- 23.04.2024
Киберсыщик предупредил о фейковых QR-кодах при оплате ЖКХ: «Нарисовать просто»
Преступники могут заклеивать своими, фейковыми черно-белыми квадратиками настоящие.
Один из самых распространенных на сегодня способов нечестного отъема денег у населения — подложные куар-коды. Чем больше сфер нашей жизни охватывают эти черно-белые квадратики, тем больше возможностей для изобретения разнообразных жульнических схем на их основе появляется у злоумышленников. И «золотая жила» для них — сфера ЖКХ и услуги, с ним связанные. На чем «рисуют» фейковые куар-коды и можно ли как-то обезопасить себя от них, выяснял «МК».
Одна из типовых схем «куар-развода» — лже-представители управляющей компании вешают на подъезде объявление о якобы предстоящей замене ключей от домофона (в связи с установкой нового), деньги за которые следует перевести на нужный счет с помощью куар-кода. Те, кто имел неосторожность поверить объявлению, деньги послушно перечислили, но ключей так и не получили. И только одна бдительная жительница дома, перед тем как «отправиться» на указанный код, решила перепроверить информацию, позвонив в УК. Оказалось, что управляющая компания не при делах, а от ее имени действовали аферисты.
«Если домофоны меняют, то об этом должен кто-то знать: управляющая компания, старший по дому, — говорит представитель УК. — Вот и узнайте, планируется ли замена?» При обнаружении подобных объявлений эксперты от ЖКХ рекомендуют предупредить соседей, особенно пенсионеров, чтобы те не попадались на удочку бандитов. Также следует сообщить о таком случае управляющей компании, председателю ТСЖ и организации, которая обслуживает домофон.
Напомним, что черно-белый квадратик — машиночитаемое изображение, в котором можно закодировать какие-то определенные действия либо определенную информацию. «Известны случаи, когда в куар-коды «зашивались» визитки, переходы на какие-то веб-ресурсы или даже выполнение определенных скриптов (набор команд, которые выполняют конкретную задачу) или запуск программного обеспечения», — рассказывает эксперт в области киберрасследований Игорь Бедеров.
С появлением СБП и других форм онлайн-платежей у дистанционных преступников появилась масса возможностей для разработки и совершенствования своих грабительских методов, а ЖКХ — это та сфера, в которой им есть где развернуться, увы. «Злоумышленники активно подделывают различные формы оплаты услуг ЖКХ, домовые сборы, сборы управляющих компаний и т.д., формируя письма от этих УК и государственных монополистов со своим куар-кодом, — предупреждает эксперт. — То есть вы получаете реальную платежку, но если вы перейдете для оплаты по указанному на ней куар-коду, он приведет вас на счет злоумышленников».
Для этого создается целая инфраструктура подобного рода организаций, предполагающих оплату по куар-коду, дропов (подставные лица, которых используют для регистрации банковских карт и последующего снятия с них средств, идущих на обналичивание), иные схемы для вывода денежных средств.
Лаборатория Касперского в свое время тоже предупреждала о подобных аферах: «QR-код, в который запакованы банковские реквизиты, можно подменить при его отправке будущему плательщику, например, распечатав и разложив по почтовым ящикам фальшивые квитанции на оплату коммунальных услуг. Вместо настоящего получателя деньги придут на счет злоумышленника».
Обычным россиянам, далеким от IT, трудно поверить, что онлайн-аферистам не составляет никакого труда напечатать на любом документе (или на объявлении на стене, или в любом другом месте) куар-код и связать его с формированием определенного платежа. А если куар-код размещен в той же платежке, в каком-нибудь онлайн-сервисе, в письме от организации ЖКХ, у человека почти никогда не возникает сомнений в его подлинности. И он, не вникая в реквизиты, с легкой душой отправляет деньги… злоумышленникам. Это первая опасность куар-кодов.
Второе: через них может распространяться вредоносное программное обеспечение. В куар-коде можно закодировать выполнение определенных команд вашим устройством, в том числе таких команд, которые предполагают скачивание и запуск того или иного ПО. В результате считывания неверного куар-кода вы можете загрузить себе опасный вирус, который перехватит управление вашим смартфоном, взломает приложение и получит доступ к вашему банковскому счету.
Что касается главного — как понять, что код фейковый, Бедеров посоветовал проявлять бдительность: «Просматривайте, изучайте и расшифровывайте при помощи доступных мобильных приложений и онлайн-сервисов те куар-коды, которые вам подсовывают, анализируйте их в антивирусах, а также перед тем, как бросаться платить, сверяйте реквизиты, которые вам предлагает оплатить банковское приложение, с теми реквизитами, по которым вы обычно платили за услуги ЖКХ».
Но где «антивирусы», а где российские бабушки и дедушки, которые тоже пытаются осваивать куар-коды для оплаты услуг ЖКХ?! У большинства из них эти непонятные черно-белые квадратики вызывают оторопь и ужас. Лучше уж старшему поколению не рисковать, а оплачивать ЖКХ прежними, традиционными для них способами: при помощи работников банка, а если возникла необходимость оплатить что-то по коду, обратиться за помощью к детям и внукам.
Всем россиянам, несомненно, станет легче после того, как появятся новые продукты для проверки подлинности куар-кодов. Они, по словам эксперта, должны увидеть свет в ближайшее время. При наведении камеры телефона на черно-белый «лабиринт» такая программа расшифрует сам куар-код, что в нем содержится, проверит ссылки и возможность скачивания ПО, а также проверит реквизиты, зашитые в рамках СБП в этот код: насколько они легитимны и насколько соответствуют организации, которой вы собираетесь заплатить. «Поняв, что мало кто из граждан проверяет сам куар-коды, рано или поздно встроят проверку вебресурсов и QR в браузере и камере», — заверил он.
Еще один совет: поскольку преступники могут заклеивать своими, фейковыми черно-белыми квадратиками настоящие, то специалисты Касперского рекомендуют, прежде чем сканировать QR-коды с рекламных плакатов и вывесок, убедиться, что оригинальное изображение не заклеено картинкой с подложным кодом.
Ирина Бричкалевич. МК.RU.