📌 Сценарий простой и массовый. На корпоративную почту сотрудника приходит письмо «от ведомства»: в поле отправителя домен с похожей на госаббревиатуру зоной, в теме — «уведомление», «акт», «протокол», внутри — только QR‑код и подпись «специалиста». После сканирования человек попадает на фейковую страницу «службы доставки» или «сервиса документов» со статусом «ожидает оплаты». Дальше — небольшой платёж «за доступ/отправку», списание денег в пользу мошенников и ноль юридических последствий для банка: платёж инициировал сам сотрудник. Серия таких эпизодов по компании уже тянет на инцидент ИБ и вопросы к должной осмотрительности.
🧪 Слабое место схемы — не техника, а поведение. Классические фильтры и антиспам смотрят на ссылки в письмах, а не на картинку QR‑кода, поэтому обходятся стандартные политики безопасности. QR‑код в голове сотрудника — это «просто удобный способ перейти по ссылке», а не полноценный риск. Мошенники копируют стиль официальных уведомлений, используют реальные названия госорганов, подделывают блоки «о рассылке по 152‑ФЗ». По факту сотрудник добровольно вводит платёжные реквизиты или авторизуется под рабочей учёткой на стороннем ресурсе — и этим создаёт для компании проблему, которую придётся объяснять и перед службой безопасности, и перед бухгалтерией.
🧠 Практический минимум для бизнеса:
- запрет на оплату чего‑либо по QR‑кодам из писем/мессенджеров без проверки по второму каналу (звонок в реальное ведомство, проверка на официальном сайте по ИНН/номеру документа);
- проверка доменов отправителей и ссылок, на которые ведут QR‑коды (через браузерные предпросмотры/защитные решения, а не «в лоб» с камеры телефона);
- настройка корпоративной почты и мобильной безопасности так, чтобы вложенные изображения проходили проверку на вредоносные QR‑коды;
- обучение персонала: QR‑код = ссылка, к которой применяются те же правила гигиены, что и к клику в письме.
📌 Нестандартный угол: такие атаки удобно использовать против финансовых и юридических служб — там выше лимиты и доступ к корпоративным картам. Один неверный скан — и деньги ушли «по инициативе клиента» на реквизиты, которые банк формально не обязан оспаривать. Это уже риск по внутренним регламентам и по линии 115‑ФЗ: серия нестандартных мелких платежей на одну и ту же «службу доставки» может заинтересовать и комплаенс. Поэтому QR‑гигиена — это не только про ИБ, но и про финансовую безопасность и личную ответственность сотрудников.
📌 Сохраните пост и проверьте: прописано ли в ваших регламентах прямое правило по QR‑кодам из почты и мессенджеров — или всё держится на надежде «наших это не коснётся»?
#кибербезопасность #мошенничество #финансоваябезопасность #корпоративнаяпочта #осведомлённость
