Как распознать поддельный QR код, или О правилах безопасности использования NFC, QR кодов и биометрии

Внедрение современных платёжных технологий, таких как бесконтактная оплата (NFC), QR-коды и биометрия, сделало платежи удобнее, но появились новые лазейки для мошенников. Однако самое слабое звено в любой защите – это не технология, а сам человек.

Давайте разберёмся, как обезопасить свои платежи и что делать, чтобы мошенники не смогли оформить кредит.

№1. Золотое правило против телефонных мошенников

Мошенники могут использовать самые разные предлоги для удержания внимания жертвы. Например, в последнее время поступают звонки якобы от оператора связи с сообщением, что срок SIM-карты истекает и для продления необходимо продиктовать код. Или мошенники представляются сотрудниками правоохранительных органов и просят перевести средства на "безопасный счет".

Мошенники могут назвать имя, фамилию, а также указать на то, что SMS-сообщение пришло с номера 1414 или другого официального.

Правило безопасности: даже если задача требует решения "прямо сейчас", разговор следует прекратить. Всю информацию можно проверять самостоятельно, перезвонив по официальному номеру банка, оператора связи или правоохранительных органов.

№2. Защита бесконтактных платежей (NFC)

NFC (Near Field Communication) – это технология беспроводной связи малого радиуса действия, которая позволяет обмениваться данными между устройствами на расстоянии не более 10 сантиметров. Главный риск здесь – это цифровой скимминг, когда преступники пытаются перехватить данные карты через взломанный терминал.

Правило безопасности: рекомендуется оплачивать телефоном. Следует использовать официальные токенизированные мобильные кошельки (Apple Pay, Samsung Pay, Google Pay). Это самая надёжная защита от скимминга. При оплате через мобильный кошелёк данные карты превращаются в одноразовый токен – виртуальный номер, который нельзя использовать повторно. Даже если мошенник его перехватит, он не сможет им воспользоваться. 

№3. Защита от мошенничества с QR-кодами

Квишинг (QR-фишинг) – это новый вид мошенничества, при котором злоумышленники используют поддельный QR-код, чтобы перенаправить пользователя на фальшивый сайт для кражи данных, средств или установки вируса.

Мошенники могут наклеить поддельный стикер с QR-кодом поверх законного, размещённого на паркомате, кассовом аппарате или платёжном терминале. При сканировании такого стикера происходит перенаправление на счёт мошенников или вредоносный сайт.

Правила безопасности:

Необходимо уточнять реквизиты получателя перед отправкой средств. Информацию следует запрашивать у продавца или проверять через официального представителя. При получении кода по электронной почте следует проверять адрес отправителя на наличие опечаток или необычных доменных имён (например, halikbank.kz с ошибкой или kaspii.kz). Легальные QR-коды всегда сопровождаются чётким объяснением их назначения. Отсутствие такого объяснения – это тревожный сигнал. Не допускается ввод личных данных на сайте, куда перенаправил QR-код, до подтверждения его легитимности.

№4. Защита при использовании биометрии

Биометрические данные (отпечаток, лицо) уникальны, но в отличие от пароля их нельзя поменять, если они будут украдены. Главный риск – это спуфинг, или использование поддельных муляжей, фотографий или аудиозаписей для обхода защиты. Мошенники могут создать имитацию голоса с помощью нейросети для обхода голосовой аутентификации или украсть биометрические шаблоны из ненадёжных баз данных.

Правила безопасности:

Рекомендуется отдавать предпочтение приложениям (банковским, государственным), которые заявляют об использовании технологий "проверки живости" (Liveness Detection, LD), чтобы гарантировать, что ввод исходит от живого человека, а не от подделки. Следует выбирать системы с дополнительной проверкой. Надёжные устройства проверяют не только изображение, но и физические признаки, которые сложно подделать: температуру тела или электропроводность пальца. Не рекомендуется полагаться только на биометрию. Вход по лицу или отпечатку следует всегда дополнять вторым фактором (2FA), например вводом PIN-кода или одноразовым паролем.

№5. Двойная защита устройств и приложений

Независимо от используемой технологии оплаты аккаунты можно защитить через функцию двухфакторной аутентификации (2FA), которая требует два подтверждения для входа или выполнения критических операций. Самые распространённые способы 2FA:

Код из СМС. После ввода пароля одноразовый код отправляется на ваш телефон через СМС. Код из приложения-аутентификатора. Специальное приложение (например, Google Authenticator) генерирует новый временный код для проверки пользователя. Физический токен, или ключ безопасности. Для входа или совершения операции вы подключаете USB-токен к компьютеру или подставляете его к мобильному телефону (через NFC/Bluetooth) для подтверждения операции. Код на email. Одноразовый код приходит на указанный адрес электронной почты. Биометрия устройства. Подтверждение операции происходит с помощью отпечатка или сканирования лица, встроенного в смартфон. Биометрия через браузер. Современные браузеры могут запрашивать использование встроенных датчиков вашего компьютера или ноутбука (например, сканера отпечатка пальца) для подтверждения входа.

№6. Установка лимитов и запретов 

Рекомендуется настроить суточные и месячные лимиты на снятие наличных, переводы и покупки по всем картам. Найти функцию можно в мобильных приложениях или веб-версиях банков. Даже если мошенник получит доступ к картам, установленные лимиты физически ограничат максимальный размер финансового ущерба.

Через приложение или сайт eGov можно самостоятельно установить официальный запрет на оформление любых кредитов, микрозаймов и займов на своё имя. Эта мера помогает против мошенничества, связанного с оформлением кредитов, даже если пользователь продиктовал код. Она также защищает пожилых или уязвимых родственников, которые чаще становятся жертвами. Запрет можно снять по собственному желанию.

№7. Что делать, если злоумышленники получили доступ к личным данным

В случае обнаружения несанкционированных операций, признаков взлома или потери контроля над аккаунтом необходимо действовать незамедлительно:

Заблокируйте все скомпрометированные банковские карты и счета через мобильное приложение или по горячей линии банка. Это предотвратит дальнейшие списания. Заблокируйте доступ к критически важным цифровым аккаунтам (финансы, eGov, электронный документооборот). Сообщите о взломе, позвонив на горячую линию eGov. Подайте заявление в правоохранительные органы. Это необходимо для официальной фиксации инцидента и начала расследования.

Дальнейшие шаги:

Смените пароли на всех аккаунтах, которые не были скомпрометированы напрямую, но используют похожие или те же данные (особенно почта, облачные хранилища, социальные сети). Всегда используйте сложные и уникальные пароли. Просканируйте все свои устройства (компьютер, смартфон) актуальным антивирусным ПО, чтобы убедиться в отсутствии вредоносных программ, отслеживающих ваши действия. Предупредите близких, друзей и коллег о взломе аккаунтов. Объясните, что любые подозрительные сообщения (просьбы о деньгах, ссылки) от вашего имени следует игнорировать. Запросите свою кредитную историю. Это нужно, чтобы убедиться, что мошенники не успели оформить на вас новые кредиты или другие финансовые обязательства. Отключите скомпрометированные карты от всех сторонних сервисов, где они могли быть привязаны (онлайн-магазины, службы такси, подписки). Это гарантирует, что ни один сервис не попытается списать средства, используя сохранённые данные.