14/12/23
Федеральная торговая комиссия США (Federal Trade Commission, FTC) опубликовала предупреждение о растущей угрозе мошенничества с использованием QR-кодов, которые могут быть использованы для захвата контроля над смартфонами, осуществления мошеннических операций или получения личной информации пользователей.
QR-коды, являясь двухмерными штрих-кодами, автоматически открывают веб-браузер или приложение при сканировании камерой телефона, пишет Securitylab. Они широко используются в ресторанах, парковках, магазинах и благотворительных организациях для упрощения процессов, таких как просмотр онлайн-меню или осуществление платежей. Также QR-коды применяются в системах безопасности – например, для входа в аккаунты на YouTube, Apple TV и в других ТВ-приложениях.
Однако мошенники научились использовать доверие к QR-кодам в своих целях. Более двух лет они активно используют поддельные QR-коды, заменяя ими настоящие, например, на паркоматах. Коды ведут на фальшивые сайты, через которые средства перечисляются на мошеннические счета.
Кроме того, в электронных письмах, направленных на кражу паролей или установку вредоносных программ, используются QR-коды для перенаправления на вредоносные сайты. Так как QR-код вставляется в письмо в виде изображения, антивирусные программы не могут обнаружить мошеннические ссылки. Такая техника привела к увеличению количества фишинговых атак с использованием изображений в последние месяцы.
FTC предостерегает потребителей быть настороже относительно таких видов мошенничества.
«QR-код от мошенника может перенаправить вас на поддельный сайт, который выглядит подлинным. Если вы введете свои данные на таком сайте, преступники смогут украсть их. Кроме того, QR-код может установить вредоносное ПО, которое украдет вашу информацию», - предупреждает FTC.
Предостережение FTC последовало спустя почти 2 года после аналогичного предупреждения от ФБР. Рекомендации от обеих агентств включают следующие меры:
- После сканирования QR-кода убедитесь, что он ведет на официальный URL-адрес сайта или услуги;
- Вводите логин и пароль или платежные данные только после тщательной проверки сайта;
- Перед сканированием QR-кода в меню, на парковке или у продавца удостоверьтесь, что он не был подменен;
- Будьте особенно осторожны с QR-кодами, встроенными в текст электронного письма;
- Не устанавливайте сторонние сканеры QR-кодов на телефон без необходимости и тщательно проверяйте разработчика приложения.
Кроме того, следует быть осторожным с QR-кодами, используемыми для регистрации сайта в системах двухфакторной аутентификации, таких как Google Authenticator или Authy. Не позволяйте никому видеть такие QR-коды и перерегистрируйте сайт в случае их компрометации.
