Как избежать мошенничества с QR-кодом: главные правила

Почему QR-коды популярны

В QR-коде можно зашифровать практически любую текстовую и числовую информацию объемом до 4 килобайт. Для этого не требуется сложных и секретных технологий. Стандарт QR является полностью публичным, и любой желающий может создать свою шифровку через онлайн-сервисы и приложения. Кроме того, также быстро можно и расшифровать любой интересующий код, подгрузив картинку или отсканировав ее камерой.

Что можно зашифровать в QR-код

Все чаще QR-код задействуется как инструмент для автоматизации пользовательских действий, например скачивания и установки приложения или совершения оплаты. Код служит носителем зашифрованной квитанции или ссылки. Приложение смартфона ее распознаёт и запускает в обработку.

Данные для шифровки:

В чём риски использования QR-кодов

При сканировании QR-кода приложение обычно не анализирует его содержимое, проводя операцию автоматически. Кроме того, современные антивирусные приложения, как правило, не научены проверять веб-ссылки, зашифрованные в QR-коде, на легальность. Поскольку формально это не вирус, значит, нет повода для тревоги. Эти недостатки могут способствовать мошенничеству через QR-коды. Как правило, оно связано с подменой реквизитов или ссылок на другие. Используя их, пользователь может сам того не зная установить на смартфон вредоносное приложение или перечислить мошенникам деньги.

Как распознать мошеннический QR-код

Внешне легальный и мошеннический QR-коды будут практически неотличимы. Но, если попытаться расшифровать их, могут быть заметны расхождения в отображаемых данных. Как правило, они малозаметны. Расшифровка представляет собой преобразование графического QR-кода в буквенно-цифровую ссылку. Чтобы дешифровать код смартфоном, можно использовать бесплатные приложения «Сканер QR» или QR Reader, доступные в Google Play, App Store, RuStore и других магазинах.

После дешифровки важно внимательно изучить содержание ссылки. Как правило, даже в мошенническом адресе указан безопасный протокол https, поэтому смотреть надо дальше. К примеру, если вместо фирменного домена компании фигурирует короткая ссылка, это вероятный критерий нелегальности ресурса. Также важно смотреть на правильность названия компании, в ней может быть заменена всего одна буква или добавлены новые. Наличие фирменного логотипа на самом QR-коде не гарантирует того, что его прикрепил не мошенник.

Также можно обезопасить себя, использовав специальные приложения для проверки ссылок на вредоносность, например VirusTotal. Здесь риск в том, что не каждая ссылка может оказаться в базе данных соответствующего сервиса.

В чём особенности дешифровки платёжных ссылок

Стандартная квитанция.
После дешифровки нужно изучить содержимое текста.

Ключевые значения:

Если реквизиты получателя платежа верны, квитанция корректна. Если хотя бы один неверный, это может говорить о подмене реквизитов для кражи денег.

Ссылка на оплату по СБП.
В системах онлайн-банкинга реализованы алгоритмы анализа, позволяющие обнаруживать пиратские ссылки и выявлять попытки мошенничества. После дешифровки важно посмотреть, чтобы ссылка содержала официальный домен Национальной системы онлайн-оплаты — nspk.ru. Если домен другой, ссылка не распознается банком и загружать ее не стоит, так как она может вести на вредоносное приложение.

Как обезопасить себя, если нет возможности сделать дешифровку

Оценить место и условия размещения QR-кода.
Он должен размещаться непосредственно в месте продажи товаров или оказания услуг. Онлайн-коды должны быть размещены на официальных сайтах. Если QR-код указан в контекстном объявлении или на баннере, есть риск перейти на ресурс, принадлежащий мошенникам.

Обратиться к представителю бренда.
Если есть подозрение, что QR-код мошеннический, можно обратиться в офис или представительство компании и уточнить, действительно ли это их код. Во многих случаях соответствующее обращение занимает буквально несколько минут.

Не торопиться использовать QR-код.
Мошенники бывают особенно активны в массовых местах, где люди обычно очень спешат и готовы скорее сканировать QR-код, чтобы быстрее отправиться дальше по своим делам.

Посмотреть правильность нанесения.
Офлайн-коды не должны быть наклеены друг на друга. Если это так, может оказаться, что поверх легального размещен мошеннический. Если да, то, вполне возможно, это мошенники заместили легальный код пиратским.

Заключение

QR-код — действенный инструмент, который может облегчить множество действий. Чтобы избежать мошенничества, важно использовать код только в проверенных местах и не торопиться, когда он предлагается на новом ресурсе. При наличии сомнений, на помощь может прийти приложение, позволяющее дешифровать QR-код.