Банк России рассказал о новой схеме мошенничества. Злоумышленники размещают QR-коды в общественных местах, при нажатии на них человек попадает в чат в мессенджере, где его начинают выманивать информацию под разными предлогами для дальнейшего хищения средств.
Чтобы люди охотнее проходили коды, их делают в виде рекламных объявлений, рассказывающих о каких-то социальных благах.
При этом коды размещают в ряде мест — это могут быть подъезды к домам, автобусные остановки и другие места массового скопления людей.
Перейдя по ссылке, человек общается не с мошенником, а с чат-ботом, что, по мнению специалистов ЦБ, повышает доверие — пользователь считает, что действительно попал в официальную «цифровую приемную» какого-то учреждения.
Как только «необходимая информация» доходит до мошенников, их можно использовать для прямого вывода денег, но даже если это не сработает, информацию можно использовать для дальнейшего обмана.
И здесь важно хорошо понимать возможности чат-ботов, а также осознавать риски, связанные с QR-кодами.
Что представляют собой чат-боты и что они могут о вас узнать
В статье ЦБ не сказано, что это за мессенджер, но, скорее всего, речь идет о мессенджере Telegram. Этот мессенджер является наиболее практичным, когда речь идет о создании чат-ботов.
Однако одни и те же боты могут работать в WhatsApp и на платформе ВК.
создать такого бота очень просто, а затраты на его содержание минимальны - нужно арендовать сервер в интернете, а для нужд мошенников характеристики дешевого виртуального сервера, аренда которого составляет около 5 долларов в месяц будет достаточно.
Для мошенников эти боты хороши тем, что узнать на каком сервере работает бот можно только через создателей мессенджера.
Все, что вы пишете боту (даже если кажется, что бот не понимает такой информации), может храниться в базе данных бота и может быть использовано мошенниками.
При этом сам факт начала работы с ботом (в Telegram для этого нужно нажать кнопку «Старт» в чате), передает боту минимальную информацию о вас — внутренний идентификатор пользователя мессенджер.
С этим идентификатором вы можете:
- Найдите информацию о себе в самом телеграмме.
Например, если вы оставляете сообщения в каких-то публичных чатах, пишете комментарии на популярных каналах, то это можно отследить с помощью других более продвинутых ботов.
Это не значит, что это сделают мошенники, просто не исключайте такой возможности. Например, если они узнают, что вы можете что-то получить, они могут более тщательно собирать информацию о вас.
- Получите ваш номер телефона и имя.
В WhatsApp номер телефона вообще общедоступен. В других мессенджерах эту информацию получить сложнее, но вполне реально.
Например, в Telegram многие пользователи даже открывают отображение номера телефона для тех, кто есть в вашем списке контактов.
К тому же когда-то в телеграмме по номеру телефона можно было узнать ID пользователя в телеграмме. И уже есть базы, которые разбирали номера телефонов и собирали информацию о пользователях.
Это значит, что если вы воспользовались каким-то ботом, но не оставили там личных данных, вы все равно можете ждать звонков — как через сам мессенджер, так и на телефоне.
Какие риски могут быть связаны с QR-кодами
QR-коды приобрели негативную репутацию как «ковидные паспорта».
Обратите внимание: AXISFund -МОШЕННИКИ Мягко стелят, жестко жить....
Сейчас ситуация меняется — во-первых, активно продвигаются способы оплаты с помощью QR-кодов (SBP или SberPay), во-вторых, люди сами начинают активно их использовать для того, чтобы делиться ссылкой на сайт или свои профили в социальных сетях, кроме того, QR коды используются активно и официально – их можно найти на афишах, объявлениях или в музеях.Важно понимать, что QR-код — это всего лишь способ графического представления цифровой информации.
В большинстве случаев при сканировании QR-кода вы получите ссылку, по которой нужно где-то перейти.
И здесь вас ждут все риски, связанные с переходом на такие ссылки. Вместо обычного веб-сайта вы можете оказаться на поддельном веб-сайте, который выглядит как официальный (например, на сервисах правительства Норвегии или на веб-сайте банка) или, как описывает это центральный банк, в чат-боте.
Также, поскольку QR-коды сканируются в основном мобильными устройствами, невозможно понять, куда вы попали — на нужную страницу или на какой-то фейк.
Кажется очевидным совет не доверять QR-кодам на рекламных объявлениях, размещенных в общественных местах. Но в определенных ситуациях этого явно недостаточно. Поскольку по внешнему виду самого QR-кода невозможно понять, куда он ведет, и его нельзя проверить «невооруженным глазом», мошенники могут подменять такие коды.
Например, можно поставить «специальный» код поверх QR-кода на плакате в банке, и теперь посетители отделения банка вместо мобильного приложения банка скачивают «исправленную» версию.
QR-код может привести сразу к форме оплаты, и человек может подумать, что оплачивает какие-то услуги, а на самом деле переведет деньги мошенникам.
Успокаивает только то, что создавать платежные коды SBP и SberPay может только юридическое лицо или предприниматель, заключивший с банком договор купли-продажи. В других случаях оплата требует некоторой формы активных действий со стороны пользователя.
И вот здесь-то и должна быть «защита» от мошенничества — нужно понимать, что нельзя оставлять личные данные в чат-ботах (особенно если вы перешли на него по случайной ссылке). Всегда опасайтесь входящих звонков с неизвестных номеров. Помните, если вам обещают льготы, выплаты или другие блага, то лучше самостоятельно обратиться в отделение (банк и т.д.) и уточнить детали.
Больше интересных статей здесь: Деньги.