QR коды существуют уже несколько десятилетий, но в последние годы их популярность очень выросла. Сегодня их используют в разных целях – от отображения меню ресторана до совершения бесконтактных транзакций.
Однако, как и любая другая популярная технология, распространенность QR-кодов привлекла внимание и мошенников, которые начали использовать их в злоумышленных целях. Чтобы не попасть в ловушку киберпреступников, специалисты ESET подготовили список основных схем мошенничества с QR-кодом и советы по их избеганию.
Что такое QR-код и как он работает
QR-код – это штрих-код, предназначенный для мгновенного считывания и отображения информации современным девайсом. Один код может хранить до 4296 символов в виде букв и цифр, хотя, как правило, их используется меньше. Это позволяет легко расшифровывать QR коды с помощью камеры смартфона.
Закодированные текстовые строки могут содержать различные данные. Следующее действие после считывания кода зависит от программы, которая открывает его. В частности, коды используются для открытия вебсайта, загрузки файла, добавления контакта, подключения к сети Wi-Fi и даже осуществления платежей.
Многофункциональность QR-кодов позволяет изменять их, в частности с помощью добавления логотипа компании. В их динамических версиях даже есть возможность изменить содержимое или действие в любое время.
Как злоумышленники используют QR-коды в схемах мошенничества
Учитывая популярность QR-кодов, киберпреступники создают новые схемы мошенничества для похищения данных и денег пользователей. Среди наиболее распространенных схем мошенничества:
1. Перенаправление на вредоносный сайт для похищения конфиденциальных данных.
Фишинговые атаки распространяются не только через электронные письма, мессенджеры или SMS-сообщения. Подобно применению вредоносной рекламы и других методов для привлечения жертв на мошеннические сайты злоумышленники используют и QR-коды.
Беспокойство вызывает рост схем мошенничества с QR-кодами, в которых злоумышленники распространяют фальшивые рекламные наклейки рядом с банковскими или другими финансовыми учреждениями. Среди недавних случаев – размещение поддельных наклеек с QR-кодом на общественных автоматах для парковки, которые перенаправлялись на фальшивые платежные сайты.
2. Загрузка вредоносного файла на устройство
Большинство кафе и ресторанов используют QR-код, чтобы загрузить меню или установить приложение для осуществления заказа. В свою очередь злоумышленники могут легко подделать его, чтобы обманом заставить пользователя скачать вредоносный PDF-файл или мошенническое приложение.
3. Запуск опасных действий на устройстве пользователя
QR-коды могут вызвать действия на вашем устройстве в зависимости от считывающей программы. Среди базовых действий таких приложений ― подключение к сети Wi-Fi, отправка электронного письма или SMS с предварительно определенным текстом и сохранение контакта на устройстве. Однако, используя такие приложения, злоумышленники могут подключить устройство к опасным сетям.
4. Переадресация платежа или запрос на получение денежных средств
Большинство финансовых приложений сегодня позволяют производить платежи через QR-коды, которые уже содержат данные получателя. Многие магазины показывают эти коды своим клиентам и таким образом облегчают процесс оплаты.
Однако следует помнить, что злоумышленники могут заменить данные в этом коде на собственные и получить деньги на свой счет. Мошенники также могут создавать поддельные платежные QR-коды с запросами на получение денег, чтобы обмануть покупателей.
5. Похищение личных данных или доступ к программе
Многие QR-коды используются для проверки данных о человеке, например, его идентификационный номер или наличие сертификата вакцинации. В этих случаях коды содержат конфиденциальную информацию, которую злоумышленник может легко получить, просканировав их.
Также многие программы, например, WhatsApp, Telegram или Discord, используют QR-коды для аутентификации сеансов, позволяя пользователям получить доступ к своим аккаунтам. В частности, злоумышленники под видом службы поддержки могут обманом заставить пользователя просканировать вредоносный QR-код.
Как избежать мошенничества при сканировании QR-кодов
- Перед сканированием убедитесь в оригинальности QR-кода, например, наклейка с поддельным кодом может закрывать оригинальный и быть частью схемы мошенничества.
- Избегайте сканирования случайно найденных QR-кодов или в нежелательных сообщениях.
- Будьте осторожны при сканировании кода для оплаты счетов или другой финансовой операции. По возможности выберите другой безопасный способ оплаты.
- Отключите функцию автоматического действия при сканировании QR-кода, например, посещение веб-сайта, загрузку файла или подключение к сети Wi-Fi.
- После сканирования просмотрите URL-адрес, чтобы убедиться в его легитимности. Также лучше не вводить личные данные на сайте, на который вы попали с помощью QR-кода.
- Не публикуйте QR-коды, содержащие конфиденциальную информацию. Это могут быть коды для доступа к программам или проверки личных документов и сертификатов вакцинации.
- Для создания такого кода используйте надежные сервисы, которые позволяют проверить его легитимность и выполнение необходимого действия.
- Обновляйте приложения до актуальных версий и используйте программу для защиты от вредоносного программного обеспечения.