Кража данных по QR-коду: как удобство превратилось в инструмент мошенников

Федеральная торговая комиссия США (Federal Trade Commission, FTC) опубликовало предупреждение о растущей угрозе мошенничества с использованием QR-кодов, которые могут быть использованы для захвата контроля над смартфонами, осуществления мошеннических операций или получения личной информации пользователей.

QR-коды, являясь двухмерными штрих-кодами, автоматически открывают веб-браузер или приложение при сканировании камерой телефона. Они широко используются в ресторанах, парковках, магазинах и благотворительных организациях для упрощения процессов, таких как просмотр онлайн-меню или осуществление платежей. Также QR-коды применяются в системах безопасности – например, для входа в аккаунты на YouTube, Apple TV и в других ТВ-приложениях.

Однако мошенники научились использовать доверие к QR-кодам в своих целях. Более двух лет они активно используют поддельные QR-коды, заменяя ими настоящие, например, на паркоматах. Коды ведут на фальшивые сайты, через которые средства перечисляются на мошеннические счета.

Кроме того, в электронных письмах, направленных на кражу паролей или установку вредоносных программ, используются QR-коды для перенаправления на вредоносные сайты. Так как QR-код вставляется в письмо в виде изображения, антивирусные программы не могут обнаружить мошеннические ссылки. Такая техника привела к увеличению количества фишинговых атак с использованием изображений в последние месяцы.

FTC предостерегает потребителей быть настороже относительно таких видов мошенничества.

«QR-код от мошенника может перенаправить вас на поддельный сайт, который выглядит подлинным. Если вы введете свои данные на таком сайте, преступники смогут украсть их. Кроме того, QR-код может установить вредоносное ПО, которое украдет вашу информацию», - предупреждает FTC.

Предостережение FTC последовало спустя почти 2 года после аналогичного предупреждения от ФБР. Рекомендации от обеих агентств включают следующие меры:

• После сканирования QR-кода убедитесь, что он ведет на официальный URL-адрес сайта или услуги;
• Вводите логин и пароль или платежные данные только после тщательной проверки сайта;
• Перед сканированием QR-кода в меню, на парковке или у продавца удостоверьтесь, что он не был подменен;
• Будьте особенно осторожны с QR-кодами, встроенными в текст электронного письма;
• Не устанавливайте сторонние сканеры QR-кодов на телефон без необходимости и тщательно проверяйте разработчика приложения.

Кроме того, следует быть осторожным с QR-кодами, используемыми для регистрации сайта в системах двухфакторной аутентификации, таких как Google Authenticator или Authy. Не позволяйте никому видеть такие QR-коды и перерегистрируйте сайт в случае их компрометации.