QR-код – что это?
Аббревиатура расшифровывается «Quick Response», то есть «быстрый ответ». Код представляет собой компактную матрицу, в которой зашифрованы определённые данные – самые разные, от адреса сайта или геолокации до набора слов и цифр. Если в смартфоне установлена специальная программа-сканнер, она расшифрует QR после наведения камеры или загрузки фото из галереи устройства. Когда речь идёт об оплате, код содержит реквизиты счёта и другие сведения о получателе платежа, а функция для считывания встроена в банковские приложения.
QR-коды сегодня можно увидеть в самых различных местах: от упаковок товаров, где они предназначены для получения информации о производителе, до музеев и улиц, где по коду можно узнать подробности о заинтересовавшем объекте. Платёжный QR-код можно встретить на:
-
чеке за товары или услуги;
-
кассе в магазине;
-
столике в ресторане;
-
ресепшн в отеле;
-
платёжном терминале;
-
квитанции на оплату коммунальных услуг, налога или штрафа;
-
странице Интернет-магазина или платного онлайн-сервиса;
-
рекламном объявлении на улице или в общественном транспорте и т.д.
Причём для оплаты не надо вводить длинные ряды цифр с риском ошибиться. Отсканировал код, подтвердил операцию – и готово! Но у подобной простоты есть и обратная сторона медали…
В чём опасность QR-кодов
Если вы хоть раз видели QR, то знаете: это непонятный набор чёрных и белых квадратиков. Что там зашифровано – без специального приложения не распознать. В частности, невозможно «на глаз» проверить, указаны ли в коде платёжные реквизиты именно того лица, которому вы хотите перевести деньги.
Рассмотрим несколько известных схем, которые используют злоумышленники благодаря такой возможности.
Подделка кодов, размещённых в общественных местах
Допустим, вы увидели на улице плакат с ярким рекламным предложением: «Купите билеты на концерт любимого артиста со скидкой!» Или решили взять велосипед напрокат во время прогулки по городу. В обоих случаях оплату для удобства предлагается произвести по QR-коду. Изначально подвоха тут нет. Но если мошенники наклеят поверх изначального квадрата собственный, этого можно не заметить и направить деньги на счёт аферистов.
Взлом мобильного телефона
И снова речь об общедоступном пространстве. Как известно, QR-коды размещают на исторических объектах и памятниках, чтобы каждый желающий мог быстро найти информацию о достопримечательности. Но злоумышленники опять-таки могут разместить вместо оригинала свой код, сканирование которого камерой смартфона позволит проникнуть в него вредоносной программе. Она либо будет пересылать мошенникам сведения из памяти мобильника, либо перехватит доступ к ценному приложению – например, банковскому. Что дальше – догадаться несложно: аферисты переведут средства жертвы на собственный счёт или оформят от её имени кредит.
Впрочем, иногда мошенники обходятся и без подмены кода. Они размещают в транспорте или рассылают через соцсети и мессенджеры анонс привлекательного события – например, беспроигрышной лотереи или любопытного опроса. Подробности предлагается узнать по ссылке, зашифрованной в QR-коде.
Фишинг
Как мы уже говорили, QR-код может вести человека на интересующий его сайт. Причём это может быть не просто информационная страница, а ресурс, где нужно ввести чувствительные персональные сведения.
А теперь представим: вас заинтересовала реклама супервыгодной кредитной карты. Узнать подробности предлагается по QR-коду. Вы сканируете его и оказываетесь на сайте известного банка со знакомым интерфейсом и логотипом. Предложение вас устраивает, а для оформления кредитки нужно авторизоваться через «Госуслуги», поэтому вы вводите свои логин и пароль. Но по факту это не Интернет-ресурс банка, а имитация, так называемый «фишинговый сайт», который контролируют аферисты. Таким образом, они получают в свои руки данные от вашего личного кабинета на «Госуслугах» и могут воспользоваться ими для совершения мошеннических манипуляций.
Подделка квитанции
Злоумышленники могут подкинуть в почтовый ящик потенциальной жертвы квитанцию якобы на оплату коммуналки или административного штрафа. Вместо реквизитов получателя – QR-код. Если человек поведётся на фальшивку и совершит платёж, он отправит деньги аферистам.
К какой ответственности можно привлечь мошенников?
В описанных методах аферистов кроется целый «букет» нарушений, в том числе:
Хищение денег путём обмана или злоупотребления доверием – это преступление по ст. 159 Уголовного кодекса РФ («Мошенничество»).
За фишинг или взлом чужого аккаунта преступников можно привлечь к ответственности по ст. 159.6 УК РФ («Мошенничество в сфере компьютерной информации») либо по статьям главы 28 УК РФ.
Кража личных сведений о человеке с целью их дальнейшего корыстного использования – это нарушение федерального закона № 152-ФЗ «О персональных данных», за который аферистам можно предъявлять иск о возмещении убытков и морального вреда, привлечь их к административной ответственности по ст. 13.11 КоАП или к уголовной по статьям 137, 183 УК РФ.
В общем, санкций масса. Но проблема в том, что найти мошенников правоохранителям удаётся далеко не всегда. Преступники действуют дистанционно, к тому же создают целую сеть для прикрытия. Например, выводят украденные деньги через так называемых «дропперов» – посредников, участвующих в махинации за комиссию или под воздействием обмана. Они получают средства от жертвы на собственный счёт, а затем переводят дальше по цепочке или обналичивают и передают аферистам. Даже если полиция их находит, украденных денег у дропперов на руках уже нет, а конечные организаторы преступления остаются в тени.
Как защититься от мошенничества с QR-кодами
Самое важное правило – проявлять бдительность. Аферисты будут придумывать новые и новые схемы, от которых защитит только постоянная осторожность. Исходя из уже известных методик злоумышленников можно дать следующие рекомендации по самозащите:
Критически оценивайте источник QR-кода. Даже если он расположен в надёжном месте – например, в крупном сетевом магазине – проверьте, нет ли следов его подмены (переклейки). Если же речь идёт о сомнительным флаере, обнаруженном в транспорте или на улице, лучше вообще не сканировать код. В конце концов аналогичную информацию можно найти другим способом, потратив чуть больше времени, – в Интернете через обычный поисковик.
Когда переходите по QR-коду на сайт, – особенно где планируете вводить конфиденциальные сведения, – проверьте его адрес. Ссылки на фишинговые страницы обычно отличаются от оригинальных на 1-2 символа. Опять-таки лучше перестраховаться и найти нужный ресурс через поисковую систему. Кроме того, учитывайте, что адрес защищённого сайта всегда начинается с «https».
Если вы часто и активно пользуетесь информационными QR-кодами, установите на телефон сканер с функцией проверки сомнительных кодов (например, Avira Free QR Scanner, Trend Micro QR Scanner), а также антивирус для защиты от цифровых «лазутчиков». И всё равно не храните на смартфоне ценную информацию – фото или скан-копию паспорта, список паролей к учётным записям и пр. Везде, где это возможно, установите многофакторную авторизацию. Например, портал «Госуслуги» предлагает для защиты целый набор подобных инструментов.
Оплата по коду, как правило, не происходит автоматически. Банковское приложение расшифровывает его и подтягивает информацию в платёжную форму, а затем просит пользователя подтвердить отправку денег. В этот момент важно внимательно изучить введённые данные, в частности, наименование получателя и сумму перевода. В случае сомнений лучше перепроверить сведения, воспользовавшись другим источником.
Помните, что «бесплатный сыр – в мышеловке». Если на глаза попался рекламный анонс с очевидной «халявой», не спешите сканировать QR-код. Поищите сведения, подтверждающие актуальность предложения.
Периодически проверяйте свою кредитную историю. Это позволит максимально рано узнать, что мошенники «повесили» на вас кредит, перехватив доступ в личный кабинет онлайн-банка. Кроме того, есть более эффективная мера – самозапрет на кредитование, который можно установить через те же «Госуслуги». В этом случае аферистам при всём желании не удастся оформить заём на ваше имя.
Если некая организация настаивает на платеже по QR и сообщает об отсутствии альтернативных способов оплаты товаров или услуг, – насторожитесь. Никакой логики в этом нет. Согласно ст. 16.1 Закона о защите прав потребителей, продавец (исполнитель) обязан предоставить клиенту возможность оплаты с помощью «национальных платёжных инструментов» или наличными. А QR-код – это лишь способ предоставления реквизитов для перевода, которые организация может передать потребителю в стандартном виде: с номером счёта и прочими сведениями.
Что делать, если вы стали жертвой обмана
Украденные деньги вернуть сложно. Тем не менее, предпринять попытку стоит, а ещё – позаботиться, чтобы злоумышленники не создали дополнительных сложностей:
Подайте в полицию заявление о мошенничестве. Приложите доказательства того, что вы стали жертвой аферистов: скриншоты с телефона, выписку со счёта с платёжной операцией в пользу мошенников и др.
Если кража произошла в результате перехвата мошенниками доступа к смартфону, проведите сеанс «информационной гигиены»: почистите память устройства, удалите неизвестные программы, поменяйте пароли, сообщите об инциденте в банк, чьё приложение было взломано.
Если аферисты «повесили» на вас кредит, обратитесь в выдавший его банк с требованием провести внутреннее расследование и аннулировать кредитный договор. Предоставьте сотрудникам организации те же доказательства вашей непричастности, что и полицейским.
Если же из-за действий мошенников вы оказались в долгах, избавиться от которых не удаётся, – присмотритесь к банкротству. Это законный механизм, позволяющий списать неподъёмные задолженности.
