное приложение для проверки QR-кодов на вредоносные ссылки (к примеру, QR & Barcode Scanner).
Источник: walls io / unsplash.com
Будьте внимательны при оплате по QR-коду, и мошенники не смогут вас обмануть.
Часто задаваемые вопросы о мошенничестве с QR‑кодами
В чем заключается схема обмана с оплатой услуг ЖКХ через них?
Злоумышленники создают аналоги документов, внешне похоже на подлинные, за исключением мелких деталей (отсутствие имени владельца квартиры, измененное название управляющей компании и другие). На квитанции оплаты услуг ЖКХ фото QR-кода мошенники используют для размещения ложных реквизитов.
Вместо расчета за коммунальные услуги деньги переводятся на счета злоумышленников. Более того, QR-коды могут перенаправлять на фальшивые сайты, где предлагается загрузить ПО «для получения скидки» или обновить онлайн-банк. Установка таких программ дает аферистам доступ к вашему смартфону, личным кабинетам и финансовой информации, что может привести к утрате данных и денег.
Какие риски могут быть связаны с использованием QR-кодов?
Они способны скрывать ссылку на вредоносный сайт. Или содержать некорректные реквизиты для оплаты. Кроме того, злоумышленники могут использовать его для подключения вас к опасной Wi-Fi-сети, что позволяет получить доступ к вашему устройству.
Как осуществляется фишинг через QR-коды?
Фишинг или quishing – разновидность социальной инженерии. Злоумышленники манипулируют жертвой, убеждая ее отсканировать QR-код с помощью смартфона. А он часто уже ведет на мошеннический сайт, созданный для кражи логинов, паролей или финансовых данных.
Хотя QR-коды широко распространены и удобны в использовании, не стоит терять бдительность. Проверяйте URL-адреса, на которые они перенаправляют. Избегайте сканирования кодов из сомнительных источников. Убедитесь, что для каждой учетной записи у вас установлен надежный уникальный пароль. Эти меры помогут минимизировать риск стать жертвой мошенников.
