Какие риски могут быть связаны с QR-кодами

Важно понимать, что QR-код — это всего лишь способ представить цифровую информацию в графическом виде.
В большинстве случаев, когда вы сканируете QR-код, вы получаете ссылку, по которой нужно куда-то перейти.
И здесь вас поджидают все риски, которые связаны с переходом по таким ссылкам. Вместо нормального сайта вы можете попасть на фальшивый сайт, внешне похожий на официальный (например, на Госуслуги или на сайт банка) или, как это описывает ЦБ, — в чат-бот.
Причём, поскольку QR-коды сканируются преимущественно мобильными устройствами, то понять куда вы попали — на нужный сайт или на какую-то подделку, нельзя.
Очевидным кажется совет не доверять QR-кодам на объявлениях, которые висят в публичных местах. Но в определённых ситуациях этого явно недостаточно. Поскольку по внешнему виду самого QR-кода нельзя понять, куда он ведёт, и его нельзя проверить «невооружённым взглядом», то мошенники могут подменять такие коды.
Например, можно наклеить «специальный» код, поверх QR-кода на плакате в банке, и вот посетители банковского отделения вместо мобильного приложения банка загружают его «исправленный» вариант.
QR-код может вести сразу на форму оплаты, и человек может думать, что оплачивает какие-то услуги, а на самом деле будет переводить деньги мошенникам.
Единственное, что успокаивает, что создавать платёжные коды СБП и SberPay может только юрлицо или предприниматель, который заключил с банком договор Эквайринга. В остальных случаях для оплаты требуются какие-то активные действия со стороны пользователя.
И именно здесь должна находиться «защита» от мошенничества — нужно понимать, что в чат-ботах нельзя оставлять персональных данных (особенно если вы перешли на него по случайной ссылке). Всегда относитесь с недоверием к любым входящим звонкам с неизвестных номеров. Помните, если вам обещают льготы, выплаты или иные выгоды, то лучше самостоятельно обратиться в ведомство (банк и т.п.) и уточнить подробности.