«Код вместо карты»: доцент РЭУ Марков предупредил о новой волне краж через QR технологию
Цифровизация банковской сферы никогда не была только историей про удобство. Каждый новый сервис, упрощающий жизнь клиенту, тут же проходит стресс-тест на прочность со стороны тех, кто привык зарабатывать нечестным путём. И если раньше мошенникам приходилось выуживать у жертвы шестнадцать цифр номера карты и трёхзначный код с оборотной стороны, то сегодня им достаточно одного квадратика.
Максим Марков, доцент кафедры мировых финансовых рынков и финтеха РЭУ им. Г. В. Плеханова обрисовал контуры новой реальности. Банки один за другим внедряют функцию, которая ещё недавно казалась фантастикой: снять наличные можно без пластика, без ввода ПИН кода, просто отсканировав сгенерированный банкоматом код с помощью мобильного приложения. Удобно? Безусловно. Быстро? Ещё бы. Безопасно? А вот здесь начинаются нюансы.
«Мошенники постоянно идут в ногу с технологическим прогрессом и банковскими инновациями, а иногда даже пытаются опередить их, чтобы воспользоваться открывающимися возможностями в своих злонамеренных целях», — констатирует эксперт.
Схема, которую он описывает, до ужаса проста и оттого особенно эффективна. Гражданину поступает звонок. Легенда может быть любой — от «помогите заблокировать подозрительную операцию» до «вам положен кешбэк». В ходе разговора жертву просят открыть банковское приложение, сгенерировать код для снятия наличных и продиктовать его «специалисту». Мошенник получает этот код, вставляет его в любой банкомат, поддерживающий функцию, и спокойно забирает деньги. Никаких следов взлома, никаких подозрительных трансакций в истории — всё абсолютно легально с точки зрения системы. Деньги ушли тому, кто предъявил верный код.
Но банкоматы — лишь верхушка айсберга. Кью-ар-коды давно перешагнули пределы финансового сектора и плотно обосновались в сфере лояльности. Марков обращает внимание: эти квадратики сегодня повсюду. Ими оплачивают бонусы в супермаркетах, заправках, магазинах автозапчастей, ресторанах быстрого питания и фитнес-клубах.
Мошенники, уловив тренд, переключились и сюда. Получив доступ к аккаунту жертвы, они используют накопленные баллы, списывая их без ведома владельца. Сами бонусы — не живые деньги, но для злоумышленников это конвертируемый актив. Они могут обменять их на товары, скидки или попросту продать.
Существует и другой, более грубый, но не менее действенный метод — физическая подмена. На улицах, в подъездах, на досках объявлений и в общественных местах всё чаще появляются стикеры с кью-ар-кодами. Внешне они выглядят как приглашение получить скидку, зарегистрироваться на портале госуслуг или принять участие в акции. В реальности ссылка ведёт на фишинговый сайт, визуально неотличимый от официального.
«В результате перехода по таким ссылкам пользователь попадает на поддельный сайт, где его могут заставить оставить личные или платёжные данные, а злоумышленники используют их для кражи средств или получения доступа к личной информации», — предупреждает Марков.
Опасность усугубляется доверчивостью граждан. Сканирование кода воспринимается как действие безопасное по умолчанию. В отличие от перехода по ссылке из письма, где всё ещё теплится подозрение, здесь срабатывает рефлекс: раз код размещён на видном месте — значит, он официальный. Мошенники делают ставку именно на эту автоматическую реакцию.
Эксперт резюмирует: универсального рецепта защиты не существует, но есть базовые правила гигиены. Код из банковского приложения — это аналог ключа от сейфа. Никто и никогда, ни при каких обстоятельствах не имеет права его запрашивать. Ни сотрудник банка, ни работник магазина, ни тем более случайный собеседник на том конце провода. Если собеседник настаивает — разговор необходимо немедленно завершить.
Что касается кью-ар-кодов на улицах и в транспорте, Марков советует относиться к ним как к подозрительным предметам. Лучше потратить лишнюю минуту на поиск официального сайта через поисковик, чем потерять доступ к аккаунту или банковскому счёту.
Банки, в свою очередь, уже реагируют на угрозу. Некоторые финансовые организации начали вводить лимиты на операции через QR-технологию, другие — усилили оповещения о каждом таком снятии. Но технология всё ещё слишком нова, и мошенники, как всегда, оказались быстрее. Вопрос лишь в том, кто догонит первым.
