Безопасно ли платить по QR-коду?

QR-код по своей сути является двумерной сеткой, состоящей из черных и белых квадратных элементов, выстроенных по определенной схеме. В каждом из углов кода помещены три больших квадрата, которые обеспечивают правильное позиционирование и ориентацию при сканировании, тогда как четвертый, меньший квадрат используется для выравнивания изображения. Остальная часть матрицы содержит закодированные данные. Для повышения надежности чтения QR-кодов применяется алгоритм исправления ошибок Рида-Соломона, позволяющий считывать информацию даже при повреждении до 30% кода. Внутри QR-кода может храниться практически любой тип данных: от текстовых сообщений и URL-адресов до контактной информации, координат местоположения, паролей для Wi-Fi и платежных данных.

В современной цифровой среде QR-коды стали неотъемлемой частью инфраструктуры. Мы встречаем их:

• в ресторанах, где они заменяют традиционные меню;
• в магазинах для быстрого осуществления покупок;
• при оплате коммунальных услуг и налогов;
• для авторизации в различных приложениях и сервисах;
• на выставках и в музеях для получения дополнительной информации;
• на упаковках товаров с целью проверки подлинности;
• на визитных карточках для быстрого сохранения контактных данных.

Ключевые угрозы при использовании QR-кодов

Фальсифицированные QR-коды

Одной из наиболее распространенных опасностей является замена оригинальных QR-кодов поддельными. Любой может создать QR-код с помощью бесплатных онлайн-генераторов, что предоставляет широкие возможности для злоумышленников, особенно в местах с большим потоком людей. Мошенники могут распечатать и наклеить свой QR-код поверх действительного на столиках в кафе, платежных терминалах, рекламных щитах или даже на парковочных автоматах. В итоге деньги отправляются не законному получателю, а мошеннику.

Согласно статистике МВД России, количество преступлений, связанных с подделкой QR-кодов, растет ежегодно. Такие деяния подпадают под статью 159 Уголовного кодекса РФ «Мошенничество», предусматривающую наказание вплоть до десяти лет лишения свободы, в зависимости от размера ущерба и иных обстоятельств. Основной проблемой в борьбе с такими преступлениями является трудность быстрой идентификации подделки, так как визуально отличить фальсифицированный QR-код от подлинного практически невозможно.

Фишинг посредством QR-кодов

Еще одной популярной схемой мошенничества является использование QR-кодов для перенаправления пользователей на поддельные веб-сайты и приложения. Этот метод известен как «QR-фишинг» или «quishing» (от слов QR и phishing). Злоумышленники создают фиктивные веб-страницы, имитирующие интерфейс известных сервисов, таких как банки, государственные порталы или популярные маркетплейсы. Когда пользователь сканирует такой QR-код и переходит по ссылке, он попадает на сайт, визуально не отличимый от оригинала, и может незамедлительно ввести свои учетные данные. В этот момент мошенники получают доступ к, например, банковской карте пользователя. Особенно активно QR-фишинг используется для имитации официальных государственных ресурсов.

По данным Центробанка, ежеквартально выявляются тысячи поддельных сайтов, ссылки на которые распространяются через QR-коды.

В соответствии со статьей 159.6 УК РФ «Мошенничество в сфере компьютерной информации» такие действия караются лишением свободы до десяти лет и штрафом до одного миллиона рублей.

Кража данных через QR-коды

Третьим методом атаки является использование QR-кодов для прямого доступа к конфиденциальной информации пользователей. Некоторые мошеннические коды при сканировании инициируют процессы, которые незаметно для пользователя собирают данные устройства — контакты, сообщения, данные банковских приложений или даже прямой доступ к мобильному банкингу при наличии уязвимостей.

Согласно части 1 статьи 3 Федерального закона «О персональных данных», «обработка персональных данных должна осуществляться на законных основаниях», а любой незаконный сбор личной информации рассматривается как нарушение.

При этом статья 137 УК РФ «Нарушение неприкосновенности частной жизни» предусматривает уголовную ответственность за незаконный сбор сведений о частной жизни лица, а статья 183 УК РФ — за незаконное получение и распространение сведений, составляющих коммерческую, налоговую или банковскую тайну.

Методы мошенников при использовании QR-кодов

Схемы с подменой получателя платежей

Современные мошенники достигли такого уровня мастерства, что интегрируют свои схемы в повседневные процессы оплаты, максимально имитируя легитимные процедуры. Одним из наиболее распространенных методов является «подмена получателя», когда злоумышленник создает QR-код, внешне идентичный оригиналу, но перенаправляющий средства на свой счет. Эта схема особенно эффективна в местах, где потребители привыкли к быстрым платежам через QR-коды: кафе, рестораны, парковки, зоны платного проезда, службы доставки.

Особенно уязвимыми являются места с высоким потоком людей, где платежи совершаются в спешке и без должного внимания. Поэтому мошенники часто выбирают вокзалы, аэропорты, крупные транспортные узлы и фуд-корты торговых центров для размещения своих схем. В таких условиях вероятность того, что человек тщательно проверит URL после сканирования QR-кода или удостоверится в получателе платежа, значительно снижается.

Социальная инженерия с использованием QR-кодов

Социальная инженерия — это психологические методы манипуляции людьми с целью получения от них конфиденциальной информации или побуждения к определенным действиям. Эти методы активно сочетаются с использованием QR-технологий. Мошенники создают фальшивые акции, розыгрыши, конкурсы и опросы, распространяют информацию о них через QR-коды на улицах, в транспорте, социальных сетях и мессенджерах. Человек, сканирующий такой код, может быть перенаправлен в фишинговый чат или группу, где под предлогом участия в какой-либо активности его личные данные выманивают или предлагают перевести деньги.

Согласно части 1 статьи 14.7 КоАП РФ, «введение потребителей в заблуждение относительно потребительских свойств или качества товара» является административным правонарушением. Однако, если речь идет о намеренном обмане с целью получения финансовой выгоды, такие действия квалифицируются по статье 159 УК РФ «Мошенничество». Эксперты отмечают, что доказать факт мошенничества в подобных случаях сложно из-за высокой анонимности современных цифровых коммуникационных каналов.

Вредоносные приложения через QR-коды

QR-коды часто используются для распространения вредоносного программного обеспечения. Злоумышленники размещают коды, ведущие на страницы загрузки поддельных приложений, внешне имитирующих известные сервисы — банковские приложения, государственные порталы, популярные игры или утилиты. После установки такие приложения получают доступ к данным пользователя и могут выполнять различные вредоносные действия: от показа навязчивой рекламы до кражи банковских данных или шифрования файлов с требованием выкупа.

По статье 273 УК РФ «Создание, использование и распространение вредоносных компьютерных программ» подобные действия караются лишением свободы до семи лет.

В части 1 этой статьи прямо говорится о наказании за «создание, распространение или использование компьютерных программ либо иной компьютерной информации, заведомо предназначенных для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты компьютерной информации».

Способы защиты от мошенничества с QR-кодами

Для защиты от мошенничества, связанного с QR-кодами, необходим комплексный подход, включающий техническую грамотность, бдительность и здоровый скептицизм. Прежде всего, следует внимательно оценивать источник QR-кода. В заведениях, магазинах и на платежных терминалах проверяйте, не выглядит ли код подозрительно: нет ли на нем следов наклеек, не отличается ли он от других подобных кодов в этом месте. Обращайте внимание на качество печати и материал — легитимные QR-коды в общественных местах обычно печатаются на качественной бумаге или пластике, имеют профессиональный вид и часто защищены специальными элементами для предотвращения подделки.

В случае сомнений всегда лучше запросить альтернативный способ оплаты или получения информации. Большинство добросовестных бизнесов предоставляют своим клиентам различные варианты взаимодействия.

Если сотрудник заведения или сервиса настаивает исключительно на использовании QR-кода и не предлагает других вариантов, это может быть тревожным сигналом.

Как указано в статье 16.1 Закона «О защите прав потребителей», продавец обязан обеспечить возможность оплаты товаров (работ, услуг) посредством национальных платежных инструментов, а также наличных расчетов по выбору потребителя.

Не менее важно избегать сканирования подозрительных QR-кодов. К таким относятся:

• коды на непроверенных рекламных материалах, особенно если они обещают нереалистичные выгоды;
• коды, размещенные в необычных местах без очевидной связи с окружающим контекстом;
• коды с признаками вторичного наклеивания.

Статистика показывает, что большинство успешных кибератак с использованием QR-кодов связаны с кодами, размещенными в общественных местах без явного указания на организацию, которая их разместила.

Выбор надежных приложений для сканирования QR-кодов имеет ключевое значение для обеспечения безопасности. Рекомендуется использовать программы от проверенных разработчиков, обладающих хорошей репутацией и широкой базой пользователей. Эффективное приложение для распознавания QR-кодов должно предоставлять возможность предварительного просмотра содержимого перед переходом по ссылке, включать функцию проверки URL на наличие фишинга и обеспечивать блокировку подозрительных ресурсов.

Заключение

QR-коды стали неотъемлемой частью современной цифровой жизни, значительно упрощая множество повседневных действий, таких как оплата счетов или получение информации. Однако их возрастающая популярность привлекает мошенников, использующих различные схемы обмана: подмену оригинальных QR-кодов, фишинговые атаки и распространение вредоносного ПО. Для своей защиты необходимо всегда проверять источник QR-кода, внимательно анализировать URL-адреса после сканирования, использовать безопасные приложения для их считывания и сохранять здоровый скептицизм. Если вы стали жертвой мошенничества с использованием QR-кодов, крайне важно сразу обратиться к профессиональным юристам, которые помогут правильно задокументировать произошедшее и предпринять необходимые правовые меры для защиты ваших интересов.