Банк России рассказал о новой схема мошенничества. Злоумышленники размещают QR-коды в общественных местах, при переходе по которым человек попадает в чат в мессенджере, где у него начинают под теми или иными предлогами выманивают информацию для дальнейшего хищения средств.
Чтобы люди охотнее переходили по кодам, их оформляют в виде объявлений, которые рассказывают о каких-то социальных выплатах.
При этом коды размещают в самых разных местах — это могут быть подъезды домов, остановки и другие людные места.
Перейдя по ссылке, человек общается не с мошенником, а с чат-ботом, что, по мнению специалистов ЦБ, повышает доверие — пользователь думает, что действительно попал в официальную «цифровую приёмную» какого-либо учреждения.
После того, как «нужные сведения» попали к мошенникам, их могут использовать для непосредственного вывода средств, но даже если это не получится, информация может быть использована для дальнейшего обмана.
И здесь важно хорошо представлять возможности чат-ботов, а также осознавать риски, связанные с QR-кодами.
Что представляют собой чат-боты и что они могут о вас узнать
В статье ЦБ не говорится, о каком именно мессенджере идёт речь, но скорее всего, речь идёт о мессенджере Telegram. Этот мессенджер наиболее удобен с точки зрения создания чат-ботов.
Однако такие же боты могут действовать и в WhatsApp и на платформе VK.
Создать такого бота очень просто, а расходы на его обслуживание минимальны — нужно арендовать сервер в интернете, причём для нужд мошенников вполне хватит возможностей дешёвого виртуального сервера, аренда которого составляет порядка 5 долларов в месяц.
Для мошенников эти боты хороши тем, что узнать, на каком сервере работает бот, можно только через создателей мессенджера.
Всё, что выпишете в бот (даже если вам кажется, что бот не понимает такой информации) может быть сохранено в базе данных бота, и может быть использовано мошенниками.
При этом сам факт начала работы с ботом (в телеграме для этого нужно нажать кнопочку «Старт» в чате), передаёт боту минимальную информацию о вас — внутренний идентификатор пользователя мессенджера.
По этому идентификатору можно:
- Найти о вас информацию в самом телеграме.
Например, если вы оставляете сообщения в каких-то публичных чатах, пишете комментарии к популярным каналам, то это можно отследить с помощью других более продвинутых ботов.
Это не значит, что мошенники будут так делать, просто не нужно исключать возможность. Например, если они узнают, что у вас есть чем поживиться, то могут более тщательно собирать о вас информацию.
- Узнать ваш номер телефона и имя.
В WhatsApp номер телефона — это вообще публичная вещь. В других мессенджерах эту информацию получить сложнее, но вполне реально.
Например, в Telegram многие пользователи сами открывают отображение номера телефона для тех, кто у вас в списке контактов.
Кроме того, когда-то в телеграме по номеру телефона можно было узнать идентификатор пользователя в телеграме. И уже существуют базы данных, которые перебирали телефонные номера, и собирали информацию о пользователях.
Это значит, что если вы воспользовались каким-то ботом, но не стали там оставлять персональных данных, то все равно можно ждать звонков — как через сам мессенджер, так и по телефону.
Какие риски могут быть связаны с QR-кодами
У QR-кодов сложилась негативная репутация из-за того, что они использовались в качестве «ковидных пропусков». Сейчас ситуация меняется — во-первых, активно продвигаются способы оплаты по QR-кодам (СБП или SberPay), во-вторых, люди сами начинают их активно использовать для того, чтобы поделиться ссылкой на сайт или свои профили в социальных сетях, кроме того, QR-коды активно используются и официально — их можно встретить на плакатах, объявлениях или в музеях.
Важно понимать, что QR-код — это всего лишь способ представить цифровую информацию в графическом виде.
В большинстве случаев, когда вы сканируете QR-код, вы получаете ссылку, по которой нужно куда-то перейти.
И здесь вас поджидают все риски, которые связаны с переходом по таким ссылкам. Вместо нормального сайта вы можете попасть на фальшивый сайт, внешне похожий на официальный (например, на Госуслуги или на сайт банка) или, как это описывает ЦБ, — в чат-бот.
Причём, поскольку QR-коды сканируются преимущественно мобильными устройствами, то понять куда вы попали — на нужный сайт или на какую-то подделку, нельзя.
Очевидным кажется совет не доверять QR-кодам на объявлениях, которые висят в публичных местах. Но в определённых ситуациях этого явно недостаточно. Поскольку по внешнему виду самого QR-кода нельзя понять, куда он ведёт, и его нельзя проверить «невооружённым взглядом», то мошенники могут подменять такие коды.
Например, можно наклеить «специальный» код, поверх QR-кода на плакате в банке, и вот посетители банковского отделения вместо мобильного приложения банка загружают его «исправленный» вариант.
QR-код может вести сразу на форму оплаты, и человек может думать, что оплачивает какие-то услуги, а на самом деле будет переводить деньги мошенникам.
Единственное, что успокаивает, что создавать платёжные коды СБП и SberPay может только юрлицо или предприниматель, который заключил с банком договор Эквайринга. В остальных случаях для оплаты требуются какие-то активные действия со стороны пользователя.
И именно здесь должна находиться «защита» от мошенничества — нужно понимать, что в чат-ботах нельзя оставлять персональных данных (особенно если вы перешли на него по случайной ссылке). Всегда относитесь с недоверием к любым входящим звонкам с неизвестных номеров. Помните, если вам обещают льготы, выплаты или иные выгоды, то лучше самостоятельно обратиться в ведомство (банк и т.п.) и уточнить подробности.
