Киберсыщик рассказал об угрозах для жертв мошеннических схем с QR-кодами

Умение отличить поддельный код от настоящего становится жизненно важным

Пожалуй, нет сейчас сферы в нашей жизни, где не используют зашифрованную в квадратике информацию. «Лекцию можно будет посмотреть на большом экране в онлайн-режиме и задать вопросы, отсканировав специальный куар-код»; «В сквере таком-то, перейдя по куар-коду, можно узнать о сельских округах района. Лично оценил удобство подачи информации в таком формате», — пишут мэры в своих блогах. «Реализуется новый цифровой проект «Все о городе»... На медиаэкранах, в общественном транспорте и на остановочных павильонах будет размещен единый куар-код, перейдя по которому...»

И ведь в наше время почти всегда сборы на нужды СВО и помощь российским бойцам тоже проводятся с помощью таких кодов.

Но беда в том, что электронным преступникам не составляет никакого труда нарисовать свой «куар» и поместить его на любой документ. Куда могут завести фейковые «куары», «МК» узнал у киберсыщика.

— Сейчас появились принципиально новые мошеннические схемы — QR-коды стали активно использовать на поддельных документах якобы от государственных органов, которые отправляются физическим лицам, — рассказал нам эксперт в области киберрасследований Игорь Бедеров. — Во-первых, подделывается, как правило, адрес электронной почты отправителя — администрации, правоохранительного органа, судебного органа и так далее. Во-вторых, создается общий антураж того, что это официальное обращение. В него вкладывается документ с поддельными подписями и реквизитами, в котором указывается, что получателю необходимо либо предоставить какую-либо информацию, либо передать что-то через Госуслуги, либо через налоговую, либо предлагается принять участие в какой-либо конференции и дать обратную связь.

Человеку предлагается сделать переход по QR-коду. В QR-код может быть зашит небольшой элемент программного кода, который может запускать определенные алгоритмы. Как правило, этот программный код предполагает, что мы переходим при клике на QR-код на некий внешний ресурс, где автоматически подзагружаем себе исполняемый файл с вредоносным программным обеспечением. Это могут быть как фишинговые (мошеннические) сайты, так и загрузка вредоносной программы себе в гаджет. Помимо вредоносных программ сейчас уже стали широко внедрять шпионские программные продукты и продукты для удаленного управления телефоном.

Киберсыщик подчеркнул, что распространение таких схем связано с тем, что все меньше людей «ведется» на классическое телефонное мошенничество, и одной из задач злоумышленников становится получение удаленного доступа к телефону жертвы для дальнейшего самостоятельного управления гаджетом — чтобы зайти в его банки, получить коды подтверждения и так далее.

— Получив несанкционированный доступ к вашему устройству, злоумышленник будет отрабатывать его по максимуму, — рисует мрачные перспективы жертвы Игорь Бедеров. — Когда они изымут все деньги, то, получив также доступы ко всем вашим информационным сервисам, к соцсетям, почтовым ящикам, они смогут все это использовать в своих дальнейших целях: для устранения самого вируса, для вымогательства, попрошайничества, ну и в конечном итоге — для использования в составе ботнетов, чтобы распространять фейки с вашего устройства от вашего имени.

В качестве примера приведем еще одну сферу, где применяют лже-«куары», — парковочные автоматы. В Америке этот вид преступного бизнеса существует уже давно, потом стали приходить сообщения на эту тему из Англии и Ирландии. «Поверх первоначального кода злоумышленники наклеили поддельный, что может заметить далеко не каждый обладатель личного транспорта, — пишет издание по кибербезопасности SecurityLab.ru. — А если и заметит, то может не придать этому значения — мало ли, поменялись реквизиты для оплаты, и код переклеили». Автомобилистов призывают избегать QR-кодов для оплаты парковки и вместо этого пользоваться наличными или картой. Дошел этот метод и до России.

— Действительно, с подобным видом мошенничества сталкивались в Петербурге, но там это своевременно было обнаружено, — говорит Игорь Бедеров. — Когда проверяющий выезжает на место и осуществляет внешний обзор, нет ли на каких машинах закрытых номеров и так далее, то одновременно он фиксирует еще и паркоматы с QR-кодами, чтобы на них не было что-нибудь приклеено. Обычно злоумышленник меняет на паркоматах QR-код, который ведет не на официальный бот для оплаты, а на фальшивый, и дальше эти средства переходят к нему. Делается это за 2–3 минуты «на коленке». Поэтому работники должны выезжать и проверять все эти парковочные зоны.

Еще одно поле для махинаций с «куарами» — оплата услуг ЖКХ, о чем «МК» уже писал неоднократно. Если QR-код размещен в той же платежке или письме от организации ЖКХ, то у человека, особенно пенсионера, почти никогда не возникает сомнений в его подлинности. Чем и пользуются преступники.

Департамент информационных технологий Москвы очень кстати 22 октября выпустил «Памятку о правилах кибербезопасности» при оплате счета по QR-коду из бумажной квитанции или по ссылке из уведомления в электронной почте.

Первое. Внимательно проверяйте адрес ссылки, по которой переходите из письма или QR-кода. Злоумышленники нередко маскируют фишинговые ресурсы под официальные сайты, подменяя в адресе один или несколько символов. Второе: проверяйте реквизиты, по которым переводите оплату. Третье: не передавайте код подтверждения оплаты и другую конфиденциальную информацию третьим лицам.

И четвертое — обязательно используйте антивирус на компьютерах и мобильных устройствах. При малейших сомнениях нужно закрыть страницу и скачать платежную квитанцию с официального ресурса — mos.ru или сайта организации, выставившей счет.

Лаборатория Касперского еще давно предложила простой способ, как отличить поддельный код от настоящего: прежде чем сканировать QR-коды с рекламных плакатов и вывесок и поспешно их оплачивать, нужно убедиться, что оригинальное изображение не заклеено картинкой с подложным кодом. Да, именно таким, физическим способом, возможно, вам и удастся обнаружить опасную подделку.

Исправить ситуацию, несомненно, помогут новые продукты (ПО или приложения для телефона) для проверки подлинности QR-кодов — когда они появятся. «Поняв, что мало кто из граждан проверяет эти коды, рано или поздно встроят проверку вебресурсов и QR в браузере и камере», — говорит Бедеров. При наведении камеры телефона на черно-белый квадратик такая программа расшифрует сам QR-код, что в нем содержится, проверит ссылки и возможность скачивания программного обеспечения, а также реквизиты, зашитые в рамках СБП в этот код: насколько они легитимны и насколько соответствуют организации, которой вы собираетесь заплатить. Ждем-с с нетерпением...