1 Июля, 2019

Сказки о безопасности: Фальшивый QR-код

Владимир Безмалый

Ну вот и закончился наконец-то этот длинный и жаркий рабочий день. Неужели уже можно наконец-то уйти из душного офиса. Да еще и кондиционер сломался и стройка рядом с участком. Забивают сваи. Прямо в мозг. Не то что работать, жить не хочется.

— Мари, вы помните, я приглашаю вас на кофе с мороженым?

— Помню, идем?

— Конечно.

Под вечер улицы маленького городка заполнились народом. Кто шел с работы, кто просто вышел погулять после душного дня. Теплый ветер с моря казалось придавал новые силы гуляющим. Наконец-то хоть немного прохлады. И над головой сваи не стучат! Красота! Да еще и симпатичная девушка рядом.

Но вот и любимое кафе «У Клары». Здесь никогда не было особо многолюдно. Маленькое кафе. Всего несколько столиков. Зато местные знали, что именно здесь вам нальют ароматный кофе и подадут изумительное мороженное, которое готовит хозяйка.

— Мари, а вы знаете, что Клара решила идти в ногу с прогрессом?

— И что она предприняла на этот раз?

— Она внедрила оплату QR-кодом.

— Со смартфонов? Действительно удобно. А главное — она снова первая в нашем городке. Но как она на это решилась?

— Да все просто. Директор отделения нашего банка — ее племянник. Он ей рассказал что вместо 2,5% комиссии за оформление обычного карточного платежа она будет платить всего 0,4%. А еще не нужны привычные POS-терминалы, аренду которых тоже нужно оплачивать. Ей просто выгодно. А смартфоны сегодня есть у всех. Вот и решил банк попробовать такой вид платежей на ее заведении.

— А как же с безопасностью? Ты уже подумал об этом?

— А как ты думаешь, почему меня бесплатно поят кофе у Клары?

— Думаю, потому что ты их консультируешь. Ты ж у нас кибер-полицейский.

— Именно так! Ведь основная проблема QR-кода магазина в том, что отличить его от QR-кода злоумышленника на глаз практически невозможно. Более того, кто мешает злоумышленнику заклеить статический код своим? Да никто!

— А что, создать этот код так просто?

— Конечно! Ведь приложения-генераторы можно бесплатно скачать на смартфон или найти онлайн. И если в крупном магазине может быть сложно улучить момент, когда никто не видит, что происходит на кассе, то дождаться, пока отвлечется уличный продавец, или подменить код в автоматизированной торговой точке не так трудно.

— Погоди, но ведь насколько ты рассказывал, есть же еще и одноразовые QR-коды?

— Есть! Именно такой способ оплаты сделан в данном кафе. Но вот мы и пришли.

— Добрый вечер! Что желаете?

— Два кофе и ваше изумительное мороженное.

— Одну минутку.

Увы, все хорошее быстро заканчивается. Вот и мороженное доели и кофе выпит. Пора вспомнить, что завтра снова на службу.

— Спасибо, Жан, вечер был изумительным.

— Надеюсь мы снова придем сюда

— Безусловно.

— Счет пожалуйста. Попробую расплатиться QR-кодом. Сгенерирую я код в своем смартфоне.

— Пожалуйста, мсье!

— Погодите, что-то странное. Мне пришло уведомление о снятии средств со счета, однако получателем почему-то значилась бильярдная. Будьте добры вашу охрану.

— У вас проблема?

— Да. Я хотел бы вместе с вами просмотреть видео с вашей камеры. И, пожалуйста, не выпускайте пока никого. Это место преступления. Вот мой жетон полицейского.

— Да ну что вы, мсье, мы и так знаем, что вы из полиции. Городок-то небольшой.

Видео прояснило ситуацию: стоявший за спиной полицейского злоумышленник просто-напросто сфотографировал QR-код на смартфоне блюстителя порядка и тут же расплатился им… с самим собой. Хитроумный мошенник заранее зарегистрировал на себя бильярдную и установил на смартфон приложение, которое работает как QR-сканер для бизнеса.

На самом деле подобные преступления довольно широко распространены. А поскольку сегодня многие банки успешно внедряют подобный способ расчета, вам следует быть внимательнее.