QR-коды могут быть опасными

Почему процветают угрозы от QR-кодов

QR-коды упрощают доступ к веб-ресурсам: даже с крошечной клавиатурой вашего смартфона вы без проблем можете открыть ссылку любой длины. Но знаете ли вы, что именно получите после сканирования очередного QR-кода?

QR-код

Коды быстрого ответа (QR) внезапно снова повсюду. QR-код, изобретённый в 1994 году отмеченной наградами командой из Denso Wave, дочерней компании Toyota, нашёл своё применение практически во всех отраслях. Они похожи на штрих-код на стероидах. Они могут выглядеть как пьяные шахматные доски, но эти беспорядочные чёрные и белые квадраты содержат гораздо больше информации, чем полосы штрих-кода. QR-коды могут запускать одно из действий внутри сканирующего устройства — обычно смартфона.

QR-коды можно найти на упаковке продуктов, автобусных остановках и рекламных щитах. Они размещены на печатных рекламных материалах, таких как билеты, листовки и коврики. Вы можете увидеть их на служебных автомобилях, в рекламных акциях в магазинах и на всплывающих стендах на выставках. Хотите узнать больше о продукте, мероприятии или о том, что продвигается? Отсканируйте код своим смартфоном.

Вы можете найти QR-коды, спрятанные внутри серверов и другого оборудования. Если приглашённому технику необходимо обратиться к инструкции, но у него нет её копии под рукой, он может отсканировать QR-код и получить доступ к руководству в Интернете.

Если вы используете мобильное приложение LinkedIn, коснитесь кластера квадратов в строке поиска, затем коснитесь «Мой код». Вы увидите свой личный QR-код. Люди попадают прямо в ваш профиль LinkedIn. Всё чаще люди добавляют их в свои резюме. Вы даже можете увидеть QR-коды на кладбищах.

Пандемия COVID-19 способствовала возрождению QR-кода. Слава QR-кодов в том, что для их использования вам не нужно ничего прикасаться, кроме своего смартфона. Это быстрая и простая бесконтактная система, и у каждого уже есть подходящий сканер. И это делает его идеальным механизмом для доступа или сбора информации во время пандемии.

Вот почему с появлением COVID-19 QR-код занял центральное место во многих компаниях, которые обычно работают с общественностью. Рестораны, например, используют QR-коды для отображения меню на смартфонах посетителей. Не нужно обрабатывать печатное меню, которое в ресторане проходит через много рук.

В Великобритании приложение Track and Trace Национальной службы здравоохранения основано на QR-кодах. На площадках отображается собственный плакат с QR-кодом для конкретного местоположения. Посетители сканируют код, и приложение записывает, где вы были и когда. Если кто-то сообщает о симптомах COVID-19, серверы NHS могут обработать данные и выяснить, кто еще контактировал с этим человеком.

Проблема с QR-кодами

Наиболее частое использование QR-кода, ориентированного на потребителя, — это запуск веб-страницы на вашем смартфоне. Но они могут намного больше. QR-коды могут вызывать различные действия на смартфоне в соответствии с информацией, содержащейся в QR-коде.

Прежде чем щёлкнуть веб-ссылку, вы, вероятно, визуально проверите её на наличие несоответствий. Имеет смысл удостовериться, что у веб-страницы, которую вы собираетесь принять, есть разумное и правдоподобное имя. Мы можем визуально оценить ссылку: действительно ли она приведёт вас на сайт о котором вы думаете или на сайт-подражатель, который украдёт ваши учётные данные? С QR-кодом невозможно предположить о его содержимом. Для невооруженного глаза они совершенно непонятны — их содержимое не может быть прочитано людьми. Сканирование QR-кода — это испытание веры.

Наши смартфоны — это олицетворение нашей личности в реальном мире. Они содержат всевозможные личные данные, которые неоценимы для злоумышленников, а также доступ к таким приложениям, как онлайн-банкинг, PayPal и кошельки с криптовалютой. Взломанный смартфон ничуть не хуже скомпрометированного компьютера.

Смартфоны стирают границы между частной цифровой жизнью людей и цифровой жизнью компании или рабочего места. У некоторых людей, которым выдан корпоративный смартфон, есть и личный смартфон. Для большинства проще и дешевле иметь один смартфон — корпоративный смартфон — и использовать его в бизнесе и в личных целях.

Люди, как правило, меньше заботятся о безопасности при личном использовании Интернета, чем при корпоративном использовании. Но если их смартфон будет взломан, это поставит под угрозу корпоративную сеть, потому что вредоносное ПО может собирать данные о подключении к VPN и другим учётным записям. Деловые электронные письма также можно перекачивать с устройства.

Конечно, у сотрудников без бизнес-смартфона будет личный смартфон, и он, скорее всего, подключит его к корпоративному Wi-Fi. Частные смартфоны с меньшей вероятностью будут защищены с помощью VPN или комплектов защиты конечных точек.

Будь то смартфон компании или личное устройство, взломанный смартфон представляет собой риск, если он подключается к корпоративной сети.

И смартфоны могут быть взломаны на месте работы. Всё чаще помещают QR-код в резюме или CV. Он может перенаправить вас в личный блог кандидата или в его профиль в LinkedIn, а может быть вредоносным. Отправка поддельного резюме с QR-кодом — это простой способ взломать смартфон с помощью бумажной атаки.

Что может делать QR-код?

QR-коды могут запускать ряд различных действий на смартфоне.

  • Запуск веб-сайта. Если он вредоносный, это может быть сайт для сбора учётных данных подделки или он может заразить ваш смартфон троянским конем. Затем вредоносная программа подключится к серверам злоумышленников. Данные могут передаваться с вашего смартфона на серверы, или другое вредоносное ПО может быть загружено на ваш смартфон.
  • Добавление вредоносной записи в контакты. Специально созданная контактная запись, содержащая вредоносную информацию, может запускать эксплойты на вашем смартфоне.
  • Добавление и подключение вас к сети Wi-Fi, которая может быть вредоносной или взломанной.
  • Совершение платежа. Часто под предлогом жертвования на благотворительность, вредоносные QR-коды могут принимать платежи и позволять злоумышленникам захватить ваши личные данные и данные учётной записи.
  • Голосовые вызовы. Если этот звонок адресован злоумышленникам, теперь у них есть информация о вашем номере и идентификаторе вызывающего абонента. Они могут попытаться извлечь из вас другую информацию.
  • Создание текстового SMS-сообщения. QR-код может создать текстовое сообщение, адресованное злоумышленникам (или любому, кого они выберут). Это оставляет вас уязвимым для текстовых фишинговых атак, известных как smishing-атаки.
  • Составление электронного письма с предварительно заполненными получателями и темами, оставив вас уязвимым для фишинговых атак по электронной почте.
  • Регистрация для подписки на аккаунты в социальных сетях. Сообщения в учётной записи социальной сети будут содержать ссылки, по которым жертвы будут переходить, загружая вредоносное ПО на свой телефон.

QR-коды также могут создавать записи в вашем календаре или определять ваше местоположение по GPS вашего смартфона, но это с меньшей вероятностью приведёт к компрометации.

Сначала думай, потом сканируй

С QR-кодами контекст имеет первостепенное значение. Где код? Кто является владельцем или поставщиком кода? Если это самодельный флаер, прикрепленный к телеграфному столбу, вы не можете поручиться за его достоверность. У вас нет источника для этого кода. Если QR-код находится на профессионально напечатанном плакате в приёмной кабинета врача или больницы, вы можете быть уверены в подлинности кода.

Но даже в этом случае убедитесь, что другой QR-код не был напечатан на бумажной этикетке и не наклеен на подлинный код. По нему нельзя определить, является ли QR-код безобидным или вредоносным, но вы можете поискать признаки подделки или модификации. Если похоже, что в него вмешались, не сканируйте его.

Просмотрите настройки в приложении для сканирования QR-кода и настройте его на отображение веб-адресов перед запуском веб-сайта или фактическим выполнением любых других действий. Жалко, что вам нужно ввести человеческую оценку в такое простое использование QR-кодов, которые разработаны для безболезненного рабочего процесса «сканировал и готово», но борьба с киберпреступностью требует постоянного усердия.


Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

wp-puzzle.com logo