Стать жертвой злоумышленников и потерять деньги можно отсканировав QR-коды в общественных местах. Новая схема «берёт» своей простотой: коды достаточно популярны у подрастающего поколения. Мы продолжаем серию публикаций в рамках просветительского проекта по финансовой грамотности совместно с БИПКРО.
Для подростков особенно актуален относительно новый способ доставки мошеннического или вредоносного контента на мобильное устройство — с помощью QR-кодов. В последнее время они начали получать распространение как простой способ передачи информации, оплаты товаров и услуг. Не отстаёт от этого тренда и образование—сейчас всё чаще в учебных заведениях можно встретить использование QR-кодов: это позволяет сделать процесс обучения более интерактивным. Но важнее то, что сейчас в различных местах — на улицах, в подъездах домов, в общественном транспорте и так далее — можно встретить наклейку с QR-кодом. Дети по своей природе более любопытны, а сам способ сканирования кода—это некое новое для них взаимодействие с окружающей средой. Молодёжь охотнее использует QR-коды, чем взрослые.
Как атакуют мошенники?
Типовая атака с использованием QR-кода выглядит следующим образом:
1. Злоумышленник кодирует свою вредоносную ссылку или команду в QR-код.
2. Скрытно переклеивает свой сгенерированный QR-код поверх другого легитимного кода — например, на кассе кофешопа или учебного расписания.
3. Жертва сканирует поддельный QR-код, желая оплатить услугу или получить какие-либо сведения. В зависимости от закодированной информации мобильное устройство может выполнить следующие действия: перевод денежных средств на другой банковский счёт, переадресация на поддельный сайт, загрузка вредоносного кода.
Чем это грозит?
Сценарии могут быть различными и зависят только от фантазии злоумышленников. Например, были зафиксированы случаи, когда вредоносные QR-коды расклеивали по улице. Очевидно, что очень любопытный встречный не пройдёт мимо и отсканирует код. В результате потенциальная жертва попадала на мошеннический сайт, где ей предлагали пройти простой опрос и получить за это деньги. При попытке получить заработанные средства на этом же сайте предлагалось ввести данные своей банковской карты или отправить SMS на указанный номер. В результате у жертвы могли списать деньги с банковской карты или с баланса мобильной связи.
Матюхина Полина Валерьевна
Журнал «Брянская ТЕМА»