Суммы квадратов: банковские мошенники используют для обмана QR-коды
Мошенники стали красть деньги у россиян с помощью QR-кодов, в которых зашита информация о счете клиента. Направив такой код якобы сотруднику банка под предлогом защиты от кредитных мошенников, жительница Москвы в январе уже лишилась 75 тыс. рублей, узнали "Известия". Банкам эта схема уже известна. Эксперты-кибербезопасники пояснили: злоумышленники воспользовались тем, что некоторые банки позволяют проводить финансовые операции с помощью QR-кода, например снимать деньги в банкомате или переводить их кому-либо. В QR может быть зашита любая информация, и при отправке даже критических сведений в виде такого шифра у клиента не возникает опасений или сомнений.
Предъявите QR
В середине января жительнице Москвы поступил звонок от имени сотрудника банка, который сообщил, что на ее имя якобы пытаются взять кредит. По данным "Известий", далее собеседник заявил: чтобы избежать оформления несанкционированного займа, женщине необходимо сделать "бесплатную защиту" и создать QR-код для того, чтобы отменить операцию. Под руководством подставного сотрудника банка москвичка создала QR-код и направила его через чат-бот, а затем с ее карты было списано 75 тыс. рублей.
"Известия" направили запрос в МВД. Схема с применением методов социальной инженерии, при реализации которой упоминаются "бесплатная защита" или "QR-коды", известна в Газпромбанке, сообщил его представитель.
Некоторые кредитные организации позволяют проводить финансовые операции с помощью QR-кода, например снимать деньги в банкомате или переводить их кому-либо, пояснил "Известиям" главный эксперт "Лаборатории Касперского" Сергей Голованов. По его словам, в этой схеме злоумышленники с помощью социальной инженерии могли убедить клиента банка сгенерировать такой код, указав какую-либо сумму, и направить им QR. В процессе разговора преступники могли выманить дополнительную информацию, необходимую для осуществления такого перевода, добавил эксперт.
Над сервисом по снятию денег в банкоматах без предъявления карты - по QR-коду, который можно кому-либо направить, работают основные российские банки, писали ранее "Известия". Такой уже есть у "Тинькофф", планировали его запустить "Открытие", УБРиР и СКБ-банк. "Известия" направили запросы в крупнейшие финансовые организации о том, могут ли QR-коды использоваться мошенниками. В ВТБ уверили, что такой вид обмана через мобильное приложение банка невозможен.
Вполне вероятно, что именно сервисом для снятия наличных с чужой карты по QR-коду воспользовались злоумышленники, полагает технический директор компании RuSIEM Антон Фишман. Он предположил, что преступник попросил женщину под предлогом защиты от кредитного мошенничества сформировать QR-код на снятие наличных и направить его собеседнику через сторонний чат-бот. При снятии денег в этом случае никаких подтверждений не требуется, добавил эксперт.
Повесить трубку
С точки зрения рисков, связанных с мошенничеством на основе использования социальной инженерии, сервис по снятию наличных с чужой карты по QR-коду достаточно критичен, опасается директор Ассоциации развития финансовой грамотности Вениамин Каганов. Он пояснил: в случаях, когда клиент не понимает сути предлагаемых услуг и смысла своих действий, злоумышленник может легко ввести его в заблуждение и побудить сгенерировать код якобы для защиты средств, а по факту - применить его для хищения денег.
Используя приемы социальной инженерии, мошенники стараются войти в доверие и в разговоре они могут выяснить остаток средств на счете, рассказал ведущий специалист отдела информационной безопасности Локо-Банка Илья Даньшин. Затем злоумышленники просят перейти на страницу в приложении банка, сделать скриншот QR-кода с реквизитами счета клиента-жертвы и направить его в сторонний чат-бот, ссылку на который они присылают. Далее сам чат-бот в автоматическом режиме может списывать средства со счета жертвы, пояснил он.
- QR-код - вообще довольно опасная вещь, так как может содержать ссылку на любое содержимое, включая фейковые сайты или зловреды, которые загрузятся на мобильное устройство. При его чтении необходима осторожность и внимательность - как минимум нужно смотреть, по какой ссылке вы переходите или какое приложение откроется в результате сканирования. На QR-коды уже обратил внимание криминал, который тестирует новые варианты мошенничества с их помощью. И число таких схем будет только расти, - ожидает основатель сервиса разведки утечек данных и мониторинга даркнета DLBI Ашот Оганесян.
Методы социальной инженерии остаются основным инструментом злоумышленников для хищения денег у граждан, напомнили "Известиям" в Банке России, подчеркнув, что телефонное мошенничество - один из главных каналов таких действий. ЦБ рекомендует гражданам сохранять бдительность и не сообщать свои персональные сведения и данные банковских карт посторонним лицам, в том числе якобы сотрудникам банка, под каким бы предлогом звонящие ни пытались их узнать.
Для введения в заблуждение мошенники используют как вымышленные сложные термины ("безопасный счет", "сберегательный счет в ЦБ", "поместить в ячейку для сохранения"), так и сложные комбинации действий - как в случае с генерацией QR-кода, отметили в Райффайзенбанке. В подобных ситуациях ни в коем случае не стоит идти на поводу и скачивать или использовать любые приложения или устройства, кроме мобильного приложения своей кредитной организации, добавили в Почта Банке. Для надежности стоит положить трубку и перезвонить в контакт-центр банка или написать в чат мобильного приложения.
Источник: Известия https://iz.ru/1283212/natalia-ilina/summy-kvadratov-bankovskie-moshenniki-ispolzuiut-dlia-obmana-qr-kody
03.02.2022
