Мошенники научились красть у россиян деньги с банковского счета через QR-код. Произойти это может не только по невнимательности жертвы, но и из-за уязвимости в системе. Эксперты рассказали «Газете.Ru» о видах такого рода мошенничества и дали советы, как себя обезопасить.
Известен также случай, когда мошенники размещали свои QR-коды прямо на столах заведений общепита под видом сервиса, собирающего чаевые для сотрудников. Об этом «Газете.Ru» рассказал работник одного из столичных ресторанов, посоветовав уточнять подлинность кода у персонала, прежде чем перечислять вознаграждение.
В подобной схеме нет ничего удивительного, ведь покупатель или пользователь не может определить, сканирует ли он настоящий код или поддельный, который ему подсунули мошенники, говорит партнер и директор компании «Интеллектуальный Резерв» Павел Мясоедов, добавляя, что сейчас есть масса способов таким образом списать деньги со счета любого клиента.
«Банки уже заявляли, что есть случаи подделки страниц с оплатой. Возможно, речь идет о том, что мошенники подделывают код на такой странице. Он сканируется пользователем, и после этого в устройство попадает вредоносное ПО, которое списывает средства со счета», — поясняет «Газете.Ru» Мясоедов. При этом он отмечает, что
списание средств может произойти не сразу, а через какое-то время, чтобы у клиента было меньше подозрений и понимания того, где был отсканирован поддельный код. В такой ситуации что-либо доказать или найти источник, когда именно в телефон попала вредоносная программа, практически невозможно.
Директор компании «Антифишинг» Сергей Волдохин отмечает, что оплата по QR-кодам — относительно новое явление и с мошенничествами с использованием данной технологии в компании практически не сталкивались. В данном случае можно говорить о нескольких возможных схемах:
«В описании [вышеупомянутой] ситуации мало технических подробностей, однако автоматическое списание средств теоретически возможно, если в программе-считывателе QR-кода, банковском приложении или мобильной операционной системе были уязвимости. В случае эксплуатации таких уязвимостей мошенники смогут получить удаленный доступ к системе и выполнить любую транзакцию автоматически», — рассуждает Волдохин, добавляя, что с уязвимостями компании-разработчики регулярно борются путем выпуска обновлений, и если их не устанавливать регулярно, риски того, что устройство может быть взломано, существенно повышаются.
При этом эксперт обращает внимание на тот факт, что в реальности гораздо более распространены ситуации, в которых сам пользователь подтверждает перевод средств. В частности, мошеннический QR-код может содержать сообщение о переводе денег через мобильный банк, и для отправки средств на счет мошенников пользователю остается лишь нажать на кнопку отправки (неважно, случайно или намеренно).
«Пользователь также может открыть QR-код через банковское приложение. В данном случае все реквизиты заполняются автоматически, в том числе может указываться релевантное назначение платежа. Но, если мошенники подменили QR-код, реквизиты тоже будут поддельными», — описывает директор компании «Антифишинг» еще один способ мошенничества, советуя всегда перепроверять реквизиты по платежам на значимые суммы, даже если реквизиты были автоматически считаны с QR-кода.
Об этом говорит и руководитель группы контроля ИТ-рисков и противодействия мошенничеству в ИТ-системах Райффайзенбанка Александр Мотичев. Он добавляет, что платежи по QR-коду абсолютно безопасны, если выполнять традиционные требования к переводам средств — проверять все реквизиты и не подтверждать операцию, если нет уверенности в получателе.
Заместитель руководителя Лаборатории компьютерной криминалистики Group-IB Сергей Никитин рекомендует критически оценивать сайты, которые просят оставить личные или платежные данные, и загружать приложения только из официальных магазинов.
«Также, чтобы не проэксплуатировать какую-любо уязвимость, нужно соблюдать простое правило цифровой гигиены — своевременно обновлять операционную систему своего смартфона. На текущий момент для iOS это версия 13.6, для Android это версии 9,10,11 с обновлениями безопасности на июнь 2020 года. Если ваш смартфон более не обновляется и не получает обновлений безопасности, самое время разместить его на доску объявлений»,
— рекомендует эксперт.
Сергей Волдохин, в свою очередь, также говорит о необходимости обновлять приложения на своих устройствах, в особенности те, что могут содержать персональные и конфиденциальные данные, информацию о счетах и тому подобное.
«Второе важное правило — не спешите. Самые опасные мошеннические схемы связаны с социальной инженерией, когда злоумышленники атакуют не технологию, а пользователя как самое слабое звено. В большинстве случаев человек сам запускает вредоносную программу, отправляет конфиденциальные данные или подтверждает действие», — отмечает собеседник «Газеты.Ru».
Павел Мясоедов для дополнительной защиты также советует пользоваться специальным QR-код-антивирусом. Такую программу можно установить на телефон: перед сканированием она проверяет код на наличие вредоносного содержимого, и, если таковой будет обнаружен, предупредит пользователя об опасности.