Банковские мошенники стали использовать QR-коды для кражи денег у россиян
В середине января жительнице Москвы поступил звонок от имени сотрудника банка, который сообщил, что на ее имя якобы пытаются взять кредит. Далее собеседник заявил: чтобы избежать оформления несанкционированного займа, женщине необходимо сделать «бесплатную защиту» и создать QR-код для того, чтобы отменить операцию. Под руководством подставного сотрудника банка москвичка создала QR-код и направила его через чат-бот, а затем с ее карты было списано 75 тыс. рублей.
По словам представителя Газпромбанка, схема с применением методов социальной инженерии, при реализации которой упоминаются «бесплатная защита» или «QR-коды», банку известна. Некоторые кредитные организации позволяют проводить финансовые операции с помощью QR-кода, например снимать деньги в банкомате или переводить их кому-либо, пояснил главный эксперт «Лаборатории Касперского» Сергей Голованов. Он отметил, что в этой схеме злоумышленники с помощью социальной инженерии могли убедить клиента банка сгенерировать такой код, указав какую-либо сумму, и направить им QR. В процессе разговора преступники могли выманить дополнительную информацию, необходимую для осуществления такого перевода, добавил эксперт.
Над сервисом по снятию денег в банкоматах без предъявления карты — по QR-коду, который можно кому-либо направить, работают основные российские банки, писали ранее «Известия». Такой уже есть у «Тинькофф», планировали его запустить «Открытие», УБРиР и СКБ-Банк. «Известия» направили в крупнейшие финансовые организации запросы о том, могут ли QR-коды использоваться мошенниками. В ВТБ уверили, что такой вид обмана через мобильное приложение банка невозможен.
Вполне вероятно, что именно сервисом для снятия наличных с чужой карты по QR-коду воспользовались злоумышленники, полагает технический директор компании RuSIEM Антон Фишман. Он предположил, что преступник попросил женщину под предлогом защиты от кредитного мошенничества сформировать QR-код на снятие наличных и направить его собеседнику через сторонний чат-бот. При снятии денег в этом случае никаких подтверждений не требуется, добавил эксперт.
С точки зрения рисков, связанных с мошенничеством на основе использования социальной инженерии, сервис по снятию наличных с чужой карты по QR-коду достаточно критичен, опасается директор Ассоциации развития финансовой грамотности Вениамин Каганов. Он пояснил: в случаях, когда клиент не понимает сути предлагаемых услуг и смысла своих действий, злоумышленник может легко ввести его в заблуждение и побудить сгенерировать код якобы для защиты средств, а по факту — применить его для хищения денег.
Используя приемы социальной инженерии, мошенники стараются войти в доверие и в разговоре могут выяснить, каков остаток средств на счете, рассказал ведущий специалист отдела информационной безопасности Локо-Банка Илья Даньшин. Затем злоумышленники просят перейти на страницу в приложении банка, сделать скриншот QR-кода с реквизитами счета клиента-жертвы и направить его в сторонний чат-бот, ссылку на который они присылают. Далее сам чат-бот в автоматическом режиме может списывать средства со счета жертвы, пояснил он.