10/04/2023

Центробанк предупредил о новой мошеннической схеме с использованием QR-кода, при которой злоумышленники похищают деньги, не имея данных карты. Глава комиссии по финансовой безопасности совета Торгово-промышленной палаты РФ Тимур Аитов считает, что такая схема может работать в отношении довольно ограниченного сегмента клиентов.

«Некоторые банки внедрили сервис снятия наличных денег с помощью QR-кода. В мобильном приложении клиент может самостоятельно сгенерировать такой код на нужную сумму, поднести его к сканеру в банкомате и снять наличные. Этим стали пользоваться злоумышленники. Они звонят клиентам банков под видом сотрудников кредитной организации, сообщают, что в банк поступил несанкционированный запрос на снятие денег со счета и просят прислать QR-код, чтобы отменить операцию», — указано в материалах регулятора.

По мнению Аитова, трудно представить, как эта схема работает на практике. «Социальные инженеры должны быть просто виртуозами, чтобы её реализовать и сделать эффективной», — говорит эксперт и объясняет почему.

Такая мошенническая схема рассчитана на очень специфический тип клиентов. С одной стороны, человек должен быть необразованным, чтобы совершать действия по передаче своего QR-кода, специально сформированного им в банковском приложении для съёма денег, мошенникам. Кстати, обычно рядом с картинкой QR-кода указывается ещё и карт-счёт (номер карты), с которого деньги списываются.

С другой стороны, клиент всё же должен быть достаточно образованным, чтобы уметь пользоваться банковским приложением, пройти в нём идентификацию, разобраться как сгенерировать код, потом ещё и отправить его злоумышленникам.

«Ясно, что все это долгая и непростая история и, конечно, она гораздо сложнее отправки злоумышленникам пресловутых числовых кодов подтверждения операции перевода, — говорит Аитов. — Наверное, обладая качествами гипнотизёра, кого-то всё-таки уговорят аккуратно выполнить все непростые операции, но таких клиентов будет не так много, и заработки злоумышленников будут невелики, потому что на подобные пересылки с QR-кодами от банков имеются жёсткие ограничения и большие суммы украсть не удастся».

При этом в целом всё-таки схема может быть реальным способом украсть средства клиента и необходимо предусмотреть какие-то методы защиты. Например, если QR-код будет иметь ограниченный срок действия, то использовать схему будет немного сложнее, потому что необходимо обладать информацией, что клиент только сгенерировал код, но ещё не снял деньги.

Ещё один вариант дополнительной защиты: банк может запрашивать SMS-подтверждение дополнительно.

При этом, конечно, опытные злоумышленники могут обойти и эти препоны. И, к сожалению, многие граждане готовы делиться с мошенниками информацией, не очень задумываясь о последствиях, добавляет Аитов.