Безопасно ли платить по QR-коду?

Оплата по QR-коду становится всё популярнее. Это удобно покупателю и выгодно продавцу, ведь эквайринг по карману не всем предпринимателям. Но традиционно с распространением новой технологии активизируются мошенники. Они уже умеют красть деньги с банковских карт, оформлять кредиты на чужое имя и оплачивать покупки за счет жертв. Значит, важно прямо сейчас разобраться в нюансах использования QR-кодов и способах обмана с их участием, чтобы не оказаться в ловушке из-за банального неведения.

Мошенничество с помощью искусственного интеллекта — как не стать жертвой?

QR-код: что это и как работает

Наверняка все видели QR-код и представляют, как он выглядит. Это матрица из черных и белых квадратов, расположенных в определенном порядке. Кажется, что они разбросаны хаотично, но на самом деле все продумано:

 три квадрата по углам нужны для ориентации;

 четвертый квадрат поменьше выравнивает картинку;

 остальное наполнение — закодированная информация, в которой может быть зашифровано что угодно, к примеру, текст, ссылка, контакты, геолокация, пароль или платежные данные.

При этом в QR-кодах применяется алгоритм коррекции ошибок Рида-Соломона. Это значит, что код корректно считается, даже если треть повреждена. Благодаря универсальности, компактности и удобству QR используют в самых разных сферах:

 шифруют меню для ресторанов и кафе;

 предлагают в магазинах для оплаты товаров;

 вписывают в платежки за коммунальные услуги, налоги и штрафы;

 применяют для авторизации в приложениях;

 размещают в музеях и на выставках для получения дополнительной информации об экспонатах;

 печатают на визитках для доступа к контактам. 

Когда пользователь наводит на код камеру смартфона и сканирует, специальное приложение считывает шифр и перебрасывает на нужную страницу. Как раз здесь и кроется пробел в безопасности: нужно понимать, с какой целью и в какой конечный пункт ведет QR. 

Импульсивные покупки: как бороться с соблазном купить ненужную вещь?

Какие виды QR-кодов существуют

Невзирая на то, что все QR-коды кажутся практически идентичными, они отличаются не только по информации, «зашитой» внутри. Они делятся на три большие группы, и у каждой свои риски:

 Коды, которые генерирует сам покупатель в приложении. Их используют на кассах со сканерами. Если такой код попадет в руки злоумышленников, они оплатят с его помощью товар или услугу за чужой счет. Чтобы этого не допустить, эксперты рекомендуют генерировать QR-код непосредственно перед оплатой и ни в коем случае не пересылать.

 Постоянно действующие QR-коды, которые формирует продавец для оплаты. Там зашифрованы только платежные реквизиты, а сумму покупатель вводит самостоятельно. С ними хитрят так: злоумышленники подменяют официальные коды собственными. А дальше просто: покупатель хочет перевести деньги продавцу, но по факту своими руками перечисляет средства мошенникам. 

 Динамические коды — самые безопасные. Продавец генерирует персональное изображение для каждого покупателя, и шифр содержит все необходимые сведения: реквизиты и сумму платежа. Код формируется на терминале в магазине, а покупатель видит, куда переводит деньги. Здесь риск мошенничества минимальный.

Как мошенники используют QR-коды 

К сожалению, покупатель не выбирает вид QR-кода — он вынужден пользоваться тем, что предлагает продавец. Поэтому стоит знать о рисках и подстраховаться. Если есть хоть малейшие подозрения в обмане, лучше отказаться от оплаты таким способом и попробовать договориться с продавцом о другом методе. Рассмотрим варианты мошенничества с помощью QR-кодов, чтобы было понятно, когда нужно проявлять особую бдительность.

Что сделать, чтобы на вас не взяли кредит

Поддельные коды

Замена настоящих кодов поддельными — самая распространенная схема обмана. Она максимально популярна среди злоумышленников благодаря простоте реализации. Любой желающий может сгенерировать QR-код, а дальше — дело техники.

Мошенники распечатывают свой код и наклеивают поверх официального — особенно «хорошо» это работает в местах с большой проходимостью: на вокзалах, в аэропортах, на фуд-кортах и парковках. Продажи поставлены на поток, люди не обращают внимания на детали и просто перечисляют средства. Но уходят деньги не продавцу, а мошенникам.

Взял кредит и перевел мошенникам — как исправить?

Психологические манипуляции

IT-специалисты придумывают разные способы защиты от кибермошенников, но против методов социальной инженерии они бессильны. Когда человек сталкивается с «профессиональным» психологическим воздействием, ему приходится самостоятельно оценивать ситуацию и действовать интуитивно. А мошенники изобретательны: разнообразие сценариев, имеющихся в их арсенале, сложно вообразить в самых смелых фантазиях.

Суть такая же, как при телефонном мошенничестве, — добиться, чтобы человек добровольно выдал нужные данные, а затем преступным путем получить его средства. Психологические манипуляции превосходно сочетаются с QR-технологией. 

 Мошенники генерируют коды и выдают за выгодную акцию, конкурс, розыгрыш или опрос. Фальшивые объявления с кодами люди получают через листовки и мессенджеры, видят в транспорте и других общественных местах. Стоит отсканировать картинку, и откроется фишинговый сайт или группа в соцсетях, где злоумышленники попытаются выманить персональные данные или сразу деньги. 

В этом случае высокая анонимность цифровых каналов, направленная на защиту пользователей, играет на руку мошенникам. Даже если обман вскроется, и жертва передаст информацию в правоохранительные органы, вероятность поймать злоумышленников крайне низкая. Идентифицировать их и доказать причастность к преступлению весьма сложно. 

Раскрыл мошенникам номер карты — что будет?

Хищение данных через приложения

Важно точно понимать, куда ведет QR-код, который вы сканируете. Под видом Госуслуг, Авито, банковских приложений и прочих внушающих доверие сервисов мошенники создают собственные сайты и программы с похожим дизайном, а заманивают туда ничего не подозревающих жертв через QR-коды. 

 Стоит установить такое приложение на смартфон или компьютер, и мошенники моментально получат доступ к личным данным, поэтому смогут творить что угодно. К примеру, похитить контакты, деньги с банковских карт или файлы, за которые потребуют выкуп. При самом неблагоприятном раскладе они могут оформить на имя жертвы кредит, а доказать, что это сделали преступники, будет непросто.

Что могут сделать мошенники через Госуслуги

Конечно, за преступные действия предусмотрена уголовная ответственность. В основном они попадают под ст. 159 УК РФ и квалифицируются как мошенничество с наказанием до десяти лет лишения свободы. Но по статистике количество таких преступлений ежегодно растет, так как обнаружить обман по горячим следам, установить злоумышленников и доказать их вину сложно.

УК РФ Статья 159. Мошенничество 

Количество киберпреступлений в 2024 году достигло пика за последние 5 лет и составило 40% от общего числа. Зафиксировано 765 000 фактов. А вот раскрываемость не столь впечатляющая: только 23 000 дел завершились успешно. Поэтому не стоит уповать на помощь правоохранительных органов, превентивные меры гораздо надежнее. Осведомлен — значит, вооружен.

В России в 2024 году IT-преступления достигли пика за последние пять лет

Как защитить себя от мошенничества

Защита от обмана с использованием QR-кодов основана на понимании механизмов мошенничества и личной ответственности. Бдительность и здоровая подозрительность пользователя — залог безопасности и корректного совершения платежей.

Чтобы обезопасить персональные данные и деньги от мошенников, стоит придерживаться следующих правил:

 Не сканировать коды в лифтах, транспорте и прочих проходных местах, особенно с нереально выгодными предложениями. В этом случае никак нельзя убедиться в легитимности кода. По статистике самыми опасными в плане кибератак являются именно QR-коды, размещенные в общественных местах без явных сведений об организации-продавце. 

 Обращать внимание на внешний вид QR-кода: не переклеен ли он, не отличается ли от других кодов, расположенных в этом же заведении. Также подозрение должны вызвать плохое качество печати и бумаги, отсутствие специальных элементов защиты от подделки.

 В ресторанах и магазинах внимательно проверять реквизиты получателя, назначение платежа и сумму.

 Если есть хоть малейшие сомнения, лучше договориться об альтернативном способе оплаты. Предприниматель, заинтересованный в продаже, найдет, что предложить покупателю. Более того, согласно ст. 16.1 закона № 2300-1-ФЗ, продавец обязан обеспечить потребителю возможность оплатить товар или услугу. Если же на вас давят и настаивают на оплате по QR-коду — это тревожный сигнал. 

Статья 16.1. Формы и порядок оплаты при продаже товаров (выполнении работ, оказании услуг)

Ещё один момент касается приложений для сканирования. Желательно выбирать программы от проверенных и известных разработчиков с большим количеством скачиваний и отзывов. Обычно в таких QR-сканнерах есть функции предварительного просмотра содержимого кода до перехода по ссылке, проверки адреса на наличие признаков фишинга и блокировки подозрительных сайтов.

Что делать, если вас обманули через QR-код

Если вы поняли, что по QR-коду перевели деньги на сторонний счет, или мошенники похитили деньги с помощью фишингового сайта, первым делом необходимо заявить о преступлении в полицию и дожидаться результатов расследования. 

Как и куда подать заявление о мошенничестве

Если же ситуация дошла до того, что преступники оформили на вас кредит, а банк отказывается признавать его незаконным и заставляет платить, но денег едва хватает на собственные нужды, стоит подумать о банкротстве. При наличии признаков неплатежеспособности и недостаточности имущества суд признает должника банкротом и аннулирует обязательства по кредитам, микрозаймам, коммунальным платежам, налогам и пр.