Человек может заплатить злоумышленнику, не получить QR-код, а мошенник может продать персональные данные. За использование поддельных QR-кодов грозит ответственность — как административная, так и уголовная, предупреждают юристы
Существуют две основные схемы мошенничества с QR-кодами о вакцинации от коронавируса: приобретение фальшивых кодов, которые ведут на фишинговые страницы, и покупка настоящих матричных кодов у злоумышленников. Об этом «Известиям» рассказал главный эксперт «Лаборатории Касперского» Сергей Голованов.
Другой специалист, ведущий эксперт информационной безопасности ИT-компании КРОК Виктор Рыжков, рассказал, что в случае использования фальшивого QR-кода при переходе по нему проверяющий попадет на поддельный сайт, внешне похожий на страницу проверки на «Госуслугах». На странице будет указана вся необходимая информация, включая паспортные данные «владельца» и дату вакцинации.
Специалист отметил, что при использовании такого сервиса человек может заплатить злоумышленнику и не получить даже поддельного QR-кода. При утечке же персональных данных мошенники могут продавать их, а покупатели — шантажировать тех, чьи личные данные были использованы. «Например, звонить гражданам с угрозой передать сведения о фальсификации QR-кода в правоохранительные органы и требованием выкупа за «удаление данных из базы», — пояснил Рыжков.
«QR-код — это визуальная информация, никак не защищенная от копирования. Поэтому появляется еще один дополнительный вектор атаки: злоумышленнику достаточно находиться в непосредственной близости к жертве во время предъявления QR-кода и воспользоваться камерой своего смартфона», — подчеркнул эксперт КРОК. Другие способы кражи QR-кода — взлом почтовых ящиков и аккаунтов на портале госуслуг.
Чтобы предотвратить кражу QR-кодов, Рыжков посоветовал:
- установить сложный пароль и настроить двухфакторную аутентификацию для доступа на портал госуслуг и в электронную почту;
- использовать защитное ПО для мобильных устройств;
- не переходить по подозрительным ссылкам.
Он рекомендовал проверяющим быть начеку: использовать для проверки QR-кодов официальное приложение или сканер с функцией сверки по «белым спискам», а также проверять доменное имя в ссылке перехода.