Опасность быстрых платежей: как крадут деньги через QR-коды

Мошенники научились красть деньги через QR-коды

Ashley Landis/AP
Мошенники научились красть у россиян деньги с банковского счета через QR-код. Произойти это может не только по невнимательности жертвы, но и из-за уязвимости в системе. Эксперты рассказали «Газете.Ru» о видах такого рода мошенничества и дали советы, как себя обезопасить.

Мошенники придумали новый способ кражи денег у россиян, на который может попасться каждый. Они распространяют листовки с опасными QR-кодами на улицах, а также клеят их в заведениях общепита. Об этом сообщил Первый канал.

Кража денег происходит через QR-код. Одна из жертв преступников пыталась отсканировать такой код с рекламной листовки магазина электроники и техники, чтобы получить скидку на покупку. Однако попытка сэкономить обернулась потерей всех денег.

«Телефон завис, <…> и в этот момент мне приходит СМС о списании всех денег с моего [банковского] счета», — рассказала собеседница телеканала.

Жертвой подобной схемы мошенничества стали и посетители бара, в котором решили упростить для посетителей процедуру оплаты заказа, поместив на меню QR-код. Злоумышленники незаметно наклеили собственный код поверх кода бара и получали деньги посетителей вместо заведения.

Известен также случай, когда мошенники размещали свои QR-коды прямо на столах заведений общепита под видом сервиса, собирающего чаевые для сотрудников. Об этом «Газете.Ru» рассказал работник одного из столичных ресторанов, посоветовав уточнять подлинность кода у персонала, прежде чем перечислять вознаграждение.

В подобной схеме нет ничего удивительного, ведь покупатель или пользователь не может определить, сканирует ли он настоящий код или поддельный, который ему подсунули мошенники, говорит партнер и директор компании «Интеллектуальный Резерв» Павел Мясоедов, добавляя, что сейчас есть масса способов таким образом списать деньги со счета любого клиента.

«Банки уже заявляли, что есть случаи подделки страниц с оплатой. Возможно, речь идет о том, что мошенники подделывают код на такой странице. Он сканируется пользователем, и после этого в устройство попадает вредоносное ПО, которое списывает средства со счета», — поясняет «Газете.Ru» Мясоедов. При этом он отмечает, что

списание средств может произойти не сразу, а через какое-то время, чтобы у клиента было меньше подозрений и понимания того, где был отсканирован поддельный код. В такой ситуации что-либо доказать или найти источник, когда именно в телефон попала вредоносная программа, практически невозможно.

Директор компании «Антифишинг» Сергей Волдохин отмечает, что оплата по QR-кодам — относительно новое явление и с мошенничествами с использованием данной технологии в компании практически не сталкивались. В данном случае можно говорить о нескольких возможных схемах:

«В описании [вышеупомянутой] ситуации мало технических подробностей, однако автоматическое списание средств теоретически возможно, если в программе-считывателе QR-кода, банковском приложении или мобильной операционной системе были уязвимости. В случае эксплуатации таких уязвимостей мошенники смогут получить удаленный доступ к системе и выполнить любую транзакцию автоматически», — рассуждает Волдохин, добавляя, что с уязвимостями компании-разработчики регулярно борются путем выпуска обновлений, и если их не устанавливать регулярно, риски того, что устройство может быть взломано, существенно повышаются.

При этом эксперт обращает внимание на тот факт, что в реальности гораздо более распространены ситуации, в которых сам пользователь подтверждает перевод средств. В частности, мошеннический QR-код может содержать сообщение о переводе денег через мобильный банк, и для отправки средств на счет мошенников пользователю остается лишь нажать на кнопку отправки (неважно, случайно или намеренно). 

«Пользователь также может открыть QR-код через банковское приложение. В данном случае все реквизиты заполняются автоматически, в том числе может указываться релевантное назначение платежа. Но, если мошенники подменили QR-код, реквизиты тоже будут поддельными», — описывает директор компании «Антифишинг» еще один способ мошенничества, советуя всегда перепроверять реквизиты по платежам на значимые суммы, даже если реквизиты были автоматически считаны с QR-кода. 

Об этом говорит и руководитель группы контроля ИТ-рисков и противодействия мошенничеству в ИТ-системах Райффайзенбанка Александр Мотичев. Он добавляет, что платежи по QR-коду абсолютно безопасны, если выполнять традиционные требования к переводам средств — проверять все реквизиты и не подтверждать операцию, если нет уверенности в получателе.

Заместитель руководителя Лаборатории компьютерной криминалистики Group-IB Сергей Никитин рекомендует критически оценивать сайты, которые просят оставить личные или платежные данные, и загружать приложения только из официальных магазинов. 

«Также, чтобы не проэксплуатировать какую-любо уязвимость, нужно соблюдать простое правило цифровой гигиены — своевременно обновлять операционную систему своего смартфона. На текущий момент для iOS это версия 13.6, для Android это версии 9,10,11 с обновлениями безопасности на июнь 2020 года. Если ваш смартфон более не обновляется и не получает обновлений безопасности, самое время разместить его на доску объявлений»,

— рекомендует эксперт.

Сергей Волдохин, в свою очередь, также говорит о необходимости обновлять приложения на своих устройствах, в особенности те, что могут содержать персональные и конфиденциальные данные, информацию о счетах и тому подобное.

«Второе важное правило — не спешите. Самые опасные мошеннические схемы связаны с социальной инженерией, когда злоумышленники атакуют не технологию, а пользователя как самое слабое звено. В большинстве случаев человек сам запускает вредоносную программу, отправляет конфиденциальные данные или подтверждает действие», — отмечает собеседник «Газеты.Ru».

Павел Мясоедов для дополнительной защиты также советует пользоваться специальным QR-код-антивирусом. Такую программу можно установить на телефон: перед сканированием она проверяет код на наличие вредоносного содержимого, и, если таковой будет обнаружен, предупредит пользователя об опасности.