QR-код – это зашифрованная ссылка. Сам по себе он не представляет опасности. Опасно то, куда он ведёт.

Создать QR-код можно за минуту с помощью любого онлайн-сервиса. Заменить настоящий тоже легко: достаточно распечатать новый код и наклеить его поверх оригинального. Пользователь сканирует – и вместо официального сайта кафе, парковочного автомата или платёжного сервиса открывает фишинговую страницу, внешне полностью идентичную настоящей. Логотипы, фирменные цвета, структура сайта – всё выглядит привычно и не вызывает подозрений.

Дальше мошенники просят ввести данные банковской карты для «оплаты» или «подтверждения заказа», запросить код из СМС «для выполнения операции», установить «обновление приложения» или перейти по дополнительной ссылке.

Реальные истории

Специалисты из Fingramota.kz поделились реальными историями мошенничества, с которыми сталкиваются казахстанцы.

Меню по QR

Посетительница кафе в крупном городе отсканировала QR-код на столе. Меню открылось, всё выглядело официально. При оплате её попросили «подтвердить платёж» – ввести код из SMS. Через 20 минут со счёта было списано более 180 тысяч тенге. Позже выяснилось, что поверх оригинального QR была наклеена прозрачная плёнка с поддельным кодом. Заведение узнало о проблеме только после жалобы.

Парковка по QR

Мужчина оплатил парковку через QR-код на терминале. Открывшийся сайт выглядел привычно – тот же дизайн, логотип и структура. Отличие было незаметным: доменное имя отличалось всего на одну букву. Он ввёл данные карты для оплаты 500 тенге. Платёж прошёл, но позже с карты произошло несколько списаний большими суммами.

Пропущенная доставка

Житель получил уведомление на двери с QR-кодом: «Для уточнения деталей доставки просим перейти по QR». Сообщение выглядело правдоподобно. При сканировании открылся сайт, где предложили оплатить «повторную отправку» –1200 тенге. Мужчина ввёл реквизиты, и позже эти данные были использованы для онлайн-покупок.

Почему это работает

QR-код невозможно «прочитать» глазами – перед нами чёрно-белый квадрат, а реальный адрес открывается только после сканирования. Человек заранее не видит, куда ведёт ссылка, и поэтому ориентируется на внешний контекст: табличку, логотип, знакомую обстановку.

Мошенники не пытаются сломать защиту банков, они используют поведение людей: привычку к бесконтактным оплатам, доверие к знакомому интерфейсу и оформлению, спешку в очередях, на парковке или при доставке, автоматизм действий.

Как не попасться

Перед сканированием. Внимательно осматривайте табличку или наклейку с QR-кодом. Если код наклеен поверх другого, отличается по цвету, размеру или выглядит новым на старой поверхности – лучше не сканировать.

После перехода. 

Обязательно проверьте адрес сайта: он должен быть официальным, начинаться с https, содержать значок замка и не иметь лишних символов, цифр или ошибок в названии.

При оплате. 

Убедитесь, что указаны название компании и сумма платежа. Если сайт просит ввести данные карты «просто для доступа» – это повод остановиться. Никогда не вводите CVV, PIN-код и коды подтверждения, если вы сами не инициировали платёж в проверенном источнике.

Приложения.

Не устанавливайте приложения и не обновляйте их по ссылкам из QR-кодов. Официальные сервисы скачиваются только из App Store или Google Play.

Альтернативы. 

Используйте для оплаты только знакомые банковские приложения, а при сомнениях попросите альтернативный способ оплаты – касса или терминал.

Уведомления. 

Будьте осторожны с неожиданными посылками и уведомлениями: проверяйте информацию напрямую через службу доставки, а не через QR-код.

Если уже отсканировали

Незамедлительно свяжитесь с банком и при необходимости заблокируйте карту. Смените пароли в интернет-банке, электронной почте и других важных сервисах. Включите двухфакторную аутентификацию для всех аккаунтов. Отключите интернет на устройстве и проверьте его антивирусом.

Фото: shutterstock.com/ImageFlow

Подписывайтесь на @Свидетель.KZ