Мошеннические фишинг-атаки с помощью QR-кода называются квишингом.
Фото: рixabay
Директор Департамента защиты прав потребителей финансовых услуг Агентства по регулированию и развитию финансового рынка Александр Терентьев рассказал Zakon.kz подробнее о данном способе обмана и как можно защититься от киберпреступников.
Что такое QR-код
Quick response code – это код быстрого реагирования, двумерный штрих-код, предназначенный для считывания закодированной информации. QR-коды легко считываются, к примеру, с помощью камеры мобильного телефона, и сегодня они распространены повсеместно. В этот носитель данных можно зашифровать практически любую информацию: буквенные и цифровые символы, картинку, ссылки, визитные карточки, а также необходимые для считывания платежные данные: банковские реквизиты, информацию о продавце, покупаемом товаре и другое. При сканировании QR-кода происходит прямой перевод средств, и продавец моментально получает уведомление о поступлении денег. Это значительно ускоряет и упрощает процесс оплаты за товары и услуги.
Таким образом, QR-код стал одним из самых доступных, удобных и быстрых инструментов безналичной оплаты для покупателей и продавцов. Этим пользуются и мошенники, располагая QR-код в публичных местах или прикрепляя к электронной спам-рассылке.
Как работает квишинг
Создать QR-код очень легко, используя ряд бесплатных онлайн-генераторов, которые при сканировании автоматически перенаправляют на вшитые URL-адреса. Используя тот факт, что человеческий глаз не может "прочитать" QR-код, мошенники могут заменить настоящий код своим собственным. Эти "поддельные" QR-коды могут перенаправить вас на вредоносные веб-сайты, предназначенные для кражи конфиденциальной информации.
Разберем на примерах, что может срываться в мошеннических QR-кодах.
Пример 1: Мошенничество с QR-кодом при бесконтактных платежах
Одним из наиболее распространенных способов применения QR-кодов является оплата за товары и услуги, к примеру, food court или парковку. Однако перед тем, как совершить платеж QR-кодом, необходимо внимательно проверить наименование сайта и его защищенность, он должен начинается с HTTPS и иметь символ закрытого замка. Встречаются случаи, когда ничего не подозревающие граждане, отсканировав QR-код в общественном месте, стали жертвой фишинга, оставив на поддельных сайтах свои персональные данные.
Пример 2: Поддельные QR-коды, отправленные на электронную почту
При совершении онлайн-покупок на вашу электронную почту может поступить сообщение о "неудачном платеже". Для того, чтобы завершить транзакцию, требуется отсканировать QR-код.
Такие сообщения могут рассылать мошенники, если вы приобретаете товары на сайтах, на которые совершены хакерские атаки. Если вы считаете, что онлайн-покупка не состоялась, войдите в свою учетную запись непосредственно на официальном интернет-ресурсе компании, а не с помощью QR-кода.
Пример 3: QR-коды на неожиданных посылках
Мошенники могут сыграть на чувстве любопытства. Один из самых простых способов сделать это – отправить через курьера товар от интернет-магазина, который вы не заказывали. Внутри или на упаковке вы увидите QR-код с "инструкцией" о том, как его вернуть (или узнать больше информации о вашем заказе). Если вы отсканируете код, то он автоматически перенаправит вас на фишинговый сайт, который получит доступ к вашей личной информации.
Другая версия этого мошенничества – письменное уведомление с QR-кодом на вашей двери о "пропущенной посылке". Когда вы отсканируете код, то вас попросят ввести личные данные или оплатить дополнительную стоимость доставки. Если вы получили посылку, которую не ожидали, то лучше сообщите об этом службе доставки напрямую.
Пример 4: QR-коды, отправленные через социальные сети
Мошенники могут отправить вам поддельные QR-коды через взломанные учетные записи социальных сетей, содержащие сообщение, к примеру, от вашего друга: "Посмотри на эту твою фотографию, которую я только что нашел!".
Поскольку вы думаете, что сообщение от "друга", вы, скорее всего, отсканируете код. Захват учетных записей в социальных сетях распространен на всех платформах. Если учетная запись, на которую вы подписаны, отправляет вам странное сообщение, содержащее QR-код, свяжитесь с человеком напрямую, чтобы убедиться, что его учетная запись не взломана.
Пример 5: Мошенничество с криптовалютным QR-кодом
Из всех типов мошенничества с QR-кодом этот вид связан с одной из самых больших финансовых потерь. Мошенники от лица псевдоинвесткомпаний могут предложить инвестировать в криптовалюты. Они высылают вам QR-код, который откроет процессор платежей, позволяющий конвертировать ваши деньги в биткойны и другие криптовалюты. Но как только вы совершите перевод, мошенники тут же исчезают.
Что делать, чтобы не стать жертвой мошенников
В первую очередь, не следует сразу сканировать QR-код в местах массового скопления людей. Если вы все же перешли через QR-код на сайт, то проверьте его, прежде чем вводить там свои личные данные. Ведь это может оказаться фишинговая страница, замаскированная под онлайн-магазин или торговую площадку.
Для большей подстраховки рекомендуем использовать программы проверки QR-кодов от официальных производителей антивирусов, которые проверяют код на наличие вредоносного содержимого и предупреждают владельца телефона об опасности.
Фото: fingramota.kz
Если же вы все-таки обнаружили, что при применении QR-кода с вашего счета были списаны деньги, которые вы не тратили, срочно обратитесь в банк для прояснения ситуации и блокировки счетов, а также в правоохранительные органы с заявлением о мошенничестве. Не забудьте поменять все пароли во всех своих аккаунтах. Используйте безопасные пароли длиной не менее восьми символов, включающие прописные и строчные буквы, символы и цифры. Установите антивирус, который защитит гаджет от вредоносных программ. Будьте бдительны!
Автор Александр Терентьев
Источник zakon.kz