Схемы мошенничества с использованием QR-кодов
Многие банки стали оказывать услугу – «Снятие наличных денег по QR-коду». Суть такой услуги проста: в мобильном приложении банка, установленном на телефоне клиента, можно сформировать QR-код, который нужно считать устройством банкомата – то есть клиент даже не дотрагивается до банкомата, а все операции производит в мобильном приложении. Это удобно и безопасно: не нужна пластиковая карта, не нужно дотрагиваться до кнопок и экрана банкомата, то есть мошенники не смогут похитить данные через накладки на банкоматы – так как этот этап исключен.
Сейчас банки совершенствуют процедуры и в более доступной форме рассказывают клиентам об услуге, но в целом, эта услуга изначально не учитывала приемы социально-криминальной инженерии. Вообще, операции с помощью QR-кода удобны и безопасны при выполнении сторонами установленных условий. Слабым местом тут опять является клиент – банк максимально обезопасил процедуры, но заставить клиента соблюдать требования информационной безопасности и финансовой гигиены порой бывает трудно. И тут кроется возможность, перспектива использования QR-кодов мошенниками:
подмена статического QR-кода в магазине (когда такой код указан на наклейке на кассе, а не формируется при каждой операции новый);
рекламные объявления, содержащие QR-коды (кстати, запрещенные в части регионов), которые запускают списание средств без подтверждений;
наклейка подменных QR-кодов на меню в ресторанах для оплаты чаевых через QR-код (деньги уходят мошенникам, а не официантам) и так далее.
