QR-код — современное бесконтактное решение, устраняющее разрыв между цифровым и физическим опытом. Во многих случаях — это уникальный маркетинговый инструмент (в торговле, рекламе, логистике и пр.).
Используя популярность QR-кодов, злоумышленники с их помощью пытаются заманивать пользователей на фишинговые сайты и вынуждают их загружать вредоносные программы на устройства.
Сегодня мы поговорим о том, как могут использоваться QR-коды для мошенничества и дадим советы, как не попасть на удочку киберпреступников.
Photo by wir_sind_klein on Pixabay
Подписывайтесь на нас в Facebook, Telegram, Twitter или Instagram, чтобы ничего не пропустить!
Коротко о том, что такое QR-код
QR-код (от анг. Quick Response, “быстрый отклик”) — это двухмерный (2D) штрих-код для отображения и мгновенного считывания информации, представленной в виде серии пикселей в квадратной сетке.
Используется для хранения информации, отправки и получения платёжных данных, предоставления доступа к Wi-Fi и т.д. Формат QR-кода позволяет легко расшифровывать информацию с помощью камеры мобильных гаджетов.
Первый QR-код был представлен в 1994 году японской фирмой Denso Wave. Он мог кодировать до 7 тысяч знаков и считывался в 10 раз быстрее одномерного (1D) штрих-кода. Современный код может хранить до 4296 алфавитно-цифровых символов.
В 2000 году QR-коды были внесены Международной организацией по стандартизации в список одобренных стандартов кодирования информации.
Например, перед футбольным Евро-2012 во Львове по инициативе объединения предпринимателей, занимающихся туризмом, QR-коды разместили на 80+ туристических объектах.
Цель инициативы — помочь людям ориентироваться в городе. Даже тем, кто не знает украинского, поскольку QR-коды открываются на нескольких европейских языках.
По данным исследования Juniper Research, предполагается, что в 2022 году владельцами смартфонов будет использоваться 5,3 млрд купонов с QR-кодами, а 1 млрд пользователей будет иметь постоянный доступ к QR-кодам.
Согласно исследованию The Drum и YouGov, 75% потребителей планирует использовать QR-коды в будущем.
QR-коды — объект внимания мошенников
QR-код — популярная цифровая технология и, как и любая другая, она является объектом внимания злоумышленников. Сценарии похищения с помощью QR-кодов данных и денег пользователей — это хлеб, который кормит киберпреступников.
Над созданием разных схем мошенничества они работают усердно. При использовании QR-кодов важно быть очень внимательными, чтобы не “кормить” киберпреступников и максимально обезопасить себя и свои данные.
Пять самых распространенных схем мошенничества
- Перенаправление на фишинговые сайты с целью похищения конфиденциальной информации пользователя
Фишинговые атаки могут осуществляться не только через SMS-сообщения, электронные письма и мессенджеры. Приманкой для перехода на вредоносный сайт может быть и QR-код.
Например, злоумышленники размещают фальшивые рекламные наклейки рядом финансовыми учреждениями, в том числе и отделениями банков.
- Загрузка вредоносного файла в память гаджета
Многие кафе и рестораны используют QR-коды, чтобы облегчить посетителям возможность загрузки и просмотра меню или установки мобильного приложения для осуществления заказа.
Зная это, мошенники часто подделывают QR-коды, заставляя пользователей скачивать вредоносные программы-вымогатели или PDF-файлы.
- Запуск опасных действий на мобильном устройстве
В зависимости от считывающей программы, сканирование QR-кода может запускать нежелательные действия на устройстве:
- подключение к Wi-Fi;
- отправка SMS-сообщений и электронных писем;
- сохранение контакта мошенника и т. д.
Использование таких приложений позволяет злоумышленникам подключать мобильный гаджет пользователя к опасным сетям.
- Переадресация платежей и запросы на получение денег
Во многих финансовых приложениях сейчас есть возможность осуществлять платежи через QR-код, который уже содержит данные получателя. Поставщики услуг показывают такие коды своим клиентам, желая облегчить и ускорить таким образом процесс оплаты.
Эксперты по кибербезопасности предостерегают: мошенники могут заменить в таком QR-коде данные на свои и получить преступным путём деньги на свой счет.
С целью обмана покупателей могут создаваться поддельные платежные коды с запросом на получение денег.
- Похищение конфиденциальной информации пользователя или доступа к приложению
QR-коды часто используются для проверки информации о пользователе. Актуальный пример — COVID-сертификат с QR-кодом (документ, который содержит конфиденциальные данные о человеке).
Просканировав такой код, злоумышленники могут получить доступ к личной информации владельца сертификата о вакцинации.
Многие программы (Telegram, WhatsApp, Discord) с помощью QR-кодов осуществляют аутентификацию зарегистрированных пользователей, предоставляя доступ к аккаунтам.
Например, под видом представителей службы поддержки мошенники могут обманным путем заставить пользователя просканировать вредоносный QR-код.
Как не стать жертвой мошенников при сканировании QR-кодов
- Быть максимально внимательным при сканировании QR-кода при оплате счетов, переводе денег и осуществлении других финансовых операций
- Отключить функцию автоматического действия при сканировании кода (например, при подключении к сети Wi-Fi, посещении веб-сайта, загрузки файлов)
- Убедиться по возможности в оригинальности QR-кода (например, проверить, не скрывает ли наклейка с кодом другую, настоящую)
- Избегать сканирования случайных QR-кодов, когда невозможно проверить их аутентичность
- Не вводить личные данные на неизвестном сайте, на который попали с помощью QR-кода
- Никогда не публиковать QR-коды с конфиденциальной информацией
- Создавать QR-коды только с помощью надежных сервисов, легитимность которых можно проверить
- Обновлять приложения, которые используют QR-коды, до актуальных версий
- Пользоваться программами для защиты мобильных устройств от вредоносного ПО
Заключение
Сейчас, в условиях гибридной войны, особенно важно не терять бдительность. Даже находясь в полной или относительной безопасности, стоит быть осторожным и внимательным, чтобы собственными руками не передать киберпреступникам или мошенникам свои личные данные или деньги.
Всем, кто продвигает свой бизнес онлайн, напоминаем: обеспечить безопасное обслуживание клиентов поможет сертификат SSL. Его можно приобрести в NIC.UA.
Также мы предоставляем нашим клиентам возможность зарегистрировать удачный домен и заказать надежный хостинг для сайта.
Эти инструменты обеспечат бесперебойную работу вашего бизнеса в сети “Интернет”, помогут развивать своё дело, получать стабильный доход и поддерживать экономику Украины.