Почему процветают угрозы от QR-кодов
QR-коды упрощают доступ к веб-ресурсам: даже с крошечной клавиатурой вашего смартфона вы без проблем можете открыть ссылку любой длины. Но знаете ли вы, что именно получите после сканирования очередного QR-кода?
QR-код
Коды быстрого ответа (QR) внезапно снова повсюду. QR-код, изобретённый в 1994 году отмеченной наградами командой из Denso Wave, дочерней компании Toyota, нашёл своё применение практически во всех отраслях. Они похожи на штрих-код на стероидах. Они могут выглядеть как пьяные шахматные доски, но эти беспорядочные чёрные и белые квадраты содержат гораздо больше информации, чем полосы штрих-кода. QR-коды могут запускать одно из действий внутри сканирующего устройства — обычно смартфона.
QR-коды можно найти на упаковке продуктов, автобусных остановках и рекламных щитах. Они размещены на печатных рекламных материалах, таких как билеты, листовки и коврики. Вы можете увидеть их на служебных автомобилях, в рекламных акциях в магазинах и на всплывающих стендах на выставках. Хотите узнать больше о продукте, мероприятии или о том, что продвигается? Отсканируйте код своим смартфоном.
Вы можете найти QR-коды, спрятанные внутри серверов и другого оборудования. Если приглашённому технику необходимо обратиться к инструкции, но у него нет её копии под рукой, он может отсканировать QR-код и получить доступ к руководству в Интернете.
Если вы используете мобильное приложение LinkedIn, коснитесь кластера квадратов в строке поиска, затем коснитесь «Мой код». Вы увидите свой личный QR-код. Люди попадают прямо в ваш профиль LinkedIn. Всё чаще люди добавляют их в свои резюме. Вы даже можете увидеть QR-коды на кладбищах.
Пандемия COVID-19 способствовала возрождению QR-кода. Слава QR-кодов в том, что для их использования вам не нужно ничего прикасаться, кроме своего смартфона. Это быстрая и простая бесконтактная система, и у каждого уже есть подходящий сканер. И это делает его идеальным механизмом для доступа или сбора информации во время пандемии.
Вот почему с появлением COVID-19 QR-код занял центральное место во многих компаниях, которые обычно работают с общественностью. Рестораны, например, используют QR-коды для отображения меню на смартфонах посетителей. Не нужно обрабатывать печатное меню, которое в ресторане проходит через много рук.
В Великобритании приложение Track and Trace Национальной службы здравоохранения основано на QR-кодах. На площадках отображается собственный плакат с QR-кодом для конкретного местоположения. Посетители сканируют код, и приложение записывает, где вы были и когда. Если кто-то сообщает о симптомах COVID-19, серверы NHS могут обработать данные и выяснить, кто еще контактировал с этим человеком.
Проблема с QR-кодами
Наиболее частое использование QR-кода, ориентированного на потребителя, — это запуск веб-страницы на вашем смартфоне. Но они могут намного больше. QR-коды могут вызывать различные действия на смартфоне в соответствии с информацией, содержащейся в QR-коде.
Прежде чем щёлкнуть веб-ссылку, вы, вероятно, визуально проверите её на наличие несоответствий. Имеет смысл удостовериться, что у веб-страницы, которую вы собираетесь принять, есть разумное и правдоподобное имя. Мы можем визуально оценить ссылку: действительно ли она приведёт вас на сайт о котором вы думаете или на сайт-подражатель, который украдёт ваши учётные данные? С QR-кодом невозможно предположить о его содержимом. Для невооруженного глаза они совершенно непонятны — их содержимое не может быть прочитано людьми. Сканирование QR-кода — это испытание веры.
Наши смартфоны — это олицетворение нашей личности в реальном мире. Они содержат всевозможные личные данные, которые неоценимы для злоумышленников, а также доступ к таким приложениям, как онлайн-банкинг, PayPal и кошельки с криптовалютой. Взломанный смартфон ничуть не хуже скомпрометированного компьютера.
Смартфоны стирают границы между частной цифровой жизнью людей и цифровой жизнью компании или рабочего места. У некоторых людей, которым выдан корпоративный смартфон, есть и личный смартфон. Для большинства проще и дешевле иметь один смартфон — корпоративный смартфон — и использовать его в бизнесе и в личных целях.
Люди, как правило, меньше заботятся о безопасности при личном использовании Интернета, чем при корпоративном использовании. Но если их смартфон будет взломан, это поставит под угрозу корпоративную сеть, потому что вредоносное ПО может собирать данные о подключении к VPN и другим учётным записям. Деловые электронные письма также можно перекачивать с устройства.
Конечно, у сотрудников без бизнес-смартфона будет личный смартфон, и он, скорее всего, подключит его к корпоративному Wi-Fi. Частные смартфоны с меньшей вероятностью будут защищены с помощью VPN или комплектов защиты конечных точек.
Будь то смартфон компании или личное устройство, взломанный смартфон представляет собой риск, если он подключается к корпоративной сети.
И смартфоны могут быть взломаны на месте работы. Всё чаще помещают QR-код в резюме или CV. Он может перенаправить вас в личный блог кандидата или в его профиль в LinkedIn, а может быть вредоносным. Отправка поддельного резюме с QR-кодом — это простой способ взломать смартфон с помощью бумажной атаки.
Что может делать QR-код?
QR-коды могут запускать ряд различных действий на смартфоне.
- Запуск веб-сайта. Если он вредоносный, это может быть сайт для сбора учётных данных подделки или он может заразить ваш смартфон троянским конем. Затем вредоносная программа подключится к серверам злоумышленников. Данные могут передаваться с вашего смартфона на серверы, или другое вредоносное ПО может быть загружено на ваш смартфон.
- Добавление вредоносной записи в контакты. Специально созданная контактная запись, содержащая вредоносную информацию, может запускать эксплойты на вашем смартфоне.
- Добавление и подключение вас к сети Wi-Fi, которая может быть вредоносной или взломанной.
- Совершение платежа. Часто под предлогом жертвования на благотворительность, вредоносные QR-коды могут принимать платежи и позволять злоумышленникам захватить ваши личные данные и данные учётной записи.
- Голосовые вызовы. Если этот звонок адресован злоумышленникам, теперь у них есть информация о вашем номере и идентификаторе вызывающего абонента. Они могут попытаться извлечь из вас другую информацию.
- Создание текстового SMS-сообщения. QR-код может создать текстовое сообщение, адресованное злоумышленникам (или любому, кого они выберут). Это оставляет вас уязвимым для текстовых фишинговых атак, известных как smishing-атаки.
- Составление электронного письма с предварительно заполненными получателями и темами, оставив вас уязвимым для фишинговых атак по электронной почте.
- Регистрация для подписки на аккаунты в социальных сетях. Сообщения в учётной записи социальной сети будут содержать ссылки, по которым жертвы будут переходить, загружая вредоносное ПО на свой телефон.
QR-коды также могут создавать записи в вашем календаре или определять ваше местоположение по GPS вашего смартфона, но это с меньшей вероятностью приведёт к компрометации.
Сначала думай, потом сканируй
С QR-кодами контекст имеет первостепенное значение. Где код? Кто является владельцем или поставщиком кода? Если это самодельный флаер, прикрепленный к телеграфному столбу, вы не можете поручиться за его достоверность. У вас нет источника для этого кода. Если QR-код находится на профессионально напечатанном плакате в приёмной кабинета врача или больницы, вы можете быть уверены в подлинности кода.
Но даже в этом случае убедитесь, что другой QR-код не был напечатан на бумажной этикетке и не наклеен на подлинный код. По нему нельзя определить, является ли QR-код безобидным или вредоносным, но вы можете поискать признаки подделки или модификации. Если похоже, что в него вмешались, не сканируйте его.
Просмотрите настройки в приложении для сканирования QR-кода и настройте его на отображение веб-адресов перед запуском веб-сайта или фактическим выполнением любых других действий. Жалко, что вам нужно ввести человеческую оценку в такое простое использование QR-кодов, которые разработаны для безболезненного рабочего процесса «сканировал и готово», но борьба с киберпреступностью требует постоянного усердия.
Связанные статьи:
- Биометрическая безопасность не так надёжна, как вы думаете, и вот почему (100%)
- Как использовать «Режим блокировки» на Android (85.3%)
- Как временно отключить Face ID или Touch ID на вашем iPhone (85.3%)
- Как отключить Touch ID или Face ID на вашем iPhone (85.3%)
- Почему новый безопасный режим блокировки iPhone не для вас (85.3%)
- Какой ISO следует использовать с камерой? (RANDOM - 14.8%)