в чем опасность qr кодов
Апокалиптические QR-коды: Власть пошла против закона?
Административное рвение команды Собянина плодит антиконституционные предложения. Комендантский час, ограничение передвижения, слежка за гражданами создают дополнительную нервозность. Она накладывается ненужным психологическим грузом на и без того сложную чрезвычайную ситуацию в стране
Наша законодательная база отстаёт от развивающейся ситуации и спешно реформируется. На сегодня у нас есть оперативный штаб при Госсовете, который возглавляет мэр Москвы Собянин, и есть новый премьер-министр Мишустин, у которого свой штаб. Два штаба на одну страну слишком много. Психология наших граждан, нравится это кому-то или нет, воспринимает только единоначалие как естественное управление.
Стране сегодня нужна определённость. Если мы находимся внутри действительно опасной эпидемии, то все мы – все вместе с нашей страной – попали в чрезвычайную ситуацию. А у чрезвычайной ситуации есть свои правовые рамки, которые теперь может вводить правительство своей властью.
Любое ограничение прав должно быть основано на федеральном законе: 31 марта 2020 года Федеральное Собрание РФ спешно откорректировало старый, 1994 года закон «О защите населения и территорий от чрезвычайных ситуаций природного и техногенного характера». Мишустин и его министры получили возможность оперативно реагировать на развитие чрезвычайной ситуации, сложившейся в связи с распространением коронавируса. Правительству даются полномочия принимать решения об «осуществлении им полномочий координационного органа единой государственной системы предупреждения и ликвидации чрезвычайных ситуаций».
Ответственность за координацию в таких ситуациях всё время у нас плавала от министра ЧС к правительству и обратно. Наконец, при серьёзной эпидемии ответственность вернули Правительству РФ. Это правильно.
Мишустин и его министры получили возможность оперативно реагировать на развитие чрезвычайной ситуации, сложившейся в связи с распространением коронавируса. Фото: government.ru
Теперь необходимо позаботиться о преодолении правовых противоречий между законами, в спешке принятыми в субъектах Федерации, и статьями Конституции. Ведь ни один местный закон не может ущемлять права и свободы граждан России. Ограничивать их может только федеральный закон. Но и он должен соответствовать статье 55 Конституции, которая гласит, что «права и свободы человека и гражданина могут быть ограничены федеральным законом только в той мере, в какой это необходимо в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства» (пункт 3).
Мы все законопослушные граждане и готовы нести все тяготы сложившейся чрезвычайной ситуации. Но все ограничения должны соответствовать правовому режиму, который действует.
Если чрезвычайное положение не введено в нашей стране, то откуда такие декларируемые ограничения? Режим повышенной готовности, санкционированный мэром Собяниным, по своему правовому наполнению не предполагает ни комендантского часа, ни ограничения посещения религиозных собраний, ни введения системы слежения за гражданами с некими QR-кодами, ни запретом на передвижения по городу.
Здесь многое перевёрнуто с ног на голову. Сначала нужно ввести особый чрезвычайный режим с определёнными обязанностями для граждан, а уже потом можно их дополнять местными требованиями о необходимости выполнения установленных правил поведения при введении режима повышенной готовности. И не путать ограничения, вводимые федеральной властью, с правовыми желаниями и служебным рвением местных руководителей субъектов Федерации.
Ограничения граждан неконституционны
Пока в стране не введено чрезвычайное положение, не может быть никакого комендантского часа, никаких ограничений по передвижению. При режиме повышенной готовности, на введение которого мэр города имеет право, не предусмотрено никак запретов на передвижения горожан.
Поэтому положения Указа мэра г. Москвы от 29 марта 2020 г. № 34-УМ «О внесении изменений в указ мэра Москвы от 5 марта 2020 г. № 12-УМ» требуют уточнения.
Сергей Собянин посетил кол-центр оперативного штаба депздрава по контролю и мониторингу ситуации с коронавирусом. Фото: Александр Авилов / АГН «Москва»
Надо не забывать, что «регулирование и защита прав и свобод человека и гражданина» (статья 71 пункт в) в нашей Конституции относится к исключительному ведению федеральной власти. К совместному же с субъектами (статья 72 пункт б) ведению относится только «защита», но не «регулирование».
Нам могут сказать, что московские власти нас хотели «защитить». Но разве мы нуждаемся в каких-то новых QR-кодах и слежке за нами? Нет, эти меры не являются ни медицинскими, ни карантинными. Они покушаются на нашу свободу как граждан РФ и не имеют на то ни полномочий, ни нашего разрешения.
Об ограничении в передвижении
Ещё раз повторим, что как законопослушные граждане мы понимаем всю ответственность за чрезвычайную ситуацию, в которую попала наша страна и её граждане. Но по Федеральному закону «О защите населения и территорий от чрезвычайных ситуаций природного и техногенного характера» (1994) при введении режима повышенной готовности не предусмотрено никаких ограничений по передвижению по городу. Может быть введено лишь ограничение доступа людей и транспортных средств на территорию Москвы. То есть могут быть ограничены не передвижения горожан внутри города, а только въезд в город транспорта или вход в него других граждан.
В случае развития ситуации местные власти могут организовать эвакуацию населения. Команда Собянина зачем-то решила взять на себя функции, возложенные нашими законами на федеральные власти.
Банковская тайна и биллинг сотовых операторов
Не менее странно и анонсированное отслеживание банковских операций граждан, совершённых на удалении от места проживания. Граждане не давали московским властям согласия на такое разглашение своих банковских тайн. Тем более странно будут смотреться и какие-либо наказания за такие покупки.
В нашей стране существует тайна связи. Фото: Софья Сандурская / АГН «Москва»
Не соответствует Федеральному закону «О связи» (2003), статье 63, и использование биллинга сотовых операторов. В нашей стране существует тайна связи, и доступ к подобной информации имеют только правоохранительные органы, когда ловят преступников. Наши граждане не преступники и имеют право на сохранение своей конфиденциальной информации.
Зачем вообще подобная информация московским властям? Она совершенно избыточна при борьбе с коронавирусом.
Апокалиптические QR-коды
Мы подошли, быть может, к самому чувствительному месту для верующих людей. Московские власти предлагают ввести некие разрешения на перемещение с вводом QR-кодов.
Зачем тратить очередные миллиарды в ситуации экономического кризиса? Эпидемия пройдёт, а кризис-то только усилится. Неужели некуда будет деть эти «лишние» миллиарды? А куда девать те сотни тысяч людей, у которых нет смартфонов? Или тех, кто не захочет иметь дело с очередным неоправданным никакими медицинскими нуждами или чрезвычайными ситуациями цифровым контролем? Или тех, кто не сможет освоить эти современные технологии?
Да и останется ли этот контроль временным – только на время эпидемии? Не захотят ли московские власти распространить цифровой контроль и на не чрезвычайное, обыденное, послевирусное время? На все эти вопросы нет внятных ответов. Зато уже есть определённые страхи и недовольства.
Если эти данные, как говорят, ещё и будут храниться за рубежом, на удалённых серверах иностранных компаний, то это вообще антиконституционно. Российское законодательство требует обязательного хранения персональных данных граждан РФ на серверах в России.
Все эти административные «новации» по меньшей мере противоречивы. И всех их можно избежать введением режима чрезвычайной ситуации. Понятно организованного и законно введённого.
Хотя, конечно, федеральную власть можно легко понять. Вводя режим чрезвычайной ситуации, она попадёт под очередной шквал оппозиционных обвинений во всех смертных грехах. Но тогда надо сдерживать ретивое администрирование местных руководителей, не давая им выходить из правового поля своей компетенции. В сложившейся непростой ситуации нам нужно прежде всего спокойствие. Его надо ценить власти и отметать всё, его подрывающее.
QR-код, да не тот
Рассказываем, как не попасться на удочку киберпреступников при сканировании QR-кодов.
QR-коды есть на йогурте и музейной табличке, квитанции за коммунальные услуги и лотерейном билете. С их помощью открывают сайты, скачивают приложения, копят бонусы в программах лояльности, отправляют денежные переводы и даже просят милостыню. Эта доступная и практичная технология понравилась многим — и, как это часто бывает, киберпреступникам тоже: они уже вовсю применяют QR-коды в своих схемах. Рассказываем, что может пойти не так с черно-белыми квадратами и как их использовать без вреда для себя.
Что такое QR-коды и как ими пользоваться
В наше время смартфон есть уже почти у всех. Во многих современных моделях есть встроенный QR-сканер. На остальные можно скачать приложение — для чтения всех кодов вообще или какое-нибудь специализированное, например — разработанное музеем.
Если включить QR-сканер и навести камеру телефона на код, запустится некий процесс. Чаще всего смартфон предложит вам перейти на тот или иной сайт или откроет страницу определенного приложения в магазине. Есть и другие варианты, о них — чуть позже.
Специализированные сканеры отличаются от собратьев тем, что лучше «работают в паре» со «своими» QR-кодами. Допустим, вы видите табличку перед выдающимся деревом в парке, и на ней есть квадрат QR. Если вы загрузили себе официальное приложение этого парка, QR-коды на таких табличках превратятся для вас в цельную экскурсию, а стандартный сканер, распознав их, просто предложит перейти на сайт парка и прочесть описание каждого экспоната на отдельной странице.
Кроме того, некоторые приложения могут создавать QR-коды, чтобы передать тому, кто их отсканирует, какую-то вашу информацию — например, имя и пароль вашей сети Wi-Fi или даже платежные реквизиты счета в банке.
Как киберпреступники используют QR-коды
Что может пойти не так, спросите вы? Очень и очень многое. Поскольку содержимое QR-кода обычному человеку не понять, фактически мы полагаемся на честность тех, кто загружает в них информацию. Мы не можем заранее проверить, что произойдет, когда мы отсканируем заветный квадрат, — или что именно на самом деле записало туда приложение, в котором мы создавали свой квадрат. Это открывает массу возможностей для злоупотребления.
Фальшивые ссылки
Так, созданный преступниками QR-код может привести вас на фишинговый сайт, имитирующий, например, страницу входа в социальную сеть или личный кабинет в банке, чтобы вы ввели там свои данные на радость преступникам. Обычно мы советуем смотреть на ссылку, прежде чем переходить по ней, — но в самом QR-коде шанса заметить странные символы нет, а для пущей надежности злоумышленники часто используют короткие ссылки — так сложнее распознать подделку, когда смартфон просит подтвердить переход.
Похожая схема существует и с QR-кодами для быстрой загрузки приложений. Вместо игры или полезного сервиса, которые вы ожидаете получить при взгляде на рекламный плакат, есть шанс скачать зловред, который позже, например, украдет ваши пароли или начнет рассылать что-нибудь непотребное вашим контактам.
Закодированные в QR-коде команды
Но и это не все: QR-код может служить не только ссылкой на сайт, но и командой для выполнения определенных действий. Вот лишь неполный их список:
Все это задумывалось для автоматизации мелких действий. Например, считав QR-код, можно добавить в телефонную книгу всю контактную информацию с визитки, отправить сообщение об оплате парковки по нужному шаблону или выдать доступ к гостевому Wi-Fi.
Но эти же возможности делают QR-код эффективным средством для незаметных манипуляций. Например, мошенники могут внести в адресную книгу свой номер под именем «Банк», чтобы придать вес звонку с попыткой выманить ваши деньги. Или, например, позвонить на платный номер за ваш счет. Или узнать, где вы находитесь… Малоприятные перспективы.
Как киберпреступники маскируют QR-коды
Безусловно, для того чтобы злоумышленники вам навредили, им нужно, чтобы вы отсканировали именно их QR-коды. И для этого у них есть пара любимых приемов.
Мошеннические источники QR-кодов. Чаще всего к этому способу прибегают, чтобы убедить жертву скачать зловредное приложение. Его создатели могут разместить QR-код со ссылкой на свое детище на сайте, в баннере, электронном письме или даже на бумажном объявлении. Часто рядом для большей достоверности размещают логотипы Google Play или App Store.
Подмена QR-кода. Нередко злоумышленники пользуются чужим трудом и репутацией и просто заклеивают настоящий QR-код на плакате или табличке подложным.
Кстати, подменой QR-кодов в последнее время стали пользоваться не только киберпреступники, но и беспринципные активисты общественных течений — для распространения своих идей. В Австралии недавно был арестован мужчина, который переклеил несколько QR-кодов на табличках службы по контролю за COVID-19, чтобы вместо сервиса для записи посетителей общественных мест люди попадали на сайт с агитацией антипрививочников.
QR-код, в который запакованы банковские реквизиты, можно подменить при его отправке будущему плательщику — например, распечатав и разложив по почтовым ящикам фальшивые квитанции на оплату коммунальных услуг. Вместо настоящего получателя деньги придут на счет злоумышленника.
Как не попасть в беду с QR-кодом
Чтобы не стать жертвой киберпреступников, при использовании QR-кодов соблюдайте несколько простых правил:
Также стоит помнить о еще одной опасности, связанной с QR-кодами: злоумышленники могут воровать коды, в которые зашита какая-то ценная информация — например, номер электронного билета. Поэтому не стоит публиковать в соцсетях документы с QR-кодами или их фотографии.
Опасные QR-коды – как защитить себя и смартфон от угрозы
Эти квадратные изображения можно увидеть везде: в рекламе, журналах и на плакатах. Можно сказать, что это самый простой и дешевый способ соединения двух миров – реального и виртуального. Сфотографируйте этот QR-код своим смартфоном, а специальное приложение перенаправит Вас на соответствующую страницу, сохранит контакты, свяжется по телефону или загрузит приложение.
QR-коды (англ. quick response – быстрая реакция) могут содержать много текстовой информации и/или ссылки на интернет-источники. Это решение стало невероятно популярным уже какое-то время назад в Азии, а сегодня мы наблюдаем, как получает признание в Европе и обеих Америках.
Их можно увидеть везде: на билбордах, товарах, выставленных на прилавках, сайтах, в различных билетах и купонах. список длинный. Однако, параллельно растет и рынок мошенничества с использованием технологии QR-код. Были случаи, когда оригинальные QR-коды были замены вредоносными. Эта практика имеет много общего с уже широко известным фишингом, поэтому была названа куаришинг.
Не нужно сильно напрягать воображение, чтобы увидеть, как опасны могут быть такие фальшивые QR-коды – тем более, что они могут быть размещены в публичных местах: метро, аэропорт, железнодорожный вокзал, банк или даже банкомат. Большинство людей по-прежнему верят рекламе и не в состоянии представить себе, что в здании популярного банка может присутствовать какая-то угроза.
Когда пользователь делает снимок QR-кода, на экране устройства отображается связанная с ним ссылка. Злоумышленник может с помощью сокращающего ссылки сайта (как например bit.ly) скрыть реальный адрес сайта. Таким образом, QR-код может привести пользователя, например, на вредоносную страницу, крадущую конфиденциальные данные входа в систему.
Ситуацию дополнительно осложняет тот факт, что мобильный браузер не всегда в состоянии отображать полный URL-адрес открываемой страницы. Попытка проверки, является ли страница надежной – это истинное мучение. Что ещё хуже, мобильные устройства часто не так хорошо защищены от вредоносного программного обеспечения.
В целях минимизации угроз этого типа, помните о трёх простых принципах:
Дополнительно можно установить на смартфон защищённый сканер QR-кодов, например, Kaspersky QR Scanner. Он предназначена как для устройств с операционной системой iOS, так и Android, и в обоих случаях обеспечивает эффективное сканирование и множество функций безопасности. Приложение работает, как и большинство других инструментов для сканирования QR-кодов, однако, кроме того, использует смарт-функции: мгновенная проверка ссылок, размещенных в кодах, а также уведомления о возможных угрозах на целевой странице.
Чем может быть опасна новая система контроля за москвичами. Отвечает эксперт
QR-код (Quick Response, код быстрого ответа) — это квадратный штрихкод, который используют для хранения информации.
Как будет работать система контроля
Как следует из пояснений мэрии, если умную систему контроля за соблюдением правил самоизоляции введут, все москвичи должны будут иметь специальный QR-код, чтобы подтвердить своё перемещение по городу.
Код можно будет получить в личном кабинете на сайте московского правительства. Планируется, что во время регистрации в системе нужно будет указать фактическое место жительства, район и загрузить собственное фото, а для поездок на работу или дачу — указать номер машины. Чтобы, например, пойти в магазин, в личном кабинете нужно будет оставить соответствующую заявку, после одобрения которой на один выход гражданин получит один QR-код. Его нужно сохранить на телефон или распечатать. Этот код по требованию нужно будет предъявлять правоохранительным органам.
Сергей Собянин заявил, что пока необходимости вводить такой контроль за гражданами нет. Но, если ситуация с коронавирусом ухудшится или москвичи начнут массово нарушать режим самоизоляции, систему быстро запустят, пригрозили в мэрии.
Насколько безопасно использовать QR-код
Один из первых вопросов, которые задают люди, услышав про инициативу московских властей, — безопасность использования QR-кодов как таковых? У людей возникли опасения, что эти коды можно будет украсть и далее использовать для каких-то, в том числе финансовых, махинаций (ранее Банк России предложил использовать QR-коды при оплате товаров в Системе быстрых платежей).
Для начала разберёмся в природе этого штрихкода. QR-код — это всего лишь способ кодирования информации. По сути, это такая «азбука Морзе» для машин. Подчеркну: кодирование и шифрование — разные вещи. Азбука Морзе, в частности, не шифр. Дополнительных угроз от привычной уже технологии QR-кодов ждать пользователям не стоит. Вопрос в том, как будет устроена система контроля за москвичами в целом.
Кодирование — произвольное преобразование исходной информации в другой вид — код. Тогда как шифрование — способ изменения данных, обеспечивающий искажение (скрытие) их содержимого.
Размер QR-кода зависит от объёма кодируемых данных. Поэтому более-менее очевидно, что кодировать в QR планируется не какую-то содержательную информацию (типа адреса, цели поездки, ФИО, фотографии), а некий ключ к базе данных, в которой будет храниться вся информация. Если бы QR-код содержал адреса и фотографии москвичей, он просто бы не влез на экран телефона.
Если код будет давать ключ базе данных, то даже кража QR-кода не должна навредить его владельцу. При условии, конечно, что правильно настроена аутентификация: авторизованный доступ к данным будет у того человека, которому этот код принадлежит, а также у сотрудников полиции.
Фото: mskagency.ru/ Александр Авилов
Безопасно ли оставлять свои данные в системе
Все перемещения граждан во время режима всеобщей самоизоляции должны фиксироваться в государственной информационной системе (ГИС). Помимо естественного опасения о том, что государство получит доступ к чрезмерно подробной информации о перемещениях граждан (в том числе по данным геолокации смартфонов), есть соображение и другого рода: утечка информации из такой ГИС, спровоцированная либо уязвимостью ПО, либо человеческим фактором, была бы колоссально неприятным инцидентом.
Понятно, что это всё равно меньший ущерб, чем человеческие жизни, но всё-таки каждому следовало бы учитывать для себя риск такой утечки и стараться не раскрывать такой системе много данных о себе. Иными словами, по возможности оставаться дома.
Несколько снижает градус напряжённости тот факт, что масштаб данных, которые будут храниться в системе, сильно ограничен. Перемещения граждан по большей части сейчас очень скромны — из дома на работу, в магазин и обратно.
Фактически государство уже сейчас обладает доступом к колоссальному объёму информации о перемещениях граждан, например, благодаря системе проездных карт «Тройка». Вряд ли кто-то даже из обеспокоенных своей приватностью людей проходит пешком лишний перегон метро или возит с собой стопку одноразовых проездных. Большинство пополняет «Тройку» с банковской карты — эти данные хранятся в объединённой системе платежей. При необходимости власти легко могут их получить.
Также источник данных о перемещениях людей — записи с подъездных камер и мониторинг движения автопотока. На основе этой информации, в частности, полтора года назад московские власти собирались выявлять «серые» аренды квартир и доначислять налог арендодателям.
В дополнение к уже имеющимся данным система контроля за перемещениями москвичей будет давать разве что более точное определение фамилии и цель поездки, и то — на данный момент перемещения сильно ограничены. Сейчас нельзя пойти в кафе, салон красоты и другие места — они закрыты. Это не позволит составить полноценную характеристику нормального поведения человека в случае утечки данных — например, для шантажа или таргетированной рекламы.
QR-платежи: изучаем технику безопасности
В России активно внедряются платежи по QR-кодам. Рассказываем, чем это удобно и о каких опасностях стоит помнить.
Оплата покупок одним касанием банковской карточки или смартфона уже стала обычным делом. Однако в небольших магазинах и киосках часто все равно требуют наличку — не всем по карману POS-терминалы. Впрочем, скоро современные технологии дойдут и до малого бизнеса: систему оплаты по QR-кодам, не требующую специального оборудования, в нашей стране запускают сразу три крупных организации — Центробанк, Сбербанк и Visa. Рассказываем, как работает эта система, в чем ее удобство и о каких опасностях стоит помнить.
QR-коды — от Японии до России
QR-код — по сути тот же штрихкод, только может хранить больше информации и при этом легко распознается считывающим оборудованием. Его изобрели в Японии четверть века назад, когда выяснилось, что существующие виды штрихкодов не отвечают потребностям местной промышленности.
Изначально QR-кодами пользовались автопроизводители для оптимизации рабочих процессов. Однако с развитием Интернета и мобильных гаджетов эта технология нашла куда более широкое применение: с ее помощью обмениваются ссылками и контактами, отправляют SMS, скачивают приложения и так далее. А еще — оплачивают покупки.
Небывалую популярность платежи с помощью QR-кодов приобрели в Китае. Жители Поднебесной пользуются этой технологией везде — от транспорта до уличных палаток с едой. В стране действует несколько платежных систем, которые ее поддерживают: Alipay, WeChat Pay, UnionPay.
Своя система QR-платежей существует в Индии, хотя и не применяется так широко. Постепенно квадратные коды завоевывают рынок и в других азиатских странах, например в Южной Корее. Кроме того, эту технологию поддерживают некоторые крупные международные платежные системы вроде PayPal.
В России тоже уже переводят деньги с помощью QR-кодов. Так, в некоторых регионах их можно встретить на квитанциях для оплаты коммунальных услуг, а клиенты банка ВТБ могут рассчитываться между собой, создавая и сканируя такие коды. С февраля 2019 года QR-платежи принимают также в российских ресторанах сети Burger King.
В ближайшее время квадратные штрихкоды займут куда более заметное место на отечественном рынке. В конце прошлого года Сбербанк начал внедрять в разных регионах России систему «Плати QR». В этом году поддержку QR-кодов на территории страны вводит Visa. Также эту технологию как часть «Системы быстрых платежей» протестирует Центробанк РФ.
Как работают QR-платежи
Существует два способа оплатить покупку с помощью QR-кода.
Вариант 1. QR-код создает продавец. Это может быть статический код, содержащий информацию о его счете, или динамический — с информацией о транзакции.
Статический код можно распечатать на бумаге и вывесить или установить на кассе. Покупатель сканирует этот код при помощи платежного приложения — на экране смартфона отображается получатель перевода, — вводит сумму покупки и подтверждает оплату.
Динамический код продавец формирует «на ходу» и выводит его, например, на экран кассы или планшета. В этом случае сумма покупки уже содержится в коде, так что клиент только сканирует его и подтверждает оплату.
Вариант 2.QR-код создает покупатель при помощи платежного приложения. В таком случае код всегда одноразовый. Продавец сканирует его с помощью специального устройства и со счета покупателя списывается нужная сумма.
Конкретные торговые точки и платежные приложения могут поддерживать как оба варианта оплаты, так и только один из них.
Чем удобны QR-коды?
QR-платежи имеют несколько преимуществ перед другими способами оплаты покупок. В первую очередь, они позволяют не носить с собой наличные деньги и банковские карты. Все необходимые для проведения транзакции данные доступны из платежного приложения.
При этом в отличие от систем на основе технологии NFC, таких как Apple Pay или Google Pay, в случае QR-платежей нет никаких особых требований к устройству вроде наличия NFC-чипа. Установить платежное приложение, поддерживающее QR-коды, вы сможете практически на любой смартфон под управлением iOS или Android. Главное — чтобы программа была совместима с вашей версией операционной системы.
Привлекательны QR-платежи и для предпринимателей. Малый бизнес сможет сэкономить на приобретении банковского терминала: даже сканер созданных покупателем QR-кодов стоит в разы дешевле. Если же компания предпочитает использовать собственный код, ей достаточно напечатать его на обычном листе бумаги.
Кроме того, QR-коды могут снизить расходы предпринимателей на комиссию банков за прием безналичных платежей. Так, Центробанк планирует установить предельное значение комиссии на уровне 0,4–0,5%, тогда как владельцы POS-терминалов, работающих с пластиковыми картами, отчисляют финансовым организациям 1,5–2,5% от суммы транзакции.
Воровство с помощью QR-кодов
Как показал опыт внедрения QR-кодов в Китае, технологию с успехом освоили не только торговцы, но и мошенники. С ее помощью киберпреступники успешно крадут средства с чужих счетов.
Проблема в том, что отличить QR-код магазина от QR-кода злоумышленника на глаз невозможно. Если торговая точка использует статический код, киберпреступник может просто заклеить его своим. Создать QR-код с личным счетом — не проблема: приложения-генераторы можно бесплатно скачать на смартфон или найти онлайн. И если в крупном магазине может быть сложно улучить момент, когда никто не видит, что происходит на кассе, то дождаться, пока отвлечется уличный продавец, или подменить код в автоматизированной торговой точке не так трудно.
Например, студент из китайской провинции Гуандун решил покататься на велосипеде. В пункте проката возле общежития он просканировал QR-код, не заметив, что тот наклеен поверх другого. Молодой человек, не задумываясь, провел платеж, но замок на велосипеде не открылся: деньги ушли мошенникам.
Похожий инцидент произошел и в Шанхае. Водитель обнаружил на автомобиле штрафную квитанцию за неправильную парковку и оплатил ее по напечатанному на ней QR-коду. Через несколько дней он получил напоминание от полиции о все еще неуплаченном штрафе.
Угон QR-кода из-под носа покупателя
Одноразовые QR-коды выглядят более надежными, однако и ими могут злоупотребить. Например, в Китае клиент ресторана после окончания трапезы попросил счет и сгенерировал QR-код в своем смартфоне, чтобы расплатиться. Пока он рассчитывался, ему пришло уведомление о снятии средств со счета, однако получателем почему-то значилась бильярдная.
Клиент этот оказался полицейским. Он быстро поднял персонал ресторана на уши и запросил запись с камеры наблюдения. Видео прояснило ситуацию: стоявший за спиной полицейского злоумышленник просто-напросто сфотографировал QR-код на смартфоне блюстителя порядка и тут же расплатился им… с самим собой. Хитроумный мошенник заранее зарегистрировал на себя бильярдную и установил на смартфон приложение, которое работает как QR-сканер для бизнеса. Впоследствии эту программу заблокировали.
Бережем счет
В Китае проблему воровства через QR-коды решают радикально: власти ввели ограничение на транзакции с ними. Граждане страны могут потратить таким образом не больше 500 юаней (чуть меньше 5000 рублей) с одного аккаунта в день. Однако мы не можем сейчас сказать, какие меры безопасности примут отечественные банки. Кроме того, лимит на покупки через QR-код не защитит вас от потерь в пределах этого лимита.
Поэтому мы рекомендуем в первую очередь быть внимательными: