КАК ОБМАНЫВАЮТ МОЛОДЕЖЬ ПРИ ПОМОЩИ QR КОДА
Кибермошенники нашли способы атаковать детей и подростков с помощью QR-кодов. Сканируя их в общественных местах, юные пользователи теряют деньги. Новая схема «берет» своей простотой: коды достаточно популярны у подрастающего поколения. О том, что дети и подростки становятся вс` более уязвимы перед киберпреступниками, предупреждал в своем недавнем отчете ФинЦЕНТР Банка России. Порядка 5% жертв злоумышленников — люди младше 20 лет. Для «Известий» в проблеме разобрался замруководителя CERT-GIB Ярослав Каргалев.
Остро, модно, молодежно
Для подростков особенно актуален относительно новый способ доставки мошеннического или вредоносного контента на мобильное устройство — с помощью QR-кодов. В последнее время они начали получать распространение как простой способ передачи информации, оплаты товаров и услуг. Не отстает от этого тренда и образование, сейчас все чаще в учебных заведениях можно встретить использование QR-кодов: это позволяет сделать процесс обучения более интерактивным.
Но важнее то, что сейчас в различных местах — на улицах, в подъездах домов, в общественном транспорте и так далее можно встретить наклейку с QR-кодом. Дети по своей природе более любопытны, а сам способ сканирования кода — это некое новое для них взаимодействие с окружающей средой. Молодежь охотнее использует QR-коды, чем взрослые.
Типовая атака с использованием QR-кода выглядит следующим образом:
1. Злоумышленник кодирует свою вредоносную ссылку или команду в QR-код .
Налог за доходы: в России обнаружили новую схему обналичивания денег
Фиктивные фирмы стали перечислять средства в ФНС и ФТС вместо реальных компаний в обмен на наличные от них
2. Скрытно переклеивает свой сгенерированный QR-код поверх другого легитимного кода — например, на кассе кофешопа или учебного расписания.
3. Жертва сканирует поддельный QR-код , желая оплатить услугу или получить какие-либо сведения. В зависимости от закодированной информации мобильное устройство может выполнить следующие действия: перевод денежных средств на другой банковский счет, переадресация на поддельный сайт, загрузка вредоносного кода.
Сценарии могут быть различны и зависят только от фантазии злоумышленников. Например, были зафиксированы случаи, когда вредоносные QR-коды расклеивали по улице. Очевидно, что очень любопытный встречный не пройдет мимо и отсканирует код. В результате потенциальная жертва попадала на мошеннический сайт, где ей предлагали пройти простой опрос и получить за это деньги. При попытке получить заработанные средства на этом же сайте предлагалось ввести данные своей банковской карты или отправить SMS на указанный номер. В результате у жертвы могли списать деньги с банковской карты или с баланса мобильной связи.
На месте такого мошеннического сайта может располагаться ссылка на фишинговый ресурс с просьбой пройти аутентификацию, введя логин и пароль, например, от социальной сети, или ссылка на загрузку вредоносного кода. В случае реализации последнего варианта на мобильное устройство подростка может быть установлено различное вредоносное ПО — например, специализирующееся на шпионаже или предоставлении удаленного доступа к устройству.
Чтобы не стать жертвой подобных атак, стоит воздержаться от сканирования QR-кодов в общественных местах, где разместить их может кто угодно . В некоторых случаях устройство отображает владельцу ссылку, извлеченную из отсканированного кода. Необходимо предварительно убедиться, что она соответствует сервису, от которого был получен код. Обязательно стоит запретить загрузку и установку мобильных приложений из неизвестных источников.
Нужно всегда держать в голове, что QR-код может содержать ссылку на вредоносный или мошеннический сайт или инициировать нежелательную команду на устройстве.