Россиянам объяснили, почему нельзя считывать QR-коды камерой смартфона

Инженер Кочетов предупредил об опасности считывания QR-кода камерой телефона

Архивное фото

Анатолий Жданов / Коммерсантъ

С ростом популярности оплаты через QR-код увеличивается и количество мошеннических операций. Как рассказал «Газете.Ru» инженер по качеству и автоматизированному тестированию ПО Дмитрий Кочетов, участвовавший в тестировании компонентов НСПК («СБП» и «СБПэй»), злоумышленники используют подмену кодов, создание поддельных сайтов и фишинговые страницы для хищения средств.

Эксперт объяснил, что оплата через встроенный сканер банковского приложения или «СБПэй» защищена: QR-код расшифровывается программой, а запрос формируется напрямую в банк получателя через защищенные каналы, при этом данные карты не передаются.

Однако если пользователь сканирует код стандартной камерой телефона или сторонним сканером, уровень проверки резко снижается, а контроль реквизитов может отсутствовать, что делает его уязвимым.

Кочетов выделил несколько основных схем обмана:

Поддельные QR-коды наклеивают поверх настоящих на кассах или банкоматах — визуально отличить подделку сложно.
При использовании сайтов-двойников пользователю предлагают «удобно оплатить по QR-коду», но деньги уходят на чужой счет. Фишинговые страницы имитируют легитимные сервисы, и введенные личные данные автоматически передаются злоумышленникам.
При технических сбоях (слабый интернет, сбой генерации кода) платеж может не пройти корректно или дублироваться.

Кочетов рекомендовал использовать только встроенные сканеры банковских приложений, не сканировать коды из писем и мессенджеров, проверять имя получателя перед подтверждением платежа, никогда не вводить пароли и коды подтверждения на подозрительных страницах, а в случае перевода средств мошенникам немедленно обращаться в банк.

«QR-платежи — это удобно и безопасно, если не терять внимательность. Технология защищена, но человеческий фактор по-прежнему остается слабым звеном», — резюмировал эксперт.

Технология QR-платежей построена так, что банковские приложения проходят многоуровневое тестирование на некорректные параметры кода, а система предупреждает пользователя или блокирует операцию при малейших несоответствиях.

Однако, по словам Кочетова, использование неофициальных приложений для сканирования и невнимательность пользователя сводят на нет встроенные механизмы защиты. Сканирование QR-кодов стандартной камерой телефона эксперт назвал повышенным риском компрометации средств и персональных данных.