Как распознать поддельный QR-код, или О правилах безопасности использования NFC, QR-кодов и биометрии

№1. Золотое правило против телефонных мошенников

Мошенники могут использовать самые разные предлоги для удержания внимания жертвы. Например, в последнее время поступают звонки якобы от оператора связи с сообщением, что срок SIM-карты истекает и для продления необходимо продиктовать код. Или мошенники представляются сотрудниками правоохранительных органов и просят перевести средства на "безопасный счет".

Мошенники могут назвать имя, фамилию, а также указать на то, что SMS-сообщение пришло с номера 1414 или другого официального.

Правило безопасности: даже если задача требует решения "прямо сейчас", разговор следует прекратить. Всю информацию можно проверять самостоятельно, перезвонив по официальному номеру банка, оператора связи или правоохранительных органов.

№2. Защита бесконтактных платежей (NFC)

NFC (Near Field Communication) – это технология беспроводной связи малого радиуса действия, которая позволяет обмениваться данными между устройствами на расстоянии не более 10 сантиметров. Главный риск здесь – это цифровой скимминг, когда преступники пытаются перехватить данные карты через взломанный терминал.

Правило безопасности: рекомендуется оплачивать телефоном. Следует использовать официальные токенизированные мобильные кошельки (Apple Pay, Samsung Pay, Google Pay). Это самая надёжная защита от скимминга. При оплате через мобильный кошелёк данные карты превращаются в одноразовый токен – виртуальный номер, который нельзя использовать повторно. Даже если мошенник его перехватит, он не сможет им воспользоваться. 

№3. Защита от мошенничества с QR-кодами

Квишинг (QR-фишинг) – это новый вид мошенничества, при котором злоумышленники используют поддельный QR-код, чтобы перенаправить пользователя на фальшивый сайт для кражи данных, средств или установки вируса.

Мошенники могут наклеить поддельный стикер с QR-кодом поверх законного, размещённого на паркомате, кассовом аппарате или платёжном терминале. При сканировании такого стикера происходит перенаправление на счёт мошенников или вредоносный сайт.

Правила безопасности:

• Необходимо уточнять реквизиты получателя перед отправкой средств. Информацию следует запрашивать у продавца или проверять через официального представителя.
• При получении кода по электронной почте следует проверять адрес отправителя на наличие опечаток или необычных доменных имён (например, halikbank.kz с ошибкой или kaspii.kz).
• Легальные QR-коды всегда сопровождаются чётким объяснением их назначения. Отсутствие такого объяснения – это тревожный сигнал.
• Не допускается ввод личных данных на сайте, куда перенаправил QR-код, до подтверждения его легитимности.

№4. Защита при использовании биометрии

Биометрические данные (отпечаток, лицо) уникальны, но в отличие от пароля их нельзя поменять, если они будут украдены. Главный риск – это спуфинг, или использование поддельных муляжей, фотографий или аудиозаписей для обхода защиты. Мошенники могут создать имитацию голоса с помощью нейросети для обхода голосовой аутентификации или украсть биометрические шаблоны из ненадёжных баз данных.

Правила безопасности:

• Рекомендуется отдавать предпочтение приложениям (банковским, государственным), которые заявляют об использовании технологий "проверки живости" (Liveness Detection, LD), чтобы гарантировать, что ввод исходит от живого человека, а не от подделки.
• Следует выбирать системы с дополнительной проверкой. Надёжные устройства проверяют не только изображение, но и физические признаки, которые сложно подделать: температуру тела или электропроводность пальца.
• Не рекомендуется полагаться только на биометрию. Вход по лицу или отпечатку следует всегда дополнять вторым фактором (2FA), например вводом PIN-кода или одноразовым паролем.

№5. Двойная защита устройств и приложений

Независимо от используемой технологии оплаты аккаунты можно защитить через функцию двухфакторной аутентификации (2FA), которая требует два подтверждения для входа или выполнения критических операций. Самые распространённые способы 2FA:

• Код из СМС. После ввода пароля одноразовый код отправляется на ваш телефон через СМС.
• Код из приложения-аутентификатора. Специальное приложение (например, Google Authenticator) генерирует новый временный код для проверки пользователя.
• Физический токен, или ключ безопасности. Для входа или совершения операции вы подключаете USB-токен к компьютеру или подставляете его к мобильному телефону (через NFC/Bluetooth) для подтверждения операции.
• Код на email. Одноразовый код приходит на указанный адрес электронной почты.
• Биометрия устройства. Подтверждение операции происходит с помощью отпечатка или сканирования лица, встроенного в смартфон.
• Биометрия через браузер. Современные браузеры могут запрашивать использование встроенных датчиков вашего компьютера или ноутбука (например, сканера отпечатка пальца) для подтверждения входа.

№6. Установка лимитов и запретов 

Рекомендуется настроить суточные и месячные лимиты на снятие наличных, переводы и покупки по всем картам. Найти функцию можно в мобильных приложениях или веб-версиях банков. Даже если мошенник получит доступ к картам, установленные лимиты физически ограничат максимальный размер финансового ущерба.

Через приложение или сайт eGov можно самостоятельно установить официальный запрет на оформление любых кредитов, микрозаймов и займов на своё имя. Эта мера помогает против мошенничества, связанного с оформлением кредитов, даже если пользователь продиктовал код. Она также защищает пожилых или уязвимых родственников, которые чаще становятся жертвами. Запрет можно снять по собственному желанию.

№7. Что делать, если злоумышленники получили доступ к личным данным

В случае обнаружения несанкционированных операций, признаков взлома или потери контроля над аккаунтом необходимо действовать незамедлительно:

• Заблокируйте все скомпрометированные банковские карты и счета через мобильное приложение или по горячей линии банка. Это предотвратит дальнейшие списания.
• Заблокируйте доступ к критически важным цифровым аккаунтам (финансы, eGov, электронный документооборот). Сообщите о взломе, позвонив на горячую линию eGov.
• Подайте заявление в правоохранительные органы. Это необходимо для официальной фиксации инцидента и начала расследования.

Дальнейшие шаги:

• Смените пароли на всех аккаунтах, которые не были скомпрометированы напрямую, но используют похожие или те же данные (особенно почта, облачные хранилища, социальные сети). Всегда используйте сложные и уникальные пароли.
• Просканируйте все свои устройства (компьютер, смартфон) актуальным антивирусным ПО, чтобы убедиться в отсутствии вредоносных программ, отслеживающих ваши действия.
• Предупредите близких, друзей и коллег о взломе аккаунтов. Объясните, что любые подозрительные сообщения (просьбы о деньгах, ссылки) от вашего имени следует игнорировать.
• Запросите свою кредитную историю. Это нужно, чтобы убедиться, что мошенники не успели оформить на вас новые кредиты или другие финансовые обязательства.
• Отключите скомпрометированные карты от всех сторонних сервисов, где они могли быть привязаны (онлайн-магазины, службы такси, подписки). Это гарантирует, что ни один сервис не попытается списать средства, используя сохранённые данные.