Фoтo: Getty Images Мoшeнники пoддeлывaют QR-кoды и вoруют дeньги
QR-кoды нaбирaют пoпулярнoсти вo всex сфeрax жизни и сaми пo сeбe нe прeдстaвляют oпaснoсти, oднaкo Фeдeрaльнoe бюрo рaсслeдoвaний oбeспoкoeнo тeм, с кaкoй лeгкoстью прeступники иx пoддeлывaют.
Испoльзoвaниe тaк нaзывaeмыx кoдoв быстрoгo oткликa — QR — стaлo oсoбeннo рaспрoстрaнeнным пoслe нaчaлa пaндeмии. С пoмoщью этoй тexнoлoгии мнoгиe вeщи мoжнo дeлaть бeскoнтaктнo — oплaчивaть тoвaры и услуги, изучaть мeню в рeстoрaнe, дeмoнстрирoвaть дoкумeнты и COVID-сeртификaты, пoдтвeрждaть пoдлиннoсть всeвoзмoжныx билeтoв, брaть в aрeнду трaнспoрт. Нeудивитeльнo, чтo мoшeнники нe oбoшли эту тeму свoим внимaниeм. Кoррeспoндeнт.net рaсскaзывaeт, гдe мoжeт тaиться oпaснoсть.
Кaк этo рaбoтaeт
QR-кoд (oт aнглийскoгo Quick Response code — кoд быстрoгo oткликa) — этo тип мaтричныx, или двуxмeрныx, штриховых кодов, который изначально был разработан в Японии для автомобильной промышленности. Термин является зарегистрированным товарным знаком Denso — дочерней компании Toyota.
Специальная машина считывает штрихкод — оптическую метку, содержащую данные о привязанном к ней объекте. Технология, придуманная в середине 90-х годов прошлого века, стала популярной далеко за пределами автомобильной промышленности благодаря возможности быстрого считывания и большей емкости по сравнению с привычными нам по магазинным товарам штрихкодами стандарта UPC.
Выглядит QR-код как хаотический набор черных квадратов, расположенных в квадратной сетке на белом фоне. После его считывания при помощи камеры смартфона или специальных программ необходимые данные извлекаются из кода, предоставляя пользователю необходимую информацию.
Это обеспечивает возможность, например, получить быстрый доступ к веб-сайтам, загрузить приложение или моментально направить платеж конкретному получателю. Компании применяют QR-коды на законных основаниях для обеспечения удобного бесконтактного доступа, что стало особенно актуальным во время пандемии. Их активно используют в розничной торговле, электронной коммерции, при оплате счетов и всевозможных встроенных мобильных платежах.
ФБР предупреждает
Федеральное бюро расследований опубликовало предупреждение, в котором рассказывает о том, как киберпреступники подделывают QR-коды.
Мошенники пользуются преимуществами этой технологии для кражи личных и финансовых данных жертвы, внедрения вредоносного программного обеспечения для получения доступа к устройству и отправки платежей на счета злоумышленников.
Киберпреступники, по данным ФБР, подделывают как цифровые, так и физические QR-коды. Жертва сканирует изображение, которое она считает подлинным, но поддельный код направляет ее на вредоносный сайт, предлагающий ввести логин и финансовую информацию. Доступ к этой информации дает мошенникам возможность вывести средства через учетные записи жертвы.
Поддельные QR-коды также могут содержать ссылку на вредоносное программное обеспечение, позволяющее преступнику получить доступ к мобильному устройству жертвы и узнать ее местоположение, а также завладеть личной и финансовой информацией.
Компании и частные лица все чаще используют QR-коды для облегчения оплаты. Отсканировав такой код, клиент попадает на сайт, где может в несколько кликов совершить платежную транзакцию. Подделывая код, киберпреступники предоставляют свои данные для оплаты, забирая таким образом деньги клиента.
Как себя обезопасить
Сами по себе QR-коды не являются вредоносными, но важно соблюдать осторожность при вводе финансовой информации, а также при оплате через сайт, на который можно перейти с помощью такого кода. Правоохранительные органы не могут гарантировать возврат потерянных средств после перевода, отмечает ФБР.
Чтобы защитить себя, Федеральное бюро расследований предлагает:
- После сканирования QR-кода проверить URL-адрес и убедиться, что это нужный сайт и выглядит он подлинно. Вредоносное доменное имя может быть похожим на оригинальный URL-адрес, но с опечатками или лишними буквами.
- Соблюдать осторожность при вводе логина, личной или финансовой информации с сайта, на который вы перешли с помощью QR-кода.
- При сканировании физического QR-кода убедиться, что код не был подделан, например, с помощью наклейки, помещенной поверх оригинального кода.
- Не загружать приложения по QR-коду, а использовать магазин приложений вашего смартфона для более безопасной загрузки.
- Если вы получили электронное письмо от компании, в которой недавно совершили покупку, о том, что платеж не прошел и завершить его можно только с помощью QR-кода, перезвоните в компанию и уточните эту информацию. При этом важно найти телефон через оригинальный сайт, а не звонить по номеру, указанному в электронном письме.
- Не загружать отдельное приложение для сканирования QR-кодов. Это увеличивает риск загрузки вредоносных программ на устройство. Большинство смартфонов имеют встроенный сканер через приложение камеры.
- Если вы получили QR-код, который, по вашему мнению, принадлежит кому-то из знакомых, свяжитесь с ним по известному номеру или адресу, чтобы убедиться, что код принадлежит ему.
- Избегать осуществления платежей через сайт, на который вы перешли с помощью QR-кода. Вместо этого вручную введите известный и надежный URL-адрес для завершения платежа.
Ранее в этом месяце полиция Техаса сообщила о том, что в Остине более чем на двух десятках парковок были обнаружены поддельные наклейки с QR-кодом, по которому люди якобы могли оплатить услугу парковки.
Жертвами мошенников также часто становятся пользователи сайтов объявлений. Такие сервисы обычно следят за безопасностью и могут блокировать подозрительные сообщения, но при этом пропускают картинки. Злоумышленники в таком случае зашифровывают ссылки на фишинговые сайты в QR-код, который отправляется для введения жертвой своих банковских данных.
«Когда вы сканируете QR-код, то понятия не имеете, куда перейдете по нему. Вы вполне можете перейти на вредоносный сайт, который может попытаться установить вирус на ваш телефон», — отмечает Мэтью Грин, доцент кафедры информатики Университета Джона Хопкинса в Балтиморе, штат Мэриленд.
Показателен пример Китая в контексте растущей популярности такого индивидуального городского транспорта, как самокаты и велосипеды. Чтобы взять в аренду велосипед, нужно отсканировать QR-код и совершить оплату. Китайские мошенники клеили поверх оригинальных кодов поддельные, в результате деньги пользователей уходили злоумышленникам.
Основная проблема в том, что визуально отличить поддельный QR-код невозможно. Еще в 2017 году на Национальном конгрессе народных представителей в Пекине сообщалось, что более 23 процентов троянских программ и вирусов передаются через QR-коды. Процесс создания QR-кодов настолько прост, что мошенники могут с легкостью внедрять в них вредоносные программы и вирусы.
В марте 2014 года Народный банк КНР ввел запрет платежи по QR-коду, однако спустя два года отменил его. QR-код — действительно простой и удобный способ оплаты, благодаря чему его популярность неуклонно растет. Однако регулирующие органы и поставщики платежных услуг теперь должны сделать все для предотвращения мошенничества. А задача пользователей — быть начеку и не забывать о возможной опасности.
Новости от Корреспондент.net в Telegram. Подписывайтесь на наш канал https://t.me/korrespondentnet
Читайте Korrespondent.net в Google News