Суммы квадратов: банковские мошенники используют для обмана QR-коды
Мошенники стали красть деньги у россиян с помощью QR-кодов, в которых зашита информация о счете клиента. Направив такой код якобы сотруднику банка под предлогом защиты от кредитных мошенников, жительница Москвы в январе уже лишилась 75 тыс. рублей, узнали «Известия». Банкам эта схема уже известна. Эксперты-кибербезопасники пояснили: злоумышленники воспользовались тем, что некоторые банки позволяют проводить финансовые операции с помощью QR-кода, например снимать деньги в банкомате или переводить их кому-либо. В QR может быть зашита любая информация, и при отправке даже критических сведений в виде такого шифра у клиента не возникает опасений или сомнений.
Предъявите QR
В середине января жительнице Москвы поступил звонок от имени сотрудника банка, который сообщил, что на ее имя якобы пытаются взять кредит. По данным «Известий», далее собеседник заявил: чтобы избежать оформления несанкционированного займа, женщине необходимо сделать «бесплатную защиту» и создать QR-код для того, чтобы отменить операцию. Под руководством подставного сотрудника банка москвичка создала QR-код и направила его через чат-бот, а затем с ее карты было списано 75 тыс. рублей.
«Известия» направили запрос в МВД. Схема с применением методов социальной инженерии, при реализации которой упоминаются «бесплатная защита» или «QR-коды», известна в Газпромбанке, сообщил его представитель.
Некоторые кредитные организации позволяют проводить финансовые операции с помощью QR-кода, например снимать деньги в банкомате или переводить их кому-либо, пояснил «Известиям» главный эксперт «Лаборатории Касперского» Сергей Голованов. По его словам, в этой схеме злоумышленники с помощью социальной инженерии могли убедить клиента банка сгенерировать такой код, указав какую-либо сумму, и направить им QR. В процессе разговора преступники могли выманить дополнительную информацию, необходимую для осуществления такого перевода, добавил эксперт.
Над сервисом по снятию денег в банкоматах без предъявления карты — по QR-коду, который можно кому-либо направить, работают основные российские банки, писали ранее «Известия». Такой уже есть у «Тинькофф», планировали его запустить «Открытие», УБРиР и СКБ-банк. «Известия» направили запросы в крупнейшие финансовые организации о том, могут ли QR-коды использоваться мошенниками. В ВТБ уверили, что такой вид обмана через мобильное приложение банка невозможен.
Вполне вероятно, что именно сервисом для снятия наличных с чужой карты по QR-коду воспользовались злоумышленники, полагает технический директор компании RuSIEM Антон Фишман. Он предположил, что преступник попросил женщину под предлогом защиты от кредитного мошенничества сформировать QR-код на снятие наличных и направить его собеседнику через сторонний чат-бот. При снятии денег в этом случае никаких подтверждений не требуется, добавил эксперт.
Повесить трубку
С точки зрения рисков, связанных с мошенничеством на основе использования социальной инженерии, сервис по снятию наличных с чужой карты по QR-коду достаточно критичен, опасается директор Ассоциации развития финансовой грамотности Вениамин Каганов. Он пояснил: в случаях, когда клиент не понимает сути предлагаемых услуг и смысла своих действий, злоумышленник может легко ввести его в заблуждение и побудить сгенерировать код якобы для защиты средств, а по факту — применить его для хищения денег.
Используя приемы социальной инженерии, мошенники стараются войти в доверие и в разговоре они могут выяснить остаток средств на счете, рассказал ведущий специалист отдела информационной безопасности Локо-Банка Илья Даньшин. Затем злоумышленники просят перейти на страницу в приложении банка, сделать скриншот QR-кода с реквизитами счета клиента-жертвы и направить его в сторонний чат-бот, ссылку на который они присылают. Далее сам чат-бот в автоматическом режиме может списывать средства со счета жертвы, пояснил он.
— QR-код — вообще довольно опасная вещь, так как может содержать ссылку на любое содержимое, включая фейковые сайты или зловреды, которые загрузятся на мобильное устройство. При его чтении необходима осторожность и внимательность — как минимум нужно смотреть, по какой ссылке вы переходите или какое приложение откроется в результате сканирования. На QR-коды уже обратил внимание криминал, который тестирует новые варианты мошенничества с их помощью. И число таких схем будет только расти, — ожидает основатель сервиса разведки утечек данных и мониторинга даркнета DLBI Ашот Оганесян.
Методы социальной инженерии остаются основным инструментом злоумышленников для хищения денег у граждан, напомнили «Известиям» в Банке России, подчеркнув, что телефонное мошенничество — один из главных каналов таких действий. ЦБ рекомендует гражданам сохранять бдительность и не сообщать свои персональные сведения и данные банковских карт посторонним лицам, в том числе якобы сотрудникам банка, под каким бы предлогом звонящие ни пытались их узнать.
Для введения в заблуждение мошенники используют как вымышленные сложные термины («безопасный счет», «сберегательный счет в ЦБ», «поместить в ячейку для сохранения»), так и сложные комбинации действий — как в случае с генерацией QR-кода, отметили в Райффайзенбанке. В подобных ситуациях ни в коем случае не стоит идти на поводу и скачивать или использовать любые приложения или устройства, кроме мобильного приложения своей кредитной организации, добавили в Почта Банке. Для надежности стоит положить трубку и перезвонить в контакт-центр банка или написать в чат мобильного приложения.
