Мошенничество с QR-кодом. Что нужно знать

QR-код прочно вошел в нашу жизнь. Из-за COVID-19 знакомая квадратная графика QR-кода приобрела большую популярность, в острый период пандемии мы проходили по QR кодам в кафе и театры, но даже после того, когда эти правила отменили, мы все равно продолжаем активно пользоваться QR кодом, например, при получении покупок в пунктах выдачи онлайн-cервисов. Но там, где у вас есть онлайн-сервис, всегда присутствует киберугроза.

Мошенники оттачивают свои инструменты для подделки QR-кодов, и мировой центр кибербезопасности уже фиксирует случаи нового типа афер, а также старые схемы мошенничества в новых местах.

Краткое определение: QR или «Quick Response» коды представляют собой двумерные изображения, составленные из черных модулей в виде квадратного рисунка на белом фоне. Этот код может содержать любые текстовые данные, включая URL – прямые ссылки для перехода на вебсайт.


Насколько велика угроза?


Сегодня злоупотребление QR-кодом внесено в пятерку основных угроз. В то время как около 70% респондентов считают, что они могут различать вредоносный URL-адрес на основе его привычного текстового формата, только 35% процентов считают, что они могут различать вредоносный QR-код, используя его уникальный точечный формат. Учитывая, что QR-коды предназначены именно для скрытия текста URL, пользователи затрудняются идентифицировать вредоносные QR-коды.

Уже сегодня 25% респондентов признаются, что сканирование QR-кода сделало что-то неожиданное (например, привело их на подозрительный веб-сайт), а 16% признались, что они не уверены, действительно ли QR-код сделал то, что он должен был сделать.


Как работает мошенничество с QR-кодом?


1.   Сканирование QR-кода

При сканировании QR-кода пользователя направляют на мошеннический веб-сайт с запросом их имени, номера телефона и адреса электронной почты. В дальнейшем их личная информация может использоваться для маркетинга или, что хуже, для преступных целей.

Проблема в том, что преступники быстро и легко генерируют QR-коды, меняют реальный QR-код на поддельный и направляют пользователей на вредоносный веб-сайт. Это усугубляется тем, что людям приходится вводить свои личные данные несколько раз в день.

Пользователи привыкли к процедуре сканирования QR-кодов и предоставления своих личных данных, и мошенники пользуются этой возможностью.

2.   Сканеры QR-кода для Android

Другая опасность связана с приложениями для сканирования QR-кода.

Чтобы просканировать QR-код, пользователи Android могут скачать приложение, которое будет выполнять функцию сканирования кода с помощью мобильного устройства. Однако, вредоносное приложение, специально созданное и замаскированное под приложение-сканер, помимо основной функции сканирования, может получать доступ к вашему устройству, определять его тип, версию прошивки и находить слабое место. Далее приложение без вашего участия скачивает вредоносную программу, которая взламывает мобильное приложение интернет-банкинга с доступом к вашим картам.

Сегодня в Google Play обнаружено более 10 вредоносных мобильных приложений, которые замаскированы под сканер QR-кода и воруют деньги с вашей банковской карты.

Существует три распространенных мошенничества с QR-кодами:

  1. Перехват ссылки или Кликджекинг (Clickjacking) – самая простая афера с QR-кодом. Это способ, когда мошенники получают оплату при переходе пользователя на определенный сайт. Данная афера чаще всего встречается на туристических маршрутах, где люди, сканируя QR-код, рассчитывают получить интересную информацию о месте или объекте, рядом с которым он нанесен. В случае с кликджекингом QR-код переносит пользователя на определенный сайт, и мошенник получает за это оплату.

  2. Афера с небольшими авансовыми платежами - для некоторых услуг иногда требуется сделать предоплату перед ее использованием, например, арендовать велосипед или электро-самокат. Чтобы пройти процесс оплаты достаточно просто отсканировать QR-код. Но реальные QR-коды могут быть заменены мошенниками, которые и получают платеж.

  3. Фишинг - фишинговые ссылки можно легко замаскировать под QR-коды. Мошенники размещают QR-коды там, где это целесообразно для пользователя, например, для регистрации при COVID-19 или в меню на столах ресторана. Выявлено, что в России начали продавать коды, которые ведут на фишинговые страницы, имитирующие официальные ресурсы.


Что можно сделать, чтобы остановить мошенников?


Лучшее, что вы можете сделать, это использовать приложения, разработанные известным брендом или одобренные правительством, и рекомендовать пользователям загружать только их.

Избегайте использования сервисов, которые скрывают адрес веб-сайта, и всегда тестируйте QR-код, прежде чем предоставлять его своим клиентам.

Еще один хороший совет - предоставить скриншот и описание веб-сайта, чтобы клиенты знали, чего ожидать.

Наконец, сделайте QR-код частью дизайна и наносите его типографским способом, прямой термотрансферной или чернильной печатью на упаковку или на этикетку с общим описанием продукта. Так вы сможете гарантировать, что на упаковке он не будет заменен вредоносным QR-кодом.