Осторожно, мошенники: схемы с QR-кодами

Как используют мошенники QR‑коды? Они создают поддельные сайты, которые выглядят как официальные ресурсы известных брендов или компаний. На них размещают QR-коды, ведущие на вредоносные страницы или предлагающие скачать файлы, содержащие вирусы.

Что еще? Также реклама с использованием QR-кодов может содержать информацию о скидках, акциях или специальных предложениях, которые на самом деле ими не являются. Под мошенническим штрихкодом часто скрывается согласие на списывание денег.

Что такое QR‑коды

Они представляют собой усовершенствованную версию привычных штрихкодов, которые можно увидеть, например, на товарах в магазинах. Они состоят из черных и белых квадратов, расположенных в определенном порядке. Несмотря на кажущуюся хаотичность, камера смартфона распознает их как двоичный код — последовательность нулей и единиц. Затем информация преобразуется в понятные данные, такие как ссылка на сайт или текст.

QR-коды можно использовать для различных целей:

• перехода на веб-ресурсы;
• подключения к Wi-Fi;
• считывания текстовой информации;
• звонков или отправки сообщений по зашифрованному номеру;
• определения местоположения.

После ограничения доступа к Apple Pay и Google Pay в России такие коды стали активно внедряться в сфере денежных переводов. Этот способ удобен, так как позволяет оплачивать покупки без использования банковской карты.

Механизм работы прост. На кассе магазина клиент сканирует QR-код, в котором зашифрованы реквизиты компании для перевода средств. Банк, где обслуживается фирма, подключен к Системе быстрых платежей (СБП). После сканирования код автоматически передает данные о счете и сумме в банковское приложение. Пользователю остается лишь подтвердить операцию, и деньги отправляются получателю. При этом вводить номер карты, срок ее действия, CVV и другую конфиденциальную информацию не требуется.

По данным ЦБ РФ, каждый третий житель страны активно пользуется QR-кодами для оплаты. Несмотря на высокую степень безопасности технологии, в ней есть уязвимости. Злоумышленники могут закодировать фишинговые сайты, подставные реквизиты, чаты, используемые для обмана.

Суть мошенничества с QR‑кодами

Схема начинается с классического звонка, где злоумышленники представляются сотрудниками службы безопасности банка. Они сообщают жертве о якобы зафиксированной попытке несанкционированного снятия средств. Однако в отличие от других мошеннических схем, здесь преступники не требуют сообщить данные карты, коды из SMS или доступ к личному кабинету мобильного банка. Вместо этого они убеждают, что проблему можно решить с помощью QR-кода, сгенерированного в его приложении.

Источник: marielle ursua/ unsplash.com

Несколько лет назад в ряде банков появилась возможность снимать деньги без использования карты, а только по QR-коду. Процесс выглядит так: владелец счета создает в мобильном ПО банка код на определенную сумму. Он передается другому человеку, который может сканировать его для снятия денег в банкомате. Для завершения операции нужна аутентификация через мобильное приложение владельца. Эта технология была разработана для того, чтобы держатель мог передать код доверенному лицу, не рискуя безопасностью своей карты. При этом сам пластик не считается скомпрометированным.

Злоумышленники активно эксплуатируют низкую информированность граждан о работе QR-кодов в онлайн-банкинге. Они убеждают жертв переслать сгенерированный узор под предлогом защиты средств. Получив QR-код, мошенники снимают наличные со счета жертвы.

Важно помнить, что QR-код, созданный в мобильном банке, приравнивается к персональным данным владельца счета. Центробанк РФ подчеркивает: он является распоряжением на выдачу средств. Если клиент добровольно передал код третьему лицу, банк будет считать это согласием на проведение операции. В таких случаях возврат украденных средств невозможен.

Способы мошенничества с QR‑кодами