:format(webp)/aHR0cHM6Ly94bi0tODBhaGNubGhzeGoueG4tLXAxYWkvbWVkaWEvbXVsdGltZWRpYS9tZWRpYWZpbGUvZmlsZS8yMDE1LzA1LzE0L2tvel81MzMwLmpwZw.webp)
QR-код с подвохом: почему удобная оплата становится ловушкой для кошелька
Инженер Кочетов: платить по QR через камеру небезопасноС ростом популярности оплаты через QR-код увеличивается и число мошеннических операций. Злоумышленники подменяют коды, создают поддельные сайты и вводят пользователей в заблуждение, чтобы похитить деньги. Об этом «Газете.ру» рассказал инженер по качеству и автоматизированному тестированию программного обеспечения Дмитрий Кочетов.
По словам эксперта, оплата через встроенный сканер банковского приложения или «СБПэй» защищена: QR-код расшифровывается программой, а запрос формируется напрямую в банк получателя через защищенные каналы. При этом платеж не хранит и не передает данные карты.
Однако если пользователь сканирует QR-код стандартной камерой телефона или сторонним сканером, уровень встроенной проверки снижается — контроль реквизитов получателя может быть слабым, а предупреждения о подозрительных операциях отсутствуют.
Основные схемы мошенничества: поддельные QR-коды — злоумышленники наклеивают свои стикеры поверх настоящих на кассах кафе, банкоматах или счетах. Визуально отличить подделку сложно. Сайты-двойники — пользователю предлагают «удобно оплатить по QR-коду», но деньги уходят на чужой счет. Фишинговые страницы — ссылки ведут на сайты, похожие на легитимные сервисы, где ввод личных данных автоматически передается мошенникам. Технические ошибки — при слабом интернете или сбое генерации платеж может не пройти корректно или дублироваться.
Как защитить себя: использовать только встроенные сканеры банковских приложений или «СБПэй»; не сканировать QR-коды из писем, мессенджеров и социальных сетей; проверять имя получателя перед подтверждением платежа; никогда не вводить пароли, PIN-коды и коды подтверждения на подозрительных страницах; при переводе по поддельному коду как можно быстрее обратиться в банк — там запустят процедуру возврата (хотя она зависит от согласия получателя).
Кочетов подчеркнул, что банковские приложения проходят многоуровневое тестирование, включая сценарии с некорректными или измененными параметрами QR-кода. При малейших несоответствиях система предупреждает пользователя или блокирует операцию. В случае технических сбоев предусмотрены механизмы повторной синхронизации и проверки платежа.