Кража денег через QR-код: как это работает

Кража денег через QR-код: как это работает
6dbd8be1b364859eb5faf37efd23864a.jpg

Обострение мошеннической активности развивается во всех возможных направлениях. Преступники изобретательны и ищут новые каналы монетизации. Так, в августе выросло число мошенничеств с использованием QR-кодов. Особенно заметно это было в Крыму, где QR-код является распространенным инструментом для оплаты товара или услуги. Злоумышленники размещают коды на листовках, банкоматах либо предлагают в качестве альтернативного способа оплаты. Обманных схем здесь может быть две: либо пользователь по ошибке переводит средства на счет злоумышленника, либо скачивает на телефон шпионское ПО, которое получает доступ к личным и банковским данным жертвы.
Как работает QR-код
QR-код – «Quick Response Code» – это система матричного кодирования, то есть двумерный штрих-код в форме квадрата. Он более емкий, чем линейный штрих-код, который, например, часто используется в магазинах. Кроме того, он быстро вычисляемый, это же свойство скрывается в названии: «Quick Response Code» – «Код Быстрого Ответа». Изначально спроектированный для промышленного использования, QR-код за счет своей универсальности и легкости использования обрел широкую популярность во всех сферах жизни.
Таким образом, сам QR-код – это представление текста, с проверкой целостности и механизмом устранения ошибок. Активные действия производятся не им, а программой считывания кода и тем, как она распознает указатели в тексте. Например, если считыватель распознает контактную информацию, то передает ее в приложение «контакты», которое предложит добавить новые данные к существующему контакту или создать новый. Если считыватель распознает URL, то он передает его в браузер по умолчанию для открытия. Если закодировано SMS-сообщение, то система передает его в приложение SMS/MMS. Но активные действия (запоминание контакта, скачивание документа или приложения из магазина, отправка сообщения) происходят с подтверждения пользователя.  
Как себя обезопасить от подобного мошенничества
QR-код – это в первую очередь способ доставки текстовой информации на мобильное устройство, действия с этой информацией производит пользователь. То есть из-за простого считывания картинки QR-кода не произойдет ничего плохого.
Основной вопрос – это степень доверия к считанной информации. Например, если вам предлагают произвести оплату по реквизитам, скрытым в QR-коде, вряд ли пользователь будет проверять указанное в нем юридическое лицо. Но именно на изначальном доверии и строится успешность мошенничества. Основным способом защиты в данном случае является общая бдительность. Сгенерировать QR-код с нужной информацией может кто угодно, это доступный всем механизм, и именно это надо понимать. А так как визуально непонятно, какая именно в нем зашита информация, проверять ее корректность можно только после считывания QR-код-ридером. И далее внимательно проверять считанную информацию.
Для дополнительной безопасности можно использовать QR-код-ридеры от антивирусных производителей, которые, кроме считывания, проверяют ссылки на присутствие в своих базах вредоносных или фишинговых URL и применяет другие собственные антивирусные технологии проверки. Подобные QR-код-ридеры предоставляют:
• Kaspersky QR Scanner,
• Avira QR Scanner,
• QR-сканер Trend Micro и другие.
Alt text

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и TwitterTwitter, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Angara Technologies Group

Корпоративный блог компании Angara Technologies Group