Опасность быстрых платежей: как «уводят» деньги через QR-коды

Дата публикации: 17 августа 2020 года

Начнем с того, что QR-код — беспорядочные черные квадратики на белом фоне — не так прост, как кажется. QR-коды более совершенны, чем одномерные штрих-коды — они способны хранить гораздо больше информации в себе, в том числе и самые различные типы символов.

По сути эти коды похожи на обычные ссылки, поскольку при их сканировании пользователь переходит на внешнюю гиперссылку или сайт.

Прежде всего, QR-коды невозможно отличить друг от друга невооруженным глазом, поэтому очень сложно проверить их подлинность. Это основная причина, по которой пользователей QR-кодов по всему миру могут ввязывать в фишинг и установку вредоносного ПО на смартфоны. Выступая на Национальном конгрессе народных представителей в Пекине в марте 2017 года, заместитель Лю Цинфэн, председатель провайдера облачного сервиса распознавания голоса iFlytek, сказал:

«В настоящее время более 23% троянских программ и вирусов передаются через QR-коды. Порог (трудности) создания QR-кодов настолько низок, что мошенники могут с легкостью внедрять троянские программы и вирусы в QR-код».

Рассмотрим пример Китая — там Alipay и WeChat Pay (два основных сторонних способа оплаты) неизменно несли ответственность за все случаи мошенничества с QR-кодами. Однако эти китайские платежные магнаты работают над решением данной проблемы. Alipay имеет функцию обнаружения сайтов, которая может определить, является ли сканируемый встроенный QR-код вредоносной ссылкой — если она обнаружит угрозу безопасности, то система выдаст предупреждение, позволяющее пользователям решить, следует ли продолжать.

В России такого пока нет. В этом и опасность.

Сценарии использования

Жертвой подобной схемы мошенничества, к примеру, стали посетители бара, в котором хозяева решили упростить для посетителей процедуру оплаты заказа, поместив на меню QR-код. Злоумышленники незаметно наклеили собственный код поверх кода бара и получали деньги посетителей вместо заведения.

Известен также случай, когда мошенники размещали свои QR-коды прямо на столах заведений общепита под видом сервиса, собирающего чаевые для сотрудников. Об этом рассказал работник одного из столичных ресторанов, посоветовав уточнять подлинность кода у персонала, прежде чем перечислять вознаграждение.

Дальше — больше. Возможно и автоматическое списание средств, если в программе-считывателе QR-кода, банковском приложении или мобильной операционной системе присутствуют уязвимости. А если не обновлять соответствующие программы в течение длительного периода времени — уязвимости имеют свойство накапливаться. А там — пеняем на себя…

При этом обращаем внимание на тот факт, что в реальности гораздо более распространены ситуации, в которых сам пользователь подтверждает перевод средств. В частности, мошеннический QR-код может содержать сообщение о переводе денег через мобильный банк, и для отправки средств на счет мошенников пользователю остается лишь нажать на кнопку отправки (неважно, случайно или намеренно).

Например, Вы читаете журнал, из которого вдруг выпадает листовка — со скидкой на весь ассортимент магазина, находящегося у Вас за углом. В условиях акции написано, что нужно отсканировать QR-код с листовки и подтвердить дальнейшие действия. Вы, ничего не подозревая, берете свой телефон с подключенным мобильным банком, сканируете код, что-то там подтверждаете не глядя — и неопределенная сумма уходит окрыленным от счастья мошенникам.

Еще одна распространенная схема — наклеивание злоумышленниками собственных QR-кодов поверх кодов в транспорте или на плакатах с рекламой известных брендов. Сумма к оплате мошенниками подгоняется под ту, которая указана в листовке — и вот Вы ничего не подозревая отправляете сумму (она же совпадает с той, что Вы видите!) мимо кассы.

Этим способом пользовались мошенники в Китае, наклеивая свои QR-коды поверх этикеток на велосипеды, которые одна известная компания давала в аренду. Соответственно, указанную сумму (43$) люди отправляли совсем не той компании, которой хотели.

Ну и, конечно же, стоит помнить, что QR-код — это по сути обычная ССЫЛКА. Вы бы стали переходить по неизвестной ссылке, полученной из сомнительного источника? Правильно, нет. А тут она замаскирована под «известный» QR-код. Вы сканируете его и попадаете на поддельный сайт — выглядящий точь-в-точь как сайт Сбербанка, к примеру. Затем вводите там свои данные, и… ну, дальше Вы все знаете.

Хорошо, а как себя обезопасить?

Платежи по QR-коду абсолютно безопасны, если выполнять традиционные требования к переводам средств — проверять все реквизиты и не подтверждать операцию, если нет уверенности в получателе.

Нужно ВСЕГДА критически оценивать сайты, которые просят оставить личные или платежные данные, и загружать приложения только из официальных магазинов.

Также, чтобы не дать мошенникам возможность эксплуатировать какую-любо уязвимость, нужно соблюдать простое правило цифровой гигиены — своевременно обновлять операционную систему своего смартфона. На текущий момент для iOS это версия 13.6, для Android это версии 9,10,11 с обновлениями безопасности на июнь 2020 года. Если ваш смартфон более не обновляется и не получает обновлений безопасности, самое время разместить его на доску объявлений.

Следующее важное правило — не спешите. Самые опасные мошеннические схемы связаны с социальной инженерией, когда злоумышленники атакуют не технологию, а пользователя как самое слабое звено. В большинстве случаев человек сам запускает вредоносную программу, отправляет конфиденциальные данные или подтверждает действие.

Для дополнительной защиты также можно пользоваться специальным QR-антивирусом. Такую программу можно установить на телефон: перед сканированием она проверяет код на наличие вредоносного содержимого, и, если таковой будет обнаружен, предупредит пользователя об опасности. Найти такие программы можно в гуглплее.

Будьте бдительны, друзья 🙂

Еще больше новостей читайте в нашей группе вконтакте vk.com/gruzoplaneta

ПОДЕЛИТЬСЯ С ДРУЗЬЯМИ!