Квишинг – это новый фишинг

Основным «проводником» в Интернете ныне стал смартфон. Но проводник – это иногда Сусанин!

Даже пожилым пользователям (то есть, по определению, самым консервативным и «отсталым») понятно, что смартфон – это не просто мобильный телефон, но и компьютер, инструмент идентификации, авторизации и прочих цифровых операций. Смартфон позволяет «без набора», прикосновением пальца к дисплею, делать звонки, перемещаться с сайта на сайт, открывать доступ к запароленным хранилищам файлов, подтверждать свою личность. Удобства в виде тачскрина (Touchscreen – управление через сенсорный дисплей) дополнены оптическими «облегчениями» – например, прочтением матричных кодов для последующей навигации в Интернете. Матричный код – это квадрат, состоящий из черных квадратиков разной величины. Их комбинация шифрует ссылку на определенный сайт. Чтобы зайти на сайт, не надо вручную вводить его адрес. Достаточно просканировать оптикой смартфона этот «квадрат черных квадратов». Словом, это код быстрого ответа – Quick Response code, или QR-код. Сейчас, можно сказать, всё сопровождается QR-кодами. Читаешь интересную статью в газете – дополнительные подробности через QR-код в Интернете. По телевизору показывают приготовление вкусного блюда – тут же в кадре QR-код, чтобы выйти на рецептуру. Нередко мы сами загружаем QR-коды в телефон – проездные билеты, включая Deutschlandticket, или приснопамятные свидетельства о прививках против ковида.

Мы пользуемся QR-кодами, не задумываясь. А задумываться надо. Сетевая мафия стала использовать QR-коды для фишинга. Это модернизированный фишинг, его называют куишинг, или квишинг (Quishing), по первой букве, «ку», перекочевавшей из названия кода. Федеральное криминальное ведомство, полиция, центры защиты потребителей предупреждают об опасном росте финансовых мошенничеств с применением квишинга, жертвами которых нередко становятся пожилые люди с их «недоосведомленностью» в цифровых технологиях, доверчивостью и законопослушностью.

 

Как ведется «лов»

Фишинг – это сетевой мошеннический лов на наживку. То есть рассылка электронных сообщений (E-Mails) с привлекательным или угрожающим содержанием и с приложениями либо ссылками для последующих «разъясненений». Типа: вы выиграли крупную сумму ценную вещь, подробности – в приложении (или по ссылке). Тот, кто откроет приложение, запустит в свой компьютер (планшет, мобильный телефон) шпионскую программу, которая передаст преступникам номера банковских счетов и коды доступа (если они заложены в зараженное устройство). Тот, кто зайдет по ссылке, попадет на поддельный сайт, где его попросят ввести банковские реквизиты «для получения выигрыша». Альтернативный вариант: мэйл с сообщением (якобы от банка) о взломе счета или о его аресте (например, по подозрению в уклонении от уплаты налогов). И тоже ссылка или приложение для «разъяснений». С тем же исходом: кража банковских реквизитов, номеров платежных карт, взлом счетов, перевод денег с них «в неизвестном направлении».

Мы неоднократно писали о фишинге, подсказывая читателям, как не попасться на эту удочку. Но прогресс, в том числе криминальный, не стоит на месте. Банальный фишинг преобразился в смишинг (засылка наживок через SMS), вишинг (через голосовые сообщения) и вот теперь в квишинг.

 

Как работают «черные квадраты»

Схема, в принципе, такая же – заброс через прочтение QR-кода на поддельный сайт, который «строго» или «радостно-завлекательно» затребует ваши банковские реквизиты.

Что понуждает пользователей смартфонов сканировать подсовываемые преступниками коды-наживки? Обстоятельства. Преступники разыгрывают убедительные сценарии: вложенная под «дворник» авто квитанция о штрафе за «неправильную парковку» или извещения из банка, сообщающие о тех или иных «проблемах с вашим счетом», которые необходимо срочно устранить. Для устранения (или уплаты штрафа) – QR-код. Липовые банковские извещения косяками идут клиентам Deutsche Bank, Commerzbank, Targobank. Не исключено, что завтра преступники воспользуются именами других банков.

Весьма распространенный трюк – переклеенные QR-коды на колонках для зарядки электромобилей. Водители без зарядных карт имеют другие опции онлайн-платежей за зарядку. Однако через поддельный QR-код плата поступает не поставщику электроэнергии, а киберпреступникам.

 

Как избежать наживки

Это несложно. Не торопитесь при сканировании QR-кода. Современные смартфоны перед заходом на закодированный «черными квадратами» сайт сообщают его буквенный адрес и запрашивают от пользователя подтверждение: заходить на сайт или нет? Прочитайте адрес, чтобы распознать, чей это сайт. Обращайте внимание на служебные знаки в адресе – если таковые имеются, сайт, скорее всего, поддельный. Особенно подозрительна «собачка», знак @, где-то посредине адреса. То, что после этого знака – истинный домен, а то, что до него, указывает на домен, под который, так сказать, маскируются. Например, адрес «www.finanzamt@xxxx.com» принадлежит отнюдь не финансовому ведомству, а некой конторе «xxxx.com». Нужна она вам?