Мошенники стали красть деньги у россиян с помощью QR-кодов, в которых зашита информация о счете клиента. Направив такой код якобы сотруднику банка под предлогом защиты от кредитных мошенников, жительница Москвы в январе уже лишилась 75 тыс. рублей, узнали ?Известия?. Банкам эта схема уже известна. Эксперты-кибербезопасники пояснили: злоумышленники воспользовались тем, что некоторые банки позволяют проводить финансовые операции с помощью QR-кода, например снимать деньги в банкомате или переводить их кому-либо. В QR может быть зашита любая информация, и при отправке даже критических сведений в виде такого шифра у клиента не возникает опасений или сомнений.
Невероятная частота: как обнуляется банковский счет при покупке билетов
ВТБ зафиксировал рост числа мошеннических схем с полным обнулением счета банковской карты
Предъявите QR
В середине января жительнице Москвы поступил звонок от имени сотрудника банка, который сообщил, что на ее имя якобы пытаются взять кредит. По данным ?Известий?, далее собеседник заявил: чтобы избежать оформления несанкционированного займа, женщине необходимо сделать ?бесплатную защиту? и создать QR-код для того, чтобы отменить операцию. Под руководством подставного сотрудника банка москвичка создала QR-код и направила его через чат-бот, а затем с ее карты было списано 75 тыс. рублей.
?Известия? направили запрос в МВД. Схема с применением методов социальной инженерии, при реализации которой упоминаются ?бесплатная защита? или ?QR-коды?, известна в Газпромбанке, сообщил его представитель.
Некоторые кредитные организации позволяют проводить финансовые операции с помощью QR-кода, например снимать деньги в банкомате или переводить их кому-либо, пояснил ?Известиям? главный эксперт ?Лаборатории Касперского? Сергей Голованов. По его словам, в этой схеме злоумышленники с помощью социальной инженерии могли убедить клиента банка сгенерировать такой код, указав какую-либо сумму, и направить им QR. В процессе разговора преступники могли выманить дополнительную информацию, необходимую для осуществления такого перевода, добавил эксперт.
Фото: ТАСС/Владимир Гердо
Сыр в соцсетях: как мошенники атакуют клиентов региональных банков
Фишинговые атаки рассчитаны на людей с низким уровнем киберграмотности
Над сервисом по снятию денег в банкоматах без предъявления карты — по QR-коду, который можно кому-либо направить, работают основные российские банки, писали ранее ?Известия?. Такой уже есть у ?Тинькофф?, планировали его запустить ?Открытие?, УБРиР и СКБ-банк. ?Известия? направили запросы в крупнейшие финансовые организации о том, могут ли QR-коды использоваться мошенниками. В ВТБ уверили, что такой вид обмана через мобильное приложение банка невозможен.
Вполне вероятно, что именно сервисом для снятия наличных с чужой карты по QR-коду воспользовались злоумышленники, полагает технический директор компании RuSIEM Антон Фишман. Он предположил, что преступник попросил женщину под предлогом защиты от кредитного мошенничества сформировать QR-код на снятие наличных и направить его собеседнику через сторонний чат-бот. При снятии денег в этом случае никаких подтверждений не требуется, добавил эксперт.
Повесить трубку
Купил слона: как обойти мошенников при покупках в интернете
На что необходимо обратить особое внимание до перевода денег
С точки зрения рисков, связанных с мошенничеством на основе использования социальной инженерии, сервис по снятию наличных с чужой карты по QR-коду достаточно критичен, опасается директор Ассоциации развития финансовой грамотности Вениамин Каганов. Он пояснил: в случаях, когда клиент не понимает сути предлагаемых услуг и смысла своих действий, злоумышленник может легко ввести его в заблуждение и побудить сгенерировать код якобы для защиты средств, а по факту — применить его для хищения денег.
Используя приемы социальной инженерии, мошенники стараются войти в доверие и в разговоре они могут выяснить остаток средств на счете, рассказал ведущий специалист отдела информационной безопасности Локо-Банка Илья Даньшин. Затем злоумышленники просят перейти на страницу в приложении банка, сделать скриншот QR-кода с реквизитами счета клиента-жертвы и направить его в сторонний чат-бот, ссылку на который они присылают. Далее сам чат-бот в автоматическом режиме может списывать средства со счета жертвы, пояснил он.
Пошли в раскод
Фото: РИА Новости/Нина Зотина
Опасное удобство: как защитить банковские счета, привязанные к смартфону
В НИФИ Минфина назвали главные правила платежной гигиены
— QR-код — вообще довольно опасная вещь, так как может содержать ссылку на любое содержимое, включая фейковые сайты или зловреды, которые загрузятся на мобильное устройство. При его чтении необходима осторожность и внимательность — как минимум нужно смотреть, по какой ссылке вы переходите или какое приложение откроется в результате сканирования. На QR-коды уже обратил внимание криминал, который тестирует новые варианты мошенничества с их помощью. И число таких схем будет только расти, — ожидает основатель сервиса разведки утечек данных и мониторинга даркнета DLBI Ашот Оганесян.
Методы социальной инженерии остаются основным инструментом злоумышленников для хищения денег у граждан, напомнили ?Известиям? в Банке России, подчеркнув, что телефонное мошенничество — один из главных каналов таких действий. ЦБ рекомендует гражданам сохранять бдительность и не сообщать свои персональные сведения и данные банковских карт посторонним лицам, в том числе якобы сотрудникам банка, под каким бы предлогом звонящие ни пытались их узнать.
Для введения в заблуждение мошенники используют как вымышленные сложные термины (?безопасный счет?, ?сберегательный счет в ЦБ?, ?поместить в ячейку для сохранения?), так и сложные комбинации действий — как в случае с генерацией QR-кода, отметили в Райффайзенбанке. В подобных ситуациях ни в коем случае не стоит идти на поводу и скачивать или использовать любые приложения или устройства, кроме мобильного приложения своей кредитной организации, добавили в Почта Банке. Для надежности стоит положить трубку и перезвонить в контакт-центр банка или написать в чат мобильного приложения.