QR սպուֆինգ. խարդախության նոր տեսակ, որն արդեն թափ է հավաքում աշխարհում

ԱՄՆ-ում, Սինգապուրում և եվրոպական մի շարք երկրներում արագորեն տարածվում է կիբերխարդախության նոր սխեմա՝ սպուֆինգ (spoofing) QR կոդերի միջոցով։ Առաջին հայացքից այն պարզ և նույնիսկ պարզունակ է թվում, սակայն հենց դրանում է կայանում դրա վտանգավորությունը. զոհը չի էլ կասկածում, որ սրճարանում կամ կայանատեղիում կատարված սովորական սկանավորումը կարող է հանգեցնել քարտի վրա եղած ամբողջ գումարի կորստին։

Հայաստանում նման դեպքեր դեռևս չեն արձանագրվել, սակայն կիբերանվտանգության փորձագետները զգուշացնում են՝ սխեման չափազանց պարզ է, էժան և արդյունավետ՝ մոտ ապագայում մեզ մոտ չհայտնվելու համար։ Ուստի ժամանակն է զգուշացնել օգտատերերին, քանի դեռ այն չի վերածվել զանգվածային սպառնալիքի։

Ինչպես է աշխատում QR սպուֆինգը

Սցենարը միշտ նույնն է, և հենց դրա ճանաչելիությունն է խարդախությունը դարձնում այդքան մասշտաբային։ Խարդախը տպում է կեղծ QR կոդ, որը հաճախ տանում է դեպի դրամական փոխանցում կամ ֆիշինգային կայք։ Նա աննկատ փակցնում է այն բնօրինակ կոդի վրա՝ սրճարաններում, կայանատեղիներում, ինքնասպասարկման գրասենյակներում կամ վենդինգային սարքերի (առևտրային ավտոմատների) վրա։ Հաճախորդը սկանավորում է կոդը՝ կարծելով, թե վճարում է ծառայության դիմաց կամ թեյավճար է թողնում։ Սակայն դրա փոխարեն նա ուղիղ փոխանցում է կատարում խարդախին կամ հայտնվում կեղծ էջում, որտեղ մուտքագրում է բանկային քարտի տվյալները։

Սինգապուրում գրանցվել են դեպքեր, երբ հանցագործները փոխել են ցանցային սրճարանների սեղաններին փակցված QR կոդերը. այցելուները պատվերի համար վճարել են բջջային հավելվածներով, իսկ գումարը գնացել է անհայտ ուղղությամբ։

Ինչու է սա ավելի վտանգավոր, քան թվում է

QR սպուֆինգը գրոհի ամենաաննկատ տեսակներից է, քանի որ մարդիկ սովոր են QR կոդերը անվտանգ համարել։ Կեղծումը տևում է ընդամենը 30 վայրկյան, իսկ կեղծիքը տարբերելը դժվար է, հատկապես եթե կոդը փակցված է նույն չափի բնօրինակի վրա։ Տեսախցիկները, ինչպես ցույց է տվել այլ երկրների փորձը, քիչ են օգնում. վերափակցնելը տևում է վայրկյանի մի մաս։

Բացի այդ, ավելի ու ավելի հաճախ կիրառվում է դինամիկ QR սպուֆինգը. կոդը տանում է մի էջ, որն ավտոմատ կերպով լրացնում է անհրաժեշտ գումարը, վճարման նպատակը և նույնիսկ ընկերության տարբերանշանը, ինչի արդյունքում զոհը կարծում է, թե տեսնում է պաշտոնական միջերեսը (ինտերֆեյսը)։

Առայժմ Հայաստանում սա չկա

Լավ նորությունն այն է, որ Հայաստանում QR սպուֆինգը տարածում չի գտել, և այս սխեմայով պաշտոնական դիմումներ գրեթե չկան։
Վատ նորությունն այն է, որ նման հարձակումների հայտնվելը ժամանակի հարց է։ Ինչո՞ւ։ Այսօր Հայաստանի սրճարաններում և առևտրի կետերում QR վճարումը նորմա է դառնում, իսկ խարդախության սխեմաները գրեթե միշտ «միգրացիայի են ենթարկվում» այն երկրներից, որտեղ արդեն «փորձարկվել են»։ Եվս մեկ կարևոր հանգամանք. այս կոնկրետ դեպքում հանցագործներին ծրագրավորման հմտություններ պետք չեն, բավական է ունենալ տպիչ։ Ուստի կարևոր է ցուցաբերել նախազգուշություն՝ նախքան առաջին զոհերի հայտնվելը։

Ինչպես պաշտպանվել

Մի քանի պարզ կանոն կարող են լիովին պաշտպանել QR խարդախներից։ Առաջին հերթին ստուգեք ֆիզիկական QR կոդը։ Եթե երևում է կպչուն պիտակի շերտ, տարօրինակ թուղթ կամ անհարթ եզրեր, ապա ավելի լավ է հրաժարվել սկանավորումից։ Եթե սկանավորելուց հետո բացվում է կասկածելի դոմենով կայք, անմիջապես փակեք այն։

Երբեք մի մուտքագրեք քարտի տվյալները QR կոդը սկանավորելուց հետո, քանի որ QR-ով վճարումը սովորաբար չի պահանջում քարտի տվյալների ձեռքով մուտքագրում։ Պարտադիր ստուգեք գումարի չափը հաստատելուց առաջ. խարդախները հաճախ ավտոմատ կերպով մեծ գումար են նշում։ Եթե կասկածներ կան, խնդրեք աշխատակցին հաստատել, որ կոդը իսկապես իրենցն է։

/от