Фахівці міжнародного розробника антивірусного програмного забезпечення-компанії ESET розповіли, як кіберзлочинці можуть використовувати QR-коди для шахрайства, і дали користувачам поради, як не потрапити на вудку зловмисників.
"Як і будь-яка інша популярна технологія, поширеність QR-кодів привернула увагу і шахраїв, які почали використовувати їх в зловмисних цілях. Щоб не потрапити в пастку кіберзлочинців, фахівці ESET підготували список основних схем шахрайства з QR-кодом і поради щодо їх уникнення", - йдеться в повідомленні.
Згідно з повідомленням ESET, кіберзлочинці створюють нові схеми шахрайства для викрадення даних і грошей користувачів. Фахівці виділяють п'ять найбільш поширених схем з QR-кодами.
Перенаправлення на шкідливий сайт для викрадення конфіденційних даних
За допомогою QR-кодів шахраї можуть заманювати користувачів на фішингові сайти. У компанії ESET відзначають, що занепокоєння викликає зростання схем шахрайства з QR-кодами, в яких зловмисники поширюють фальшиві рекламні наклейки поруч з банківськими або іншими фінансовими установами.
Серед недавніх випадків - розміщення підроблених наклейок з QR-кодом на громадських автоматах для паркування, які перенаправлялися на фальшиві платіжні сайти.
Завантаження шкідливого файлу на пристрій
Більшість кафе і ресторанів використовують QR-код, щоб завантажити меню або встановити додаток для здійснення замовлення. У свою чергу, зловмисники можуть легко підробити його, щоб обманом змусити користувача завантажити шкідливий PDF-файл або шахрайське додаток.
Запуск небезпечних дій на пристрої користувача
За даними ESET, QR-коди можуть викликати певні дії на пристрої в залежності від зчитувальної програми. Серед базових дій таких додатків - підключення до мережі Wi-Fi, відправка електронного листа або SMS і збереження контакту на пристрої. Використовуючи такі програми, зловмисники можуть підключити пристрій до небезпечних мереж.
Переадресація платежу або запит на отримання грошових коштів
Більшість фінансових додатків сьогодні дозволяють здійснювати платежі через QR-коди, які вже містять дані одержувача. Багато магазинів показують ці коди своїм клієнтам і таким чином полегшують процес оплати.
Експерти в сфері кібербезпеки підкреслюють, що зловмисники можуть замінити дані в цьому коді на власні і отримати гроші на свій рахунок. Шахраї також можуть створювати підроблені платіжні QR-коди з запитами на отримання грошей, щоб обдурити покупців.
Викрадення особистих даних або доступ до програми
Багато QR-кодів використовуються для перевірки даних про людину, наприклад, його ідентифікаційного номера або сертифіката вакцинації. У цих випадках коди містять конфіденційну інформацію, яку зловмисник може легко отримати, просканувавши їх – повідомляють в ESET.
Також багато програм, наприклад, WhatsApp, Telegram або Discord, використовують QR-коди для аутентифікації сеансів, дозволяючи користувачам отримати доступ до своїх акаунтів. Зокрема, зловмисники під виглядом служби підтримки можуть обманом змусити користувача просканувати шкідливий QR-код.
Як уникнути шахрайства при скануванні QR-кодів
Щоб не стати жертвами шахраїв, фахівці ESET рекомендують перед скануванням переконатися в оригінальності QR-коду (наприклад, наклейка з підробленим кодом може закривати оригінальний і бути частиною схеми шахрайства), уникати сканування випадково знайдених QR-кодів, бути обережними при скануванні коду для оплати рахунків або інших фінансових операцій, відключати функцію автоматичної дії при скануванні QR-коду, наприклад, відвідування веб-сайту, завантаження файлу або підключення до мережі Wi-Fi.
Крім того, в компанії рекомендують після сканування переглянути URL-адресу, щоб переконатися в його легітимності (крім того, фахівці застерігають від введення особистих даних на сайті, на який ви потрапили за допомогою QR-коду), не публікувати QR-коди, які містять конфіденційну інформацію, використовувати надійні сервіси для створення коду, які дозволяють перевірити його легітимність і виконання необхідної дії, а також оновлювати додатки до актуальних версій і використовувати програму для захисту від шкідливого програмного забезпечення.
Як повідомляв УНІАН, в Україні щодня фіксується близько 300 тис.нових кіберзагроз для інформаційної безпеки. При цьому знайти хакерів-зловмисників вкрай складно, компаніям залишається лише проводити щохвилинні моніторинги на предмет виявлення кіберзагроз з метою їх подальшого блокування.
Компанія ESET - провідний розробник рішень у сфері комп'ютерної безпеки та експерт у сфері ІТ-безпеки. Компанія була заснована в 1992 році в Словаччині і на сьогодні представлена більш, ніж в 180 країнах світу.
