Невидимая ловушка: как QR-коды становятся инструментом обмана

QR-коды прочно вошли в жизнь казахстанцев: мы сканируем их в кафе, автобусах, при оплате парковки или аренде самокатов, чтобы заказать еду, подключиться к Wi-Fi или перейти на сайты компаний в соцсетях. Однако привычка делать это автоматически может однажды сыграть против нас.

В Европе, США и ОАЭ в последние дни вновь участились случаи мошенничества с поддельными QR-кодами. Это явление называется квишингом (от слов QR и phishing). В Казахстане подобные истории активно обсуждались в прошлом году, но терять бдительность не стоит. Наоборот — практика показывает, что мошеннические схемы часто возвращаются в новых формах после короткого «затишья».

«В Казахстане ресторанный бизнес старается идти в ногу со временем и автоматизировать процессы оплаты через QR, поэтому тема мошенничества через поддельные коды очень даже актуальна. Во многих заведениях сейчас можно оплатить счёт, не подзывая официанта: QR-код просто приклеен на столе или салфетнице», — отмечает эксперт в области кибербезопасности Александр Байтов.

Как работает QR-мошенничество

QR-код одновременно прост и сложен. Он быстро считывается мобильными устройствами, но конфигурации графических символов слишком сложны для человеческого глаза, чтобы запомнить и отличить оригинальный код от ложного. Снаружи всё выглядит знакомо и безопасно. Этим и пользуются злоумышленники.

Технически QR-код — это просто зашифрованная ссылка. Он не содержит вирусов и не может вредить сам по себе. Опасность начинается тогда, когда код ведёт не туда, куда вы ожидаете. Мошенники используют бесплатные генераторы, создают собственные QR-коды и размещают их на стикерах, плакатах или прямо поверх настоящих кодов.

«Чаще всего за QR-кодом в таких случаях скрывается поддельный сайт, маскирующийся под банковскую страницу или популярный сервис, где от жертвы требуется ввести данные карты и код CVV, чтобы злоумышленники могли украсть деньги. Это фишинг. Но если к QR привяжут платёжный сервис, то через него можно сразу провести оплату», — поясняет эксперт.

На практике банковское приложение может распознать, ведёт ли ссылка к его платёжной системе и в противном случае выдаёт ошибку соединения.

Однако, по словам Байтова, есть QR-коды, по которым можно оплатить с любого приложения онлайн-банкинга. Тем более, что сейчас некоторые кафе и рестораны завели свои мобильные приложения, где можно и заказ сделать, и произвести оплату.

Кроме этого, мошенники часто используют простое человеческое любопытство, тревогу и страх. Например, размещают ложные QR-коды в ресторанном меню или в объявлениях с завлекательным содержанием. Также эффективно работает схема с возвратом присланных «по ошибке» посылок, для чего требуется пройти по ссылке и заполнить личные данные в специально заготовленной форме.

Как защититься от QR-мошенников

Эксперт уверен, что наиболее эффективные способы борьбы с квишингом — это использовать критическое мышление и не сканировать все QR-коды подряд.

Не лишним будет запомнить и ряд дополнительных рекомендаций:

•  Не сканируйте коды в особенно людных общественных местах. Проверяйте место, где размещён код. Если стикер выглядит подозрительно, неровно приклеен или отличается по стилю от остальной вывески — лучше не сканировать.
• Не переходите сразу по открывшимся ссылкам. Убедитесь, что адрес начинается с https:// и содержит реальный домен официального сайта.
• Не вводите данные карты после сканирования. Ни парковочные, ни ресторанные QR-коды не требуют от вас указания реквизитов карты.
• Не сканируйте коды из сообщений и соцсетей.
• Используйте антивирус и обновляйте систему. Современные IT-решения умеют блокировать фишинговые сайты и предупреждать о подозрительных переходах.
• Если вы всё же отсканировали поддельный код, как можно быстрее смените пароли, проверьте банковские операции и при необходимости обратитесь в банк и полицию.