QR code scam: опаснее, чем вы думаете

Федеральное бюро расследований (FBI) просит жителей США проявить максимальную бдительность при сканировании подозрительных QR-кодов (QR code). Количество мошенничеств с этой технологией выросло в последнем квартале 2024 года почти на 400%. Эксперты прогнозируют, что в наступившем году мошенники могут украсть через фейковые QR-коды до $35-$40 млрд.

Сразу стоит подчеркнуть, что преступлениями категории QR code scam занимается именно FBI, а не надзорное ведомство вроде той же Федеральной торговой комиссии (FTC). Спецслужба называет мошенничество «чрезвычайно опасным и непредсказуемым по своим негативным последствиям».

В качестве типичного примера QR code scam можно привести волну преступлений, произошедших в декабре более чем в 30 американских городах: аферисты наклеили стикеры с фишинговыми (то есть заражёнными компьютерными вирусами) QR-кодами на реальные QR-коды на уличных парковочных счётчиках.

При оплате парковки водители наводили свои смартфоны на матричные штриховые коды и попадали на хакерские сайты, похожие на официальные сайты Отделов транспортных средств (DMV). Далее аферисты дистанционно проникали в смартфоны автомобилистов и похищали самую разную информацию, включая номера кредитных карт, пароли к банковским аккаунтам, социальным сетям/имэйлам, а также многое другое.

Так, в одном из городов Калифорнии мошенники наклеили 20 фейковых QR-кодов поверх настоящих и в первые же сутки завладели данными 33 смартфонов. Фишинговые QR-коды были распечатаны на обыкновенном принтере и наклеены за считанные минуты.

В другом случае мошенники заклеили фишинговыми стикерами уличную рекламу служб доставки товаров, которая обещала скидку в $75 новым клиентам. Эта реклама размещалась не только на транспарантах, но и в общественном транспорте - метро и автобусах. Декабрьское количество пострадавших оценивается в 600 человек в 13 штатах.

Самая дерзкая разновидность QR code scam зафиксирована во Флориде, Калифорнии, Нью-Йорке и Нью-Джерси.

Там местные жители получили по почте большие конверты (те, что с пупырышками внутри), в которых лежала одна красивая открытка со штриховым кодом.

«Отсканируй этот код, чтобы увидеть свой подарок!» (Scan this code to see your gift), - гласила надпись.

Получатели письма, естественно, так и поступили.

Фейковые QR-коды, как правило, загружают на смартфоны три вида вирусов.

Первый -вредоносное программное обеспечение (malware).

Оно сканирует девайс на наличие ценной информации. Иногда мошенники ищут что-то конкретное. Например, копии документов - драйвер-лайсенса, карточки социального страхования, налоговых деклараций и т. п. Многие американцы хранят их копии в альбомах с фотографиями или в папках имэйлов.

Второй вирус - длявымогательства (ransomware).

Он блокирует все ваши данные и требует выкуп (как правило, от $500 до $10 тысяч). Если выкуп не будет выплачен,  со смартфона будет удалено абсолютно всё, включая фотографии, переписка, письма в имэйлах, контент в социальных сетях и т. п.

Как правило, жертва должна заплатить в течение 1 - 3 часов. Этого времени недостаточно, чтобы получить квалифицированную помощь специалиста по кибербезопасности. Как результат, многие платят выкуп.

Вирус номер три- троян.

Самая эффективная и проблемная хакерская уловка.

Троян постоянно совершенствуется и «прячется» в смартфоне долгими годами. Он также может мониторить местонахождение заражённого смартфона (то есть постоянно следить за передвижением его владельца).

FBI обещает, что к концу 2025 года возможности хакеров, промышляющих QR code scam, сильно ослабнут. Компании, разрабатывающие программное обеспечение для смартфонов с операционными системами iOS и Android, назвали этот сегмент борьбы с хакерами приоритетным. Тем не менее, бум мошенничеств ожидается именно текущей зимой и грядущей весной.

В настоящее время все обладатели смартфонов должны взять на вооружение следующие советы.

Во-первых, не сканируйте QR-коды в подозрительных местах.

Молодые американцы имеют привычку сканировать любые увиденные штриховые коды - особенно те, которые вообще не сопровождаются никакой информацией. Мошенники проникают в смартфоны, пользуясь банальным любопытством владельцев гаджетов.

Во-вторых, всегда изучайте ссылку, которую выдаёт штрих-код.

Например, QR-код на обложке «Русского базара» ведёт на наш официальный сайт, адрес которого не менялся с 1996 года - russian-bazaar.com. В адресе нет каких-либо других букв, цифр, гиперсылок и т. п.

Фишинговые ссылки, как правило, ведут на непонятные страницы, которые быстро загружаются, обновляются, исчезают, появляются вновь и тем самым заражают девайс. То есть если вы просканировали QR‑код, прочитайте, куда именно он ведёт. Если адрес сайта подозрительный - не заходите на него.  

В-третьих, пользуйтесь приложениями QR code apps.

Их великое множество и принцип их работы подробно описан в магазинах iOS и Android. Вы можете скачать бесплатное приложение с хорошим рейтингом или платное, которое максимально защитит вас от мошенников. QR code apps позволяют сканировать штриховые коды не через камеру смартфона, а через иконку, которая является своего рода фильтром от мошенников и моментально блокирует фишинговые атаки.

В-четвёртых,меньше доверяйте уличным штрих-ходам, а также штрих-кодам государственных ведомств.

Почти 70% инцидентов QR code scam происходят, когда фишинговый стикер закрывает реальный стикер. Яркий пример - выше упомянутый инцидент с парковочными счётчиками.

Что касается QR‑кодов в госведомствах, то они никогда не отличались надёжностью. По данным того же FBI, огромное количество личных данных «сливается» хакерам через бреши в городских, штатных и федеральных сайтах.

Иными словами, если соберётесь оформлять тот же Медикейд с Медикером, продлевать пособие по безработице или фудстемпы - заходите на ресурсы с доменом «gov» напрямую, а не через QR‑коды.

Пятый и последний совет стар как мир - по возможности не храните на смартфонах очень важную информацию или хотя бы дублируйте её на автономные носители.

Каждый владелец гаджета должен быть психологически готов к тому, что мошенники не только завладеют его смартфонным контентом, но и полностью его уничтожат.

Евгений Новицкий  

Ссылка по теме:

Охотники за Медикером

Как страховка для пенсионеров стала целью аферистов