Вам посылка, сканируйте QR-код

Онлайн-шопинг прочно вошел в нашу повседневную жизнь: мы покупаем еду, одежду, предметы интерьера и оформляем доставку до двери чуть ли не в один клик. Те, кто привык заказывать в Интернете много и часто, вполне могут забыть о посылке или пропустить звонок от курьера. Вероятно, именно так рассуждают злоумышленники, когда в качестве приманки используют уведомления от служб доставки.

В данном случае киберпреступники притворяются международной службой экспресс-доставки DHL, а вместо ссылки на фишинговый сайт используют QR-код. Зачем они это делают — сейчас расскажем.

Ваша посылка прибыла на почту

Атака начинается с письма якобы от DHL. В адресе, с которого пришло сообщение, — случайный набор слов, ничем не похожих на название международной службы доставки. Зато тело письма преступники оформили вполне убедительно: добавили логотип компании, номер заказа, пусть и ненастоящий, и предполагаемую дату получения посылки.

В самом сообщении (в данном случае оно написано на испанском) говорится, что заказ прибыл на почту, но курьер не смог доставить его лично. Обычно после подобной «наживки» злоумышленники добавляют ссылку, по которой нужно перейти, чтобы решить вопрос. Но в этот раз они поступили иначе и вставили вместо нее QR-код.

Письмо с QR-кодом якобы от DHL. На всякий случай мы заменили QR-код на скриншоте на безопасный

Вообще, QR-код — штука многозадачная. С его помощью можно, например, подключиться к Wi-Fi, оплатить покупку или подтвердить, что вы купили билет на концерт или в кино. Но, пожалуй, чаще всего такие коды используют для оффлайнового распространения ссылок: черно-белые квадраты удобно сканировать с упаковки товара, рекламного плаката, визитки и так далее, чтобы быстро открыть сайт.

В данном же случае злоумышленники, конечно же, заботились не об удобстве жертвы. Замысел, судя по всему, в том, что если жертва изначально открывает письмо на компьютере, все равно придется считывать QR-код смартфоном, а значит, и небезопасный сайт откроется на маленьком экране мобильного гаджета, где признаки фальшивки будут меньше бросаться в глаза. Из-за нехватки пространства в мобильных браузерах URL-адреса видны не полностью, а в Safari с недавних пор адресная строка переехала в нижнюю часть экрана, куда многие еще не привыкли смотреть. Нашим преступникам это только на руку, ведь URL сайта, на который отправляются жертвы, совсем не похож на официальный: в нем вообще нет никакого DHL.

Сам текст на сайте тоже будет мелким, а значит, не так заметны будут огрехи в оформлении. Впрочем, их не так много: страница встречает пользователей фирменными красными и желтыми цветами, внизу указано название компании, а текст написан без ошибок, если не считать пару маленьких букв в начале предложений.

Жертве сообщают, что доставка придет в течение одного-двух дней, и чтобы получить посылку, просят ввести имя, фамилию и адрес с почтовым индексом. Такую информацию служба доставки действительно может запросить, это подозрений не вызывает.

Поддельный сайт DHL просит ввести персональную информацию, а также данные банковской карты

Однако сбор данных на этом не заканчивается, и на следующей странице жертву просят поделиться сведениями посерьезнее: реквизитами банковской карты, включая CVV-код с обратной стороны, — якобы для оплаты доставки. Конкретную сумму злоумышленники не называют — говорят лишь, что стоимость будет зависеть от региона, и заверяют, что деньги не спишутся, пока не придет посылка. На самом деле в настоящем сервисе DHL доставка оплачивается заранее, при оформлении заявки. Если же клиент действительно разминулся с курьером, сервис доставляет груз еще раз бесплатно.

Что преступники делают с платежными данными?

Скорее всего, преступники не станут сразу же снимать деньги с карты, чтобы жертва не связала списание с их сайтом. Вероятно, они продадут платежные данные на черном рынке, и уже их покупатель оставит жертву без сбережений — когда та совсем забудет о несуществующей посылке.

Как защититься?

В этой истории пригодятся все обычные правила защиты от кибермошенников:

• Получив письмо от известной компании, всегда проверяйте адрес отправителя. Видите после собаки не реальное название фирмы, а что-то другое? Вероятно, это мошенники. По каким еще признакам можно их распознать — читайте в отдельном посте.
• Если вы ждете посылку, обязательно сохраняйте трек-номер и самостоятельно проверяйте ее статус на официальном сайте, открывая его из «Избранного» или вводя адрес в поисковике вручную.
• Чтобы не рисковать при чтении QR-кодов, сканируйте их нашим Kaspersky QR Scanner (есть версии и для Android, и для iOS) — приложение подскажет, если код ведет на опасную страницу.
• Используйте на всех устройствах надежный антивирус с защитой от фишинга и онлайн-мошенничества, который вовремя предупредит вас об опасности.