Зловредный QR: как устроено мошенничество с QR-кодами

QR-код — это комбинация черных и белых пикселей, напоминающих штрих-код. Пиксели можно считать с помощью камеры и получить доступ к различным ссылкам, контактным данным и другой информации. 

QR-коды упростили повседневную жизнь, но вместе с тем распространились случаи мошенничества с их использованием. Операционный директор компании МУЛЬТИФАКТОР Виктор Чащин рассказал про разновидности мошенничества с QR-кодами и дал несколько советов о том, что можно предпринять, чтобы не попасться на уловки злоумышленников.

Виктор, какие цели преследуют мошенники при расклеивании «опасных» QR-кодов?

Цель любых мошенников — получение той или иной выгоды. Мошенниками они становятся в том случае, если процесс получения выгоды нелегален или условно легален. Соответственно, используя QR-коды, злоумышленники пытаются либо похитить какие-то финансы, либо узнать какие-то данные, которые можно потом перепродать или использовать в других целях.

Как устроено мошенничество с QR-кодами? 

Нужно сделать небольшое отступление, почему вообще используются QR-коды. Их преимущество, и оно же недостаток, заключается в том, что сам код предназначен для считывания электронными девайсами, а не человеческим глазом. Поэтому внутрь кода можно запрятать ссылку на любой сайт, и человеку до момента считывания не будет понятно, на какой ресурс этот код ведет.

Сама же схема выглядит так: мошенник размещает код, пользователь его считывает и переходит по ссылке. На указанной страничке пользователю по той или иной причине предлагается заполнить форму с данными, которые получает мошенник. Например: «Поздравляем! Вы наш 100500 пользователь! Заполните данные для получения специального приза». Потом мошенник продает эти данные на черном рынке или использует их сам для получения доступа к более важной информации о пользователе.

Виктор, подскажите, как с этим бороться? Что можно предпринять, чтобы самому не угодить в ловушку? 

Советы тут такие же, как и с любым другим видом мошенничества:

1. Будьте внимательны при считывании кода. Если вы просканировали код и открыли сайт (чат и др.), то проверьте адрес страницы, куда вы попали. Подумайте, связан ли он как-то с контекстом, где вы этот код считали. 
2. Не торопитесь! Часто на страницах стоит таймер, который, как правило, торопит человека совершить какое-либо действие быстрее. А когда пользователь спешит, он не обращает внимание на детали, выдающие мошенника.
3. Не ведитесь на розыгрыши и получение призов. Помните, что бесплатный сыр всегда только в мышеловке.
4. Уточните интересующую вас информацию напрямую у службы поддержки. Желательно найти ее контакты не на той же страничке, куда вы попали, а через поиск в интернете: зачастую мошенники размещают на странице фейковый раздел «Вопросы-ответы» или даже нанимают человека для ответа пользователям, но при этом они стараются сделать так, чтобы страница не попала в поисковики, чтобы дольше скрываться от правосудия.
5. Спросите знакомого, не видит ли он чего-то подозрительного в ссылке, по которой вы перешли.
6. Всегда используйте мобильные антивирусы: во многих из них сейчас есть режим мониторинга открытия небезопасных ссылок.

Какие, на ваш взгляд, популярные схемы распространения вредоносных QR-кодов?

Одна из самых эффективных схем распространения — размещение «фейкового» кода рядом с правильным (корректным) кодом или даже подмена корректного кода. Когда в физическом мире вы привыкли видеть код, используемый для технических целей на одном и том же месте, а мошенник пользуется этим. Примером такого размещения в позапрошлом и даже в этом году служат QR-коды на каршеринговых самокатах, с помощью которых мошенники пытаются заставить пользователя поставить фейковое приложение для аренды с целью кражи данных их карт.

Иногда «вредоносные» QR распространяют в привычных нам местах. Например, на дверях ресторана будет наклеена ссылка на фейковое меню и страницу оплаты счета в этом ресторане.

Также часто используется QR-бомбинг — схема, при которой в случайных местах размещается код на продажу каких-либо нелегальных услуг или товаров, предоставление которых вообще не гарантируется. В этом случае пользователь находится особенно незащищенным, потому что даже не может обратиться в полицию с заявлением о мошенничестве.