Фальш-код

Куда приводят мошеннические QR и как от них защититься

С помощью QR-кодов мы оплачиваем покупки в магазинах и курьерскую доставку, оставляем чаевые, обмениваемся контактами в мессенджерах и соцсетях. Но одновременно с их широким распространением наблюдается рост мошеннических операций за счет поддельных QR. Как защититься от хищения денег и надо ли создавать специальную нормативную базу для борьбы с подобными преступлениями – в материале RSpectr.

ОБОРОТНАЯ СТОРОНА ПОПУЛЯРНОСТИ

Первоначально QR-коды использовались исключительно в информационных целях, например, для того чтобы прорекламировать сайт или пригласить пользователей подписаться на страницы социальных сетях.

Аферы с QR появились в период пандемии, когда они требовались для посещения общественных мест: кафе, торговых центров, а также в поездах и самолетах. Тогда злоумышленники предлагали поддельные коды сертификатов о вакцинации, напомнил RSpectr руководитель группы по защите от фишинга Центра реагирования на инциденты информационной безопасности Group-IB Иван Лебедев.

После того как эту технологию начали использовать для оплаты, роль QR в цифровом пространстве резко возросла. Тенденция быстрого распространения этой технологии наблюдается во всем мире. До 2025 года глобальный объем платежей, осуществляемых с помощью этой технологии, увеличится на 25% до 3 трлн долларов, прогнозируют аналитики Juniper Research.

Толчком к широкому распространению QR-кодов в России стал уход в марте 2022 года сервисов оплаты по телефону Google Pay и Apple Pay

С этого момента интерес россиян к такому способу расчетов вырос в шесть раз, показало исследование «Тинькофф Бизнеса». В конце 2022 года 24% покупателей в РФ оплатили хотя бы одну покупку с помощью QR-кода, подсчитали аналитики. Годом ранее доля пользователей сервиса составляла 3,5%. По прогнозу экспертов, к середине 2023 года число покупок по QR-кодам в России вырастет на 50%.

Но вместе с широким распространением этого способа оплаты количество связанных с ним случаев мошенничества стало стремительно расти, отметил в беседе с RSpectr начальник отдела информационной безопасности «СёрчИнформ» Алексей Дрозд.

Механизм афер с QR-кодом зависит от того, какой из двух популярных способов оплаты будет реализован.

Алексей Дрозд, «СёрчИнформ»:

– В первом варианте у продавца статичный QR-код и покупатель самостоятельно вводит сумму, чтобы перевести ее продавцу за товар. Во втором у продавца генерируется динамический код под каждую транзакцию. В нем уже вшита сумма оплаты. Пользователю нужно только подтвердить оплату.

В первом случае дополнительное действие необходимо со стороны покупателя (ввести сумму), а во втором – со стороны продавца (сгенерировать код). И с одной, и со второй стороны может быть мошенничество, пояснил он.

Например, продавец не отслеживает каждую транзакцию, поэтому клиент может создать поддельный чек и предъявить продавцу его в качестве подтверждения оплаты.

В России чаще реализуется второй вариант, так как возможность оплаты через QR появилась в магазинах, где под каждую транзакцию формируется отдельный код, отметил Алексей Дрозд.

КАК ОБЕЗОПАСИТЬ СЕБЯ

Риски использования QR заключаются в том, что они могут содержать абсолютно любую ссылку, которая скрыта от пользователя, рассказал Иван Лебедев. Обычно пользователь оценивает безопасность ссылки или кода не по виду, а по отправителю и результату перехода, заметил он.

Иван Лебедев, Group-IB:

– QR-код может вести на фишинговый или мошеннический ресурс, начать скачивание вредоносного файла, подтверждение транзакции, которую подстроили злоумышленники. По сравнению со ссылкой QR отличается только механикой – нужно отсканировать, а не кликнуть.

Поэтому дополнительная опасность QR-кода заключается в относительной новизне и непривычности подхода для некоторых пользователей, отметил эксперт. По его мнению,

чтобы обезопасить себя от мошенников, использующих QR-коды, нужно соблюдать во многом те же правила, что и с обычными ссылками

• Никогда нельзя сканировать попавшиеся случайно подозрительные либо полученные от неизвестных отправителей QR-коды.
• Нужно внимательно изучать подтверждения, которые всплывают в смартфоне после сканирования кода.
• Не стоит соглашаться на просьбу оплатить QR-кодом в сомнительных заведениях.

Мошенники могут заразить смартфон вредоносной программой, украсть данные либо попытаться похитить деньги, напомнил Иван Лебедев.

Пока QR-код остается дополнительным способом оплаты, поэтому при возникновении подозрений лучше расплачиваться по старинке банковской картой, советует Алексей Дрозд. «При этом пользователь всегда должен проверять, куда и сколько денег он отправляет. Во время оплаты даже через QR-код система запрашивает у пользователя дополнительное подтверждение», – напомнил он.

Основное правило – ответственно подходить к сканированию любых кодов, резюмировал в беседе с RSpectr глава юридической компании «Гебель и партнеры» Сергей Гебель. Он напомнил, что органы власти не размещают коды где попало и обычно стараются защитить их от внешнего воздействия.

НУЖНО ЛИ РЕГУЛИРОВАНИЕ

Ситуация с использованием QR-кодов злоумышленниками обеспокоила власти. Заместитель председателя Комитета Госдумы по безопасности Анатолий Выборный заявил, что для обеспечения безопасности граждан нужно создать правовые механизмы, «направленные на предупреждение соответствующих правонарушений». О полном запрете QR-кодов речи не идет, отметил он.

Оснований для запрещения использования QR-кодов в общественных местах нет, но нормативная проработка основных положений применения этой технологии все же необходима, считает Сергей Гебель.

Действующее законодательство уже сегодня позволяет привлекать к ответственности за подобное мошенничество. В зависимости от условий и обстоятельств совершенного преступления возможна разная квалификация с абсолютно разными юридическими последствиями, пояснил он.

Сергей Гебель, «Гебель и партнеры»:

– Факт использования QR-кода в данном случае значения не имеет, это всего лишь механизм, способ, с помощью которого достигается преступная цель. С этой точки зрения менять законодательство, вводить отдельный состав в Уголовный кодекс нет необходимости.

В это же время сам QR-код на нормативном уровне никак не определен, его использование практически ничем не регулируется, обратил внимание эксперт. По его мнению,

определение правового статуса QR-кода, введение базовых правил в отношении этой технологии позволит более эффективно вести профилактику подобных нарушений и сокращать их количество

Нормативная база для предотвращения подобного мошенничества может быть полезна для применения единообразных методов обеспечения безопасности в различных отраслях и секторах, прокомментировала RSpectr старший преподаватель факультета информационных технологий Университета «Синергия» Светлана Алексахина. «В этой сфере есть зарубежный опыт, например, китайское регулирование QR-кодов в платежных операциях, но применимость такого регулирования в российских условиях будет зависеть от конкретных потребностей и задач их рынка», – отметила она.

Смысла в формировании нормативно-правовой базы для борьбы с аферами при помощи QR-кодов нет, уверен гендиректор компании Pointlane Павел Мельников: «Она не будет эффективна, так как нет единого места для генерации QR-кодов. Я считаю, что нужно ужесточать ответственность за фишинг и другие вредоносные действия – это будет эффективнее».

По словам Сергея Гебеля, несмотря на рост, доля афер с QR-кодами крайне мала по сравнению с общим объемом совершенных мошеннических действий в России. Сейчас самым распространенным остается телефонный фрод, в том числе и с использованием различных мессенджеров, напомнил он.

Тимур Халудоров