Не спеши сканировать: как хакеры могут использовать QR-коды для мошенничества

Следующая новость

QR коды существуют уже несколько десятилетий, но в последние годы их популярность очень выросла. Сегодня их используют в разных целях – от отображения меню ресторана до совершения бесконтактных транзакций.

Однако, как и любая другая популярная технология, распространенность QR-кодов привлекла внимание и мошенников, которые начали использовать их в злоумышленных целях. Чтобы не попасть в ловушку киберпреступников, специалисты ESET подготовили список основных схем мошенничества с QR-кодом и советы по их избеганию.

Что такое QR-код и как он работает

QR-код – это штрих-код, предназначенный для мгновенного считывания и отображения информации современным девайсом. Один код может хранить до 4296 символов в виде букв и цифр, хотя, как правило, их используется меньше. Это позволяет легко расшифровывать QR коды с помощью камеры смартфона.

Закодированные текстовые строки могут содержать различные данные. Следующее действие после считывания кода зависит от программы, которая открывает его. В частности, коды используются для открытия вебсайта, загрузки файла, добавления контакта, подключения к сети Wi-Fi и даже осуществления платежей.

Многофункциональность QR-кодов позволяет изменять их, в частности с помощью добавления логотипа компании. В их динамических версиях даже есть возможность изменить содержимое или действие в любое время.

Как злоумышленники используют QR-коды в схемах мошенничества

Учитывая популярность QR-кодов, киберпреступники создают новые схемы мошенничества для похищения данных и денег пользователей. Среди наиболее распространенных схем мошенничества:

1. Перенаправление на вредоносный сайт для похищения конфиденциальных данных.

Фишинговые атаки распространяются не только через электронные письма, мессенджеры или SMS-сообщения. Подобно применению вредоносной рекламы и других методов для привлечения жертв на мошеннические сайты злоумышленники используют и QR-коды.

Беспокойство вызывает рост схем мошенничества с QR-кодами, в которых злоумышленники распространяют фальшивые рекламные наклейки рядом с банковскими или другими финансовыми учреждениями. Среди недавних случаев – размещение поддельных наклеек с QR-кодом на общественных автоматах для парковки, которые перенаправлялись на фальшивые платежные сайты.

2. Загрузка вредоносного файла на устройство

Большинство кафе и ресторанов используют QR-код, чтобы загрузить меню или установить приложение для осуществления заказа. В свою очередь злоумышленники могут легко подделать его, чтобы обманом заставить пользователя скачать вредоносный PDF-файл или мошенническое приложение.

3. Запуск опасных действий на устройстве пользователя

QR-коды могут вызвать действия на вашем устройстве в зависимости от считывающей программы. Среди базовых действий таких приложений ― подключение к сети Wi-Fi, отправка электронного письма или SMS с предварительно определенным текстом и сохранение контакта на устройстве. Однако, используя такие приложения, злоумышленники могут подключить устройство к опасным сетям.

4. Переадресация платежа или запрос на получение денежных средств

Большинство финансовых приложений сегодня позволяют производить платежи через QR-коды, которые уже содержат данные получателя. Многие магазины показывают эти коды своим клиентам и таким образом облегчают процесс оплаты.

Однако следует помнить, что злоумышленники могут заменить данные в этом коде на собственные и получить деньги на свой счет. Мошенники также могут создавать поддельные платежные QR-коды с запросами на получение денег, чтобы обмануть покупателей.

5. Похищение личных данных или доступ к программе

Многие QR-коды используются для проверки данных о человеке, например, его идентификационный номер или наличие сертификата вакцинации. В этих случаях коды содержат конфиденциальную информацию, которую злоумышленник может легко получить, просканировав их.

Также многие программы, например, WhatsApp, Telegram или Discord, используют QR-коды для аутентификации сеансов, позволяя пользователям получить доступ к своим аккаунтам. В частности, злоумышленники под видом службы поддержки могут обманом заставить пользователя просканировать вредоносный QR-код.

Как избежать мошенничества при сканировании QR-кодов

  • Перед сканированием убедитесь в оригинальности QR-кода, например, наклейка с поддельным кодом может закрывать оригинальный и быть частью схемы мошенничества.
  • Избегайте сканирования случайно найденных QR-кодов или в нежелательных сообщениях.
  • Будьте осторожны при сканировании кода для оплаты счетов или другой финансовой операции. По возможности выберите другой безопасный способ оплаты.
  • Отключите функцию автоматического действия при сканировании QR-кода, например, посещение веб-сайта, загрузку файла или подключение к сети Wi-Fi.
  • После сканирования просмотрите URL-адрес, чтобы убедиться в его легитимности. Также лучше не вводить личные данные на сайте, на который вы попали с помощью QR-кода.
  • Не публикуйте QR-коды, содержащие конфиденциальную информацию. Это могут быть коды для доступа к программам или проверки личных документов и сертификатов вакцинации.
  • Для создания такого кода используйте надежные сервисы, которые позволяют проверить его легитимность и выполнение необходимого действия.
  • Обновляйте приложения до актуальных версий и используйте программу для защиты от вредоносного программного обеспечения.