Новости

Как работает мошенничество с QR-кодом?

1.   Сканирование QR-кода

При сканировании QR-кода пользователя направляют на мошеннический веб-сайт с запросом их имени, номера телефона и адреса электронной почты. В дальнейшем их личная информация может использоваться для маркетинга или, что хуже, для преступных целей.

Проблема в том, что преступники быстро и легко генерируют QR-коды, меняют реальный QR-код на поддельный и направляют пользователей на вредоносный веб-сайт. Это усугубляется тем, что людям приходится вводить свои личные данные несколько раз в день.

Пользователи привыкли к процедуре сканирования QR-кодов и предоставления своих личных данных, и мошенники пользуются этой возможностью.

2.   Сканеры QR-кода для Android

Другая опасность связана с приложениями для сканирования QR-кода.

Чтобы просканировать QR-код, пользователи Android могут скачать приложение, которое будет выполнять функцию сканирования кода с помощью мобильного устройства. Однако, вредоносное приложение, специально созданное и замаскированное под приложение-сканер, помимо основной функции сканирования, может получать доступ к вашему устройству, определять его тип, версию прошивки и находить слабое место. Далее приложение без вашего участия скачивает вредоносную программу, которая взламывает мобильное приложение интернет-банкинга с доступом к вашим картам.

Сегодня в Google Play обнаружено более 10 вредоносных мобильных приложений, которые замаскированы под сканер QR-кода и воруют деньги с вашей банковской карты.

Существует три распространенных мошенничества с QR-кодами:

1. Перехват ссылки или Кликджекинг (Clickjacking) – самая простая афера с QR-кодом. Это способ, когда мошенники получают оплату при переходе пользователя на определенный сайт. Данная афера чаще всего встречается на туристических маршрутах, где люди, сканируя QR-код, рассчитывают получить интересную информацию о месте или объекте, рядом с которым он нанесен. В случае с кликджекингом QR-код переносит пользователя на определенный сайт, и мошенник получает за это оплату.
2. Афера с небольшими авансовыми платежами - для некоторых услуг иногда требуется сделать предоплату перед ее использованием, например, арендовать велосипед или электро-самокат. Чтобы пройти процесс оплаты достаточно просто отсканировать QR-код. Но реальные QR-коды могут быть заменены мошенниками, которые и получают платеж.
3. Фишинг - фишинговые ссылки можно легко замаскировать под QR-коды. Мошенники размещают QR-коды там, где это целесообразно для пользователя, например, для регистрации при COVID-19 или в меню на столах ресторана. Выявлено, что в России начали продавать коды, которые ведут на фишинговые страницы, имитирующие официальные ресурсы.

Что можно сделать, чтобы остановить мошенников?

Лучшее, что вы можете сделать, это использовать приложения, разработанные известным брендом или одобренные правительством, и рекомендовать пользователям загружать только их.

Избегайте использования сервисов, которые скрывают адрес веб-сайта, и всегда тестируйте QR-код, прежде чем предоставлять его своим клиентам.

Еще один хороший совет - предоставить скриншот и описание веб-сайта, чтобы клиенты знали, чего ожидать.

Наконец, сделайте QR-код частью дизайна и наносите его типографским способом, прямой термотрансферной или чернильной печатью на упаковку или на этикетку с общим описанием продукта. Так вы сможете гарантировать, что на упаковке он не будет заменен вредоносным QR-кодом.