У трамваях, на парковках і навіть у меню кафе — QR-коди стали невід’ємною частиною нашого побуту. Проте за зручністю швидкої оплати криється нова небезпека: кіберполіція попереджає про хвилю «квішингу» (QR-фішингу). Про те, як працює ця схема та як захистити свій гаманець, ми розпитали начальника 8-го відділу управління протидії кіберзлочинам у Львівській області Олега БОЖИКА.

Підміна одним рухом руки

— Пане Олегу, останнім часом ми все частіше чуємо про шахрайства з QR-кодами. Розкажіть, що саме зараз відбувається на вулицях наших міст?

— Дійсно, в Україні знову активізувалася схема з підміною QR-кодів. Зловмисники розраховують на нашу звичку до швидких оплат і певну неуважність. Схема проста до примітивності: вони просто наклеюють свої «піратські» коди поверх офіційних або розклеюють власні фейкові оголошення у громадських місцях. Людина думає, що платить за паркування, а насправді переказує гроші на рахунок злочинця.

— Куди зазвичай веде такий підроблений код?

— На фішинговий сайт. Це повноцінний «двійник» реального сервісу — наприклад, сторінки оплати штрафу, квитків у транспорті чи благодійного фонду. Візуально вони майже ідентичні оригіналу. Користувач вводить дані банківської картки (номер, термін дії та CVV-код), думаючи, що здійснює транзакцію. У цей момент він власноруч віддає «ключі» від свого рахунку шахраям.

Де шукати небезпеку?

— Де варто бути особливо обережними? Де ці коди «підстерігають» нас найчастіше?

— Там, де люди поспішають і звикли платити «на ходу». Найпоширеніші локації:

• Паркомати та стоянки: найлегше непомітно наклеїти чужий код.
• Громадський транспорт: наліпки на вікнах чи сидіннях для оплати проїзду.
• Входи на масові заходи: заміна кодів на афішах чи квитках.
• Благодійність: оголошення про термінові збори коштів, де емоції часто переважають над обачністю.

— Але ж QR-коди всі виглядають майже однаково. Як пересічному громадянину зрозуміти, що перед ним пастка?

— Це складно, але можливо. Ми в Кіберполіції виділяємо чотири «золоті» правила:

1. Огляньте наклейку. Якщо ви бачите, що один код наклеєний поверх іншого, краї нерівні або шрифт і дизайн відрізняються від решти таблички — не скануйте його.
2. Дивіться на прев’ю. Сучасні смартфони показують адресу сайту ще до переходу. Якщо там набір дивних символів або назва лише віддалено нагадує офіційну — зупиніться.
3. Перевіряйте URL. Навіть після переходу гляньте на домен у стрічці браузера. Також обов’язково має бути захищене з'єднання — префікс https://.
4. Користуйтеся віртуальними картками. Для оплат у мережі та через QR-коди краще мати окрему віртуальну картку з лімітом. Це мінімізує втрати, якщо дані все ж потраплять до рук злодіїв.

Якщо ви вже «на гачку»

— Що робити, якщо людина зрозуміла, що припустилася помилки вже після натискання кнопки «Оплатити»?

— Час грає проти вас, тому діяти треба миттєво.

По-перше, негайно заблокуйте картку через мобільний додаток або гарячу лінію банку.

По-друге, подайте заяву до Кіберполіції. Це можна зробити онлайн за посиланням ticket.cyberpolice.gov.ua.

І ще одне: якщо ви виявили підозрілий код у транспорті чи закладі —  обов’язково повідомляйте адміністрацію цієї установи. Можливо, цим ви врятуєте кошти десятків інших людей. Будьте пильними!