Повсеместное использование QR-кодов для онлайн-платежей стало причиной появления новых мошеннических схем. О том, каких уловок кибермошенников стоит опасаться петербуржцам, «Мойке78» рассказал эксперт по кибербезопасности «Лаборатории Касперского» Дмитрий Галов.
QR-коды во многом схожи со штрихкодами, при этом могут хранить больше данных и легко распознаваться специальным считывающим оборудованием. Они обычно содержат какую-либо текстовую информацию или ссылки на интернет-источники. Сегодня QR-коды встречаются повсеместно и используются для платежей. Не удивительно, что существуют мошеннические схемы, связанные с ними. Например, злоумышленники могут аккуратно наклеивать свой вредоносный QR-код поверх настоящего, официального. Подобное явление даже получило название Qrishing.
Поддельные QR-коды, размещённые где-нибудь в общественном месте, зачастую не вызывают подозрений у большинства людей, которые привыкли спокойно переходить по отсканированным ссылкам. Поэтому ввиду собственной невнимательности многие рискуют запустить вредоносный скрипт, автоматически исполняемый, или перейти на фишинговую страницу. QR-коды также используются для подключения к общественному Wi-Fi, и злоумышленники, предварительно заменив код или его отдельные фрагменты, могут подключать пользователей к своим точкам доступа.
Что касается платежей посредством QR-кода, существуют два основных способа оплаты покупок. В первом случае QR-код создаётся продавцом и может быть либо статическим, содержащим информацию о счёте, либо динамическим – с данными о транзакции. Статические QR-коды как раз могут распечатываться, а динамические формируются в процессе и выводятся на экран какого-либо устройства при оплате товаров. Второй способ подразумевает создание QR-кода самим покупателем с помощью платёжного приложения. Продавец должен сканировать такой код специальным устройством, чтобы со счёта покупателя списалась необходимая сумма.
Подобные технологии тоже не остались без внимания мошенников. Злоумышленники могут заклеивать своими статические QR-коды, используемые для платёжных операций. Помимо этого, они могут создавать QR-коды с личным счётом посредством приложений-генераторов, которые легко находятся в интернете и скачиваются бесплатно. Одноразовыми QR-кодами также злоупотребляют. Например, известен случай, когда в Китае клиент ресторана попросил счёт и сгенерировал QR-код для оплаты, а в результате его средства были отправлены какой-то бильярдной. Это произошло потому, что стоявший за спиной клиента злоумышленник сфотографировал чужой QR-код и сразу же расплатился им, отправив деньги самому себе. Он заранее зарегистрировал на себя бильярдную и установил на смартфон приложение – QR-сканер для бизнеса.