Этим летом москвичи столкнулись с новым мошенническим трендом — поддельными QR кодами на электросамокатах главных агрегаторов. Сканируя код на стикере, люди попадают на поддельный сайт, где вводят данные своей карты для оплаты и теряют деньги. Но это далеко не единственный способ обмана.
Как мошенники используют QR-коды
Снятие наличных. Многие банки позволяют получить деньги из банкомата по сгенерированному в приложении QR-коду. Мошенник звонит жертве, представляется сотрудником банка и сообщает о какой-то серьезной проблеме. Чтобы ее решить, человеку предлагают сгенерировать QR-код и выслать его по указанному адресу. Чаще всего в качестве «проблемы» озвучивают несанкционированный перевод средств, который срочно нужно отменить.
Фейковые приложения. QR-коды на скачивание фейковых приложений можно встретить где угодно. Их могут распространять в соцсетях, мессенджерах и рекламной рассылке в почтовом ящике. Коды размещают даже в объявлениях на автобусных остановках или в подъездах домов. Обычно подобные приложения представляют собой кальку реальных сервисов крупных банков, магазинов, туроператоров. Но если человек в них регистрируется, его личные данные и платежная информация попадают в руки злоумышленников.
Перехват оплаты. Во многих магазинах и кафе можно встретить наклеенные QR-коды на кассе или столиках. Это позволяет посетителям быстро оплатить чек, оставить чаевые. Но участились случаи подмены, когда поверх такой наклейки мошенники размещают свою, с собственным кодом. Если человек переходит по нему, то попадает на фишинговый сайт, где попытаются похитить его данные и деньги.
Чашка чая за 20 000 долларов
Недавно женщина из Сингапура потеряла из-за мошеннического QR-кода 20 000 долларов США. На входной двери в магазин она увидела наклейку, где предлагалось отсканировать QR-код, заполнить анкету на сайте и получить за это бесплатную чашку чая с молоком. Женщина не заподозрила ничего странного и без колебаний отсканировала код, а потом скачала по нему стороннее приложение для заполнения анкеты.
Приложение оказалось полнофункциональным бэкдором с удаленным управлением смартфоном и обладало полномочиями записи экрана. В течение дня мошенники подсмотрели PIN-код от банковского приложения хозяйки устройства, а затем дистанционно разблокировали смартфон и перевели на свой счет 20 000 долларов.
Как не стать жертвой мошенничества
Когда вы сканируете QR-код, на экране смартфона отображается связанная с ним ссылка. Мошенники могут с помощью инструмента, сокращающего ссылки, скрыть реальный адрес сайта, а в браузере мобильного устройства не всегда возможно увидеть полный URL-адрес открываемой страницы.
Каждый раз, когда сканируете сторонний QR-код, соблюдайте следующие правила.
- Убедитесь, что сканируете действительный код в магазине, кафе или других заведениях, а не данные со стикера, который наклеили поверх оригинала.
- Не сканируйте QR-коды из ненадежных источников. Среди них: уличные объявления, реклама на сайтах, сообщения от неизвестных отправителей в мессенджерах, электронной почте, соцсетях.
- Скачивайте приложения для смартфона только из официальных маркетов: AppStore, Google Play, RuStore. Если приложения нет на маркете, скачивайте его только с официального сайта компании.
- Не пересылайте код из банковского приложения по звонку «сотрудника банка». Все вопросы касательно счетов нужно решать в банке лично и никому не сообщать персональные данные по телефону.
- Отсканировав QR-код, обратите внимание на ссылку. Она должна начинаться с аббревиатуры https, где «s» означает «secure», — такой сайт передает данные по защищенным каналам.
- Соблюдайте особую осторожность, если требуется ввести свои личные данные или логины и пароли.
- Если ваш смартфон поддерживает установку приложений безопасности, которые проверяют сайты на наличие вредоносного содержимого, а также проверяют достоверность приложений — установите их без колебаний. Дополнительно можно использовать защищенный сканер QR-кодов, встроенный в антивирусное ПО.