QR-коды прочно вошли в повседневную жизнь. Однако, наряду с удобством, они стали инструментом для мошенников, которые используют QR-коды для обмана, создавая новую угрозу — квишинг. Игорь Семенюта, аналитик-исследователь киберугроз R-Vision, рассказал «Газете.Ru» о распространенной квишинговой схеме с поддельными квитанциями ЖКХ.
«Квишинг — это фишинговая атака с использованием поддельных QR-кодов. Вместо того, чтобы перенаправить пользователя на официальный сайт, такой код ведет на мошеннический ресурс. Согласно данным МВД РФ, в 2024 году преступления с использованием информационно-телекоммуникационных технологий составили 40% от общего числа зарегистрированных случаев. За январь-декабрь зафиксировано 765,4 тысячи киберпреступлений, что на 13,1% больше, чем в 2023 году. Рост атак с применением QR-кодов — яркий пример этой тенденции. Если в прошлом злоумышленники часто «играли» на невнимательности пользователей, подменяя ссылки, то теперь им даже не нужно изобретать сложные схемы: достаточно подменить QR-код», — объяснил он.
Один из популярных способов квишинга сегодня — рассылка поддельных квитанций на оплату коммунальных услуг. Ее суть заключается в том, чтобы подменить настоящую квитанцию на поддельную в почтовом ящике. На первый взгляд, такие счета ничем не отличаются от настоящих: логотипы компаний, реквизиты и QR-код для оплаты.
При оплате коммунальных услуг люди обычно обращают внимание на два основных момента: соответствует ли имя абонента и сумма к оплате. Однако с появлением QR-кодов многие не проверяют реквизиты и сразу переходят к оплате по коду, который теперь есть на каждом счете.
«Если человек попадается на уловку злоумышленника, то после оплаты поддельной квитанции, деньги попадают в руки мошенников, и жертва узнает об обмане только тогда, когда приходит счет за следующий месяц с задолженностью за предыдущий. Встречаются даже случаи, когда злоумышленники, подделывая QR-код, дополнительно внедряют в фишинговый ресурс вредоносное программное обеспечение, чтобы не только украсть денежные средства, но и похитить личные данные пользователя. Например, установив шпионскую программу на телефон», — отметил эксперт.
Полностью исключить риск квишинга невозможно, но есть несколько простых правил, которые помогут защитить себя.
«Проверьте источник кода. Если вы видите QR-код на квитанции, сайте или рекламной афише, задумайтесь: не мог ли его создать не производитель, а мошенник? Например, получив квитанцию, лучше самостоятельно перейти на официальный сайт организации и проверить все данные. Возможно, существуют более безопасные способы выполнить ту же операцию», — рекомендовал он.
Используйте надежные сканеры. Не стоит слепо доверять любому коду. Перед тем как открыть ссылку, посмотрите, куда она ведет. В этом помогут специальные приложения для сканирования QR-кодов, которые отображают адрес до перехода. Ссылки мошенников часто выглядят почти как настоящие, но с подменами. Малейшее несоответствие — повод закрыть сайт.
«Проверьте защищенность сайта. Если код перенаправляет вас на страницу, где требуется ввести личные данные, обратите внимание на значок замка в адресной строке браузера. Если его нет или адрес кажется подозрительным, это может быть сигналом для прекращения перехода», — подчеркнул эксперт.
Ранее выяснилось, что россияне все осознаннее и осторожнее совершают покупки.