Как мошенники крадут деньги с помощью поддельных QR-кодов

QR-код из онлайн-банка
Мошенники научились красть деньги без данных банковских карт. Для этого им нужен только QR-код, который они выманивают у жертв по телефону.

В этой схеме используется сервис снятия наличных по QR-коду, доступный в некоторых банках. Клиент генерирует код на нужную сумму в мобильном приложении банка и подносит его к сканеру банкомата для получения денег.

Мошенники звонят жертвам под видом сотрудников банка и сообщают о "подозрительном" запросе на снятие денег. Чтобы его отменить, они просят прислать скриншот QR-кода. Ничего не подозревающая жертва отправляет код, с помощью которого злоумышленники снимают деньги из банкомата.

Социальные выплаты через "Госуслуги"
Распространенная мошенническая схема, связанная с размещением фейковых объявлений в общественных местах. Злоумышленники используют поддельные QR-коды, которые ведут на фишинговый сайт государственных услуг.

Жертва замечает объявление о гарантированной социальной выплате и переходит по ссылке на сайт, мимикрирующий под Госуслуги. Затем сканирует QR-код, который перенаправляет в чат-бот в популярном мессенджере. В чате человеку сообщают, что ему якобы положена выплата от государства.

В качестве жертв злоумышленники всегда выбирают социально незащищенную категорию граждан. Предлагают различные социальные выплаты и льготы, студенческие стипендии и пособия для семей с детьми. Под видом оформления положенных выплат аферисты обманным путем выманивают у людей личные данные и информацию о банковских счетах.

Справочно: Использование чат-ботов часто создает у людей впечатление работы официального автоматизированного сервиса, что дополнительно повышает уровень доверия к нему. Однако важно помнить, что никакие государственные сайты не требуют предоставления личных данных через QR-коды.

Замена QR-кода на поддельный
С помощью QR-кода можно удобно и быстро оплачивать покупки. Однако злоумышленники нашли способ обмануть и эту систему: они наклеивают поверх оригинального QR-кода свой поддельный код.

Таким образом мошенники получают деньги от ничего не подозревающих жертв. Злоумышленники используют поддельные коды для оплаты товаров, счета в кафе, а еще городского транспорта.
Недавно был выявлен новый вид мошенничества, связанный с арендой самокатов. Человек попытался арендовать самокат и привычно считал QR-код. Однако злоумышленники уже подменили код на собственный, а на смартфоне жертвы открылся совершенно другой ресурс. Человек непреднамеренно ввел свои личные данные и заполнил платежные формы, не подозревая о том, что они будут использованы мошенниками в корыстных целях.

Важно отметить, что использование поддельных QR-кодов поверх оригинальных обычно является разовой акцией мошенников. Однако всегда необходимо проявлять бдительность и перепроверять реквизиты, куда направляются средства по ссылке, открытой с помощью QR-кода.

Сергей Кузьменко, руководитель Центра цифровой экспертизы Роскачества: "QR-коды на данный момент используются повсеместно и уже весьма плотно вошли в обиход граждан. Поэтому не удивительно, что мошенники придумывают новые схемы, чтобы заполучить средства доверчивых пользователей. Основная проблема, как и в других мошеннических схемах, – спешка и невнимательность, чем каждый раз и пользуются злоумышленники".

Чтобы не стать жертвой мошенников, при взаимодействии с QR-кодами соблюдайте базовые правила цифровой гигиены:

• Для оплаты рекомендуем использовать только динамические QR-коды, которые создаются специально для конкретной транзакции. Эти коды уникальны для каждого покупателя и отображаются на устройстве кассира. Считывая такой код, вы сможете проверить сумму платежа, реквизиты получателя и детали своего заказа.
• При использовании бумажных QR-кодов следует проявлять особую осторожность. Прежде чем сканировать такой код, уточните у кассира или официанта, действителен ли он. Убедитесь, что код не наклеен поверх другого.
• Фишинговые сайты часто используют незащищенное соединение или поддельные сертификаты безопасности. Перед тем, как вводить свои платежные данные, важно убедиться в подлинности сайта и проверить наличие безопасного соединения — протокола HTTPS. Для этого посмотрите на адресную строку: если сайт использует безопасное соединение HTTPS, рядом с адресом будет значок замка.
• Лучше не скачивать приложения на телефон с помощью QR-кодов. Злоумышленники могут использовать поддельные коды для распространения вредоносных программ. Если вы отсканируете такой код, то можете загрузить на свое устройство вирус или троянскую программу.