За прошлый год в России выросло количество магазинов, предлагающих покупателям оплату по QR-коду. Вместе с тем активизировались мошенники: они уже научились красть деньги с карт людей с помощью кодов или оплачивать свои покупки за чужой счет. «Известия» выяснили, как безопасно оплачивать товары по QR-коду, а в каких случаях по нему лучше не переходить.
Что такое QR-код
Распространение QR-кодов в России связано с уходом платежных систем Visa и Mastercard и невозможностью оплачивать покупки со смартфонов через привычные системы Apple Pay и Google Pay. Сами по себе бесконтактные платежи приобрели особую популярность во время пандемии. Только в 2021 году, согласно исследованию НАФИ, их число выросло втрое. Многие пользователи перестали использовать пластиковые карты, оплачивая товары с помощью смартфонов, «умных» часов и других гаджетов. Теперь на смену этому всему пришли коды.
— QR-код (от англ. Quick Response Code) — это двухмерное изображение, в котором может содержаться любая информация: переадресация на сайт магазина или страницы в социальных сетях, переход на страничку онлайн-записи, оплаты и прочее. Оплата покупок по QR-коду в офлайн-точках удобна тем, что людям не требуется постоянно иметь при себе банковские карты или наличные. Нужно всего лишь открыть приложение мобильного банка, отсканировать код и подтвердить операцию, — объясняет «Известиям» инженер информационной безопасности Лиги цифровой экономики Александра Слынько.
Сегодня такой вид оплаты используют как крупные торговые сети, так и предприятия малого и среднего бизнеса. Этим вовсю пользуются мошенники, которые придумывают новые схемы ради перехвата чужих платежей и кражи денег.
Виды кодов
Сегодня существует три вида QR-кодов. Первые создаются покупателем в специальных приложениях и используются на кассах, где есть сканеры, привязанные к терминалам. Злоумышленники могут украсть такие коды, например с помощью скриншота, и провести оплату с платежного терминала сторонней компании.
— Делается это очень просто, так как мошенникам сразу доступны все данные пользователя. Чтобы обезопасить себя, лучше генерировать QR-код непосредственно перед оплатой и не передавать его по открытым каналам связи, — отмечает в беседе с «Известиями» эксперт по информационной безопасности Лиги цифровой экономики Денис Земцов.
Вторая разновидность — это статические шифры, формирующиеся однократно и содержащие только реквизиты продавца. Статические QR-коды размещаются на кассах или прилавках в электронном виде или распечатываются на листах — при оплате покупателю остается ввести только сумму покупки.
— Злоумышленники часто клеят новые собственные QR-коды поверх текущих или срывают старые, чтобы перенаправить денежные переводы на себя. Метод работает, так как подмену кода очень тяжело заметить человеческим взглядом. Однако можно проверить, не наклеен ли новый лист сверху. В остальном рекомендуется использовать только официальные банковские приложения и проверять реквизиты счетов, — советует эксперт.
Его коллега Александра Слынько советует внимательно проверять QR-коды на столиках в ресторанах и для меню, в салонах красоты и отелях (можно просто посмотреть, нет ли внизу другого кода). Часто организации клеят их, чтобы гости и клиенты могли оставить чаевые персоналу, однако деньги могут уйти на счета злоумышленников.
Потому лучше вручать чаевые непосредственно человеку, которого вы желаете поблагодарить, или пользоваться QR-кодом в чеке, который распечатали именно для вас.
И наконец, последний тип, динамические коды, имеют минимальный риск мошенничества. Они генерируются продавцом перед покупкой и содержат всю необходимую информацию — реквизиты банка, итоговую сумму заказа и другие данные. Такие коды обычно встречаются в крупных торговых сетях.
— Поскольку QR-код отображается на платежном терминале или устройстве магазина, злоумышленникам очень сложно перехватить какие-то конфиденциальные данные. Но, чтобы быть точно уверенным в подлинности конкретного кода, дополнительно можно проверить данные платежных операций и финальную стоимость, — говорит Земцов.
QR-коды на афишах
Впрочем, QR-коды используются не только для оплаты товаров. Их часто можно увидеть на афишах мероприятий, рекламных листовках и плакатах. Стоит ли по ним переходить?
Даже если код создан не для оплаты, а для анонса события или предоставления скидки, нет никакой гарантии, что он не отправит вас на страницу с вредоносной программой, с помощью которой неизвестные получат доступ к вашему смартфону, логинам и паролям, говорит Александра Слынько.
— Мошенники могут распространять вирусные ссылки на листовках со скидками, а при переходе на сайт красть деньги с вашего счета, — объясняет эксперт. — Потому сканируйте QR-коды только в приложениях мобильных банков. Это безопаснее, ведь при открытии кода смартфон может отреагировать по-разному: у одних людей на экране появится адрес сайта, куда можно перейти после подтверждения, а у других переход будет выполнен автоматически, что грозит заражением устройства вирусами-вымогателями.
Важное отличие QR-кодов в том, что пользователь не сможет узнать, что в нем зашифровано, пока не перейдет по ссылке. Однако можно посмотреть, какая ссылка в него «зашита». Если домен начинается с https, ресурс безопасен.
— Кроме того, стоит обратить внимание на содержание самой ссылки, правильно ли написано название магазина или ресторана. Часто мошенники заменяют всего одну букву, создавая фишинговые ресурсы. И они могут подменить информационную листовку, размещенную на столах в ресторане, добавив на нее собственный код. Человек, пришедший в заведение отдохнуть, вряд ли будет проверять домен, — отмечает Слынько.
Правила QR-гигиены
Подводя итог, эксперты «Известий» не советуют сканировать QR-коды, если вы не уверены в их подлинности. Другой вариант — для проверки кодов с низким уровнем доверия (например, на плакатах, листовках и наклейках) можно использовать специальные сканеры от производителей антивирусного ПО, например Free QR Scanner от Avira, Kaspersky QR Scanner или Trend Micro QR Scanner. Такие приложения помогут обнаружить вредоносный контент или фишинговые сайты.
— Дополнительно можно защитить устройство, с которого вы производите оплату, установив антивирусы. Кроме того, важно обновлять банковские приложения — с выпуском новых патчей безопасности разработчики закрывают существующие дыры и уязвимости. Если забывать это делать, вы облегчите работу мошенникам, — говорит Александра Слынько.
Также не стоит забывать обновлять операционную систему и на самом устройстве, напоминает эксперт. Чем старее версия, тем проще заполучить доступ к вашему смартфону.
Наконец, перед покупкой по QR-коду нужно как можно внимательнее проверять все детали — реквизиты, итоговую сумму, наименование получателя. Так бесконтактная оплата будет безопасной.