14 августа 2020, 13:30
17797

QR-коды окружают вас повсюду. Правда, что из-за них можно потерять деньги с карты?

QR-коды — альтернативный способ оплаты товаров и услуг. Вам незачем подносить телефон к терминалу или вводить реквизиты вручную. Наведите камеру на чёрно-белый квадратик — и всё. При этом в Сети распространяются истории кражи денег с помощью этих самых QR-кодов. Разбираемся, как они работают.

Фото © Shutterstock

Читать на сайте Life.ru

QR-коды повсюду

Чёрно-белые квадратики везде: на сайтах магазинов, квитанциях ЖКХ, рекламных листовках, достопримечательностях и даже в мессенджерах. Это QR-коды.

QR расшифровывается как "быстрый отклик" (Quick Response). Они созданы, чтобы упростить нам получение информации или ускорить действие.

Например, чтобы оплатить ЖКХ, вам не нужно вводить данные в мобильном банке вручную. Откройте его, выберите "Сканировать QR-код", сделайте это, и система введёт все данные автоматически. Отсканировали, подтвердили платёж — всё, два действия вместо минут мучений с вводом данных.

Другой способ применения QR-кодов — получение информации. Навели на листовку — перешли в рекламируемый интернет-магазин, не вводя адрес вручную. В путешествии увидели достопримечательность, отсканировали — получили справочную информацию на родном языке. Местный гид и Trip Advizor больше не нужны.

В чём их опасность?

Фото © Shutterstock

Поддельный QR-код — один из способов кражи денег с банковской карты или личных данных. Как сообщает Первый канал, одной из жертв в почтовый ящик положили листовку с рекламой магазина электроники, на которой покупателю предлагалось получить скидку, отсканировав QR-код.

Далее девушка лишилась всех денег. Телефон завис, после чего ей пришла эсэмэска о списании всех средств с банковского счёта.

Другой жертвой мошенничества стал бар. Там владельцы упростили процедуру оплаты заказа, поместив на меню QR-код. С того момента клиентам не приходилось дожидаться официанта с терминалом — оплатить счёт можно было в любой удобный момент. Только деньги получали не они, а мошенники — они наклеили другие QR-коды поверх указанных рестораном, и деньги переводились им.

Беда в том, что отличить подлинный QR-код от поддельного невооружённым глазом невозможно. Данные, содержащиеся в чёрно-белом квадратике, вы не получите, пока не отсканируете его. Как оказалось, делать это нужно с осторожностью.

Как работают QR-коды?

QR-код — это зашифрованная информация, которую получает устройство при его сканировании. Это преемник штрихкодов, указанных на упаковке любого товара в магазине.

На кассе продавец пробивает штрихкод и получает цену товара, а затем пробивает её вам в чек. QR-код работает по тому же принципу. Только цену (или другую информацию) получаете вы на смартфоне или планшете.

QR-код (слева) и штрихкод (справа). Их принцип работы один и тот же. Фото © Shutterstock

Кроме того, QR-код совершеннее — его вы можете считывать, держа устройство под любым углом, а информации он даст больше, чем классический штрихкод. Считывать его может любой смартфон или планшет с камерой с помощью специального приложения — на Android это QR Code Reader, на iOS — Quick Scan. Кроме того, сканер встроен в любой мобильный банк и может быть добавлен в стандартное приложение камеры (в зависимости от оболочки Android и её версии).

QR-код легко создать. Это и делают мошенники

QR-код может создать кто угодно. В Сети масса их генераторов, среди которых сайты qr-code-generator.com, the-qrcode-generator.com, qrcode-monkey.com.

Алгоритм примитивен: открываете любой сайт-генератор, вводите адрес сайта — и сохраняете сгенерированный чёрно-белый квадратик.

Мы создали QR-код Лайфа с помощью qr-code-generator.com. Теперь считываем его в любом из приложений — и переходим на наш сайт.

QR-код, ведущий на Life.ru. Создали за пару секунд. © QR Code Generator

Сканируем QR-код и видим адрес Life.ru. Обратите внимание, что он переводит вас на сайт не сразу, а запрашивает загрузку ресурса. © QR Code Generator

Со штрихкодами то же самое. Создать его можно, например, здесь. Проблема в том, что они используются преимущественно в магазинах, а QR-коды многократно расширили границы.

QR-коды ушли в прошлое, так и не став настоящим

Активнее всего QR-коды применяются в Китае. Там покупки оплачиваются в мессенджере WeChat именно с их помощью.

В других странах для этого есть смартфоны с NFC. А это гораздо удобнее. Приложил телефон к терминалу — и оплатил покупку вместо сканирования и подтверждения оплаты. Одно действие вместо двух. Кстати, именно поэтому китайские смартфоны стабильно не получают NFC, с QR-кодами местной аудитории этот чип не нужен.

QR-код — нишевое решение: как правило, это оплата ЖКХ, Интернета. И даже здесь им есть альтернатива: квитанцию можно получить по электронной почте, в том же письме будет ссылка для оплаты с автоматически введёнными данными. Технология заменяема. И всё идёт к тому, что в обозримом будущем она уйдёт в прошлое.

Мы находимся на этапе, когда технология, необходимая для успешного функционирования QR-кодов, уже существует. Но, к сожалению, такого не было, так как QR-коды только набирали популярность. Если бы они были, QR-коды перевернули бы игру. А сейчас эпоха QR-кодов ушла в прошлое, потому что есть другие технологии — вроде дополненной реальности. Они предоставляют гораздо более совершенные возможности, чем QR-коды

Мы находимся на этапе, когда технология, необходимая для успешного функционирования QR-кодов, уже существует. Но, к сожалению, такого не было, так как QR-коды только набирали популярность. Если бы они были, QR-коды перевернули бы игру. А сейчас эпоха QR-кодов ушла в прошлое, потому что есть другие технологии — вроде дополненной реальности. Они предоставляют гораздо более совершенные возможности, чем QR-коды

Анис Смит

Digital-стратег

Справочная информация с помощью QR-кодов пока полезная возможность, но это временно. Технологические компании развивают дополненную реальность. Условно, вы навели телефон на памятник — и вам отображается информация, когда он был воздвигнут, кому посвящён и чем известен человек или событие. А такие приложения уже есть. QR-коды реально уходят в прошлое.

Кроме того, уже сейчас есть Google Lens. Приложение анализирует фотографии и даёт справочную информацию о найденном объекте. Так вы получите больше данных из поисковика, а не только те сведения, что указал создатель QR-кода.

Стоит ли бояться QR-кодов?

Самих QR-кодов бояться не стоит. Нужно быть внимательными к сайтам, на которые они ведут.

После самого считывания QR-кода деньги не снимутся. В мобильном банке или на любом сайте нужно подтверждение другого действия — платежа, скачивания приложения, доступа к личным данным. Если вы этого не сделаете, с вашим смартфоном ничего не случится.

QR-код — просто способ отображения информации. Просканировав подменённый злоумышленниками код, пользователь, например, может попасть как на фишинговый сайт, так и на страницу загрузки вредоносного приложения. В обоих случаях от него потребуются дополнительные действия: кликнуть на ссылку для загрузки APK-файла или ввести и отправить свои платёжные данные. Чтобы этого не произошло, необходимо критически оценивать сайты, которые просят оставить личные или платёжные данные, загружать приложения только из официальных магазинов

QR-код — просто способ отображения информации. Просканировав подменённый злоумышленниками код, пользователь, например, может попасть как на фишинговый сайт, так и на страницу загрузки вредоносного приложения. В обоих случаях от него потребуются дополнительные действия: кликнуть на ссылку для загрузки APK-файла или ввести и отправить свои платёжные данные. Чтобы этого не произошло, необходимо критически оценивать сайты, которые просят оставить личные или платёжные данные, загружать приложения только из официальных магазинов

Сергей Никитин

Заместитель руководителя Лаборатории компьютерной криминалистики Group-IB

Поэтому велика вероятность, что жертвы поддельных QR-кодов просто подтверждали действия не глядя. Смотрите, на что соглашаетесь.

Кража денег и данных с их помощью — фейк?

Нет. Совсем расслабляться не стоит. Ссылка, на которую ведёт QR-код, может быть вредоносной, и вирус загрузится на устройство автоматически.

Злоумышленники через ссылку в виде QR-кода могут проэксплуатировать какую-либо уязвимость. Но для предотвращения этого достаточно соблюдать простое правило цифровой гигиены — своевременно обновлять операционную систему своего смартфона

Злоумышленники через ссылку в виде QR-кода могут проэксплуатировать какую-либо уязвимость. Но для предотвращения этого достаточно соблюдать простое правило цифровой гигиены — своевременно обновлять операционную систему своего смартфона

Сергей Никитин

Заместитель руководителя Лаборатории компьютерной криминалистики Group-IB

В таком случае проверить QR-код можно двумя способами:

1) посмотрите, не наклеен ли один поверх другого. Если да — скорее всего, это код злоумышленников, сканировать его не стоит;

2) воспользуйтесь приложением, которое их проверяет. Например, Kaspersky QR Scanner (iOS, Android).

Но это крайность. Если вы сидите в известном ресторане или оплачиваете счёт в мобильном банке, вероятность кражи денег минимальная. Достаточно избегать левых листовок из почтовых ящиков.