На черном рынке подаются украденные QR-коды привитых россиян
В России процветают две основные схемы мошенничества, связанные с использованием QR-кода: продажа "кьюаров", которые ведут на фишинговые страницы, имитирующие официальные ресурсы, и покупка реальных матричных кодов у злоумышленников, рассказал "Известиям" главный эксперт "Лаборатории Касперского" Сергей Голованов.
"В первом случае проверяющим очень важно удостовериться, что ссылка в адресной строке верная. Во втором обнаружить неладное будет почти невозможно", - говорит эксперт, подчеркивая, что регуляторы принимают активные меры по разрешению таких ситуаций.
Ведущий эксперт информационной безопасности IT-компании КРОК Виктор Рыжков добавил, что за время пандемии сформировался теневой рынок по продаже фальшивых QR-кодов. При переходе по матричному штрихкоду проверяющий попадает на поддельный сайт, визуально схожий со страницей проверки на госуслугах и содержащий всю необходимую для сверки информацию: паспортные данные, дату вакцинации и другие сведения.
"Однако при использовании такого сервиса покупатель может заплатить и не получить даже фальшивого QR-кода. Более того, при утечке персональных данных граждан мошенники теоретически могут продавать их, а покупатели использовать с целью шантажа. Например, звонить гражданам с угрозой передать сведения о фальсификации QR-кода в правоохранительные органы и требованием выкупа "за удаление данных из базы", - заметил он.
По словам Рыжкова, украденные QR-коды привитых россиян также продаются на черном рынке. При таком сценарии основной проблемой для покупателя станет только сверка с удостоверением личности, которое, весьма вероятно, будет подделано.
Получить доступ к действующему "кьюару" вполне реально, считают эксперты. Не стоит забывать, что QR-код - это информация, которая хранится, как правило, не только на портале госуслуг, но и на мобильном устройстве или в почтовом ящике пользователя. Поэтому методы, используемые злоумышленниками, не являются принципиально новыми: подбор пароля от почтового ящика или аккаунта на госуслугах. Критическими факторами здесь становятся сложность пользовательского пароля и использование двухфакторной аутентификации при входе.
Для предотвращения краж QR-кодов Виктор Рыжков советует быть аккуратнее с демонстрацией их в публичных местах, а также не забывать о традиционных правилах кибербезопасности: установить сложный пароль и настроить двухфакторную аутентификацию для доступа на портал госуслуг и почтовый ящик; использовать защитное ПО для мобильных устройств; не переходить по подозрительным ссылкам, доставленных как в электронных письмах, так и посредством QR-кодов.
