Не попадайтесь на мошенничество с поддельными QR-кодами

Преступники могут использовать эти коды, чтобы попытаться украсть деньги и личную информацию. Вот как обезопасить себя.

Отредактировано 2023-25-06
qr-код на телефонеНе верьте, что каждый QR-код приведет вас туда, куда вы хотите попасть.

Такие страны, как Китай, уже давно одержимы QR-кодами - одержимость, которая возникла еще до пандемии. Но США подхватили эту идею. В последнее время мы наблюдаем рост популярности QR-кодов, поскольку компании ищут стратегии, позволяющие сократить количество контактов между людьми. Магазины и фудтраки начали размещать QR-коды, ссылающиеся на онлайн-меню или даже на счета Venmo. Но как бы полезны они ни были в некоторых случаях, они сопряжены с определенными рисками.

QR-коды, встречающиеся в общественных местах, переносят все больше людей на мошеннические веб-сайты, управляемые мошенниками. Последняя тенденция в этой растущей новой форме финансовых преступлений сосредоточена вокруг счетчиков оплаты парковки.

В начале января департамент полиции Остина выпустил объявление, предупреждающее жителей о том, что "на счетчиках общественной парковки города Остин были обнаружены мошеннические наклейки с QR-кодами. Люди, пытавшиеся оплатить парковку с помощью этих QR-кодов, могли попасть на мошеннический веб-сайт и совершить платеж".

QR-коды - что, кстати, означает "быстрый ответ" - в наши дни повсеместно распространены. Маленькие двухмерные квадратные лабиринты из черно-белых пикселей могут нести до 4 килобайт данных (около 4 000 символов). Они были изобретены в 1990-х годах в Японии дочерней компанией Toyota Denso Wave для отслеживания деталей и компонентов в процессе производства автомобилей. С тех пор варианты QR-кодов распространились по всему миру. В эти QR-коды "можно вставлять все, что угодно. Люди вставляют музыкальные файлы, изображения, всевозможные вещи", - говорит Джейсон Хонг, профессор информатики в Университете Карнеги-Меллон. "Но чаще всего это веб-адрес".

Коробки WiFi, инструкции по эксплуатации и даже лампочки могут быть снабжены QR-кодом для легкого доступа. "Они есть везде, где нужно посмотреть инструкцию или найти какое-то приложение", - говорит Хонг.

Несмотря на то, что они существуют уже давно, их рост был медленным. Когда произошел взрыв смартфонов, они стали более популярными. "Раньше нужно было загружать специальное приложение, которое использовало бы камеру для считывания информации, - говорит Хонг, - но теперь большинство смартфонов имеют встроенное программное обеспечение, которое переводит сканирование камеры в ссылку, загружаемую через веб-браузер".

Тем не менее, компьютерные ученые из Карнеги-Меллон отметили, что фишинговые аферы с QR-кодами могут представлять проблему для пользователей смартфонов еще в 2012 году.

Люди уже давно знают, что проблема QR-кодов заключается в том, что им не хватает "взаимной аутентификации", - говорит Хонг, что означает, что нет способа определить, являются ли данные или ссылка, связанные с QR-кодом, плохими или законными. Он сравнивает это с визитной карточкой, которую кто-то уронил на землю и на которой есть веб-адрес: "Вы понятия не имеете, куда она вас приведет".

Но в большинстве случаев, например, с инструкциями или меню, это, скорее всего, не будет проблемой. "Нет никаких конфиденциальных данных, которые они могли бы получить от вас, а также нет простого способа для мошенника нанести свой QR-код на инструкцию", - говорит Хонг.

Однако мошенники становятся все более изобретательными в том, как они обманывают своих жертв, заставляя их щелкать по плохим ссылкам. И они проявляют оппортунизм, когда речь идет о низких усилиях и высоких вознаграждениях.

Сгенерировать QR-код и создать поддельный сайт, который будет выглядеть законным, очень просто, говорит Хонг. А поскольку любой может разместить наклейку где угодно, мошенники могут специально выбрать место, удобное для перехвата информации. В афере с оплатой парковки эти наклейки с QR-кодами были размещены на парковочных счетчиках.

QR-код позволяет преступникам сократить шаг от классической аферы с фишинговым сайтом, "потому что вам не нужно вводить веб-адрес самостоятельно", - говорит Хонг.

"Для обычных QR-кодов [которые проходят через камеры смартфонов] нет способа проверки, но в городе Питтсбурге, где я сейчас нахожусь, есть приложение для парковки, которое можно использовать", - говорит Хонг. "Эти приложения могут проверять QR-коды... и если это не один из 2 000 кодов, о существовании которых они уже знают, они могут сказать, что это подделка. Но нет способа сделать это без дополнительного контекста о том, что законно, а что нет".

Он советует избегать таких видов мошенничества: не сканируйте случайные QR-коды, которые расклеены на открытых местах по всему городу - особенно те, которые запрашивают конфиденциальную личную информацию или оплату. Если вам все же приходится предлагать подобную информацию, лучше всего по возможности пользоваться официальными сайтами города, правительства или учреждения, а также утвержденными ими приложениями.