QR-коды первоначально предназначались для того, чтобы быстро направлять потребителей к информации о продуктах и услугах, однако теперь их начинают использовать для взлома с помощью социального инжиниринга. Компания Check Point делится соображениями по поводу распространения мошенничества со сканированием QR-кода и связанной с этим растущей обеспокоенности пользователей.

В наши дни не нужно ходить далеко, чтобы увидеть QR-код. Скромно появившись в автомобильной промышленности на этикетках и маркировке, эти маленькие квадратики теперь размещают везде: на упаковке, рекламных щитах и плакатах, в газетах и журналах.

QR-коды явились стартовой площадкой для перехода от физического к виртуальному миру. Просто считав код с помощью смартфона, люди могут быстро перейти к цифровому контенту, и это просто мечта продавца, поскольку позволяет направить пользователя непосредственно к информации о товарах и услугах. Кроме того, в этой технологии играет свою роль фактор любопытства, поскольку пользователи испытывают детский восторг от удобного поиска одним наведением камеры.

Но преимущества технологии делают ее удобной в качестве инструмента социального инжиниринга для хакеров, которые, пользуясь любопытством и доверчивостью пользователей, направляют их к вредоносным сайтам и приложениям. В то время как концепция «взлом через загрузки» является уже устоявшейся тактикой кражи данных пользователей при просмотре веб-страниц, QR-коды предоставляют новый аналогичный способ манипулирования пользователями мобильных устройств.

Дело доверия

Проблема QR-кодов заключается в том, что пользователи вынуждены доверять надежности провайдера кода и предполагать безопасность страниц, на которые этот код направляет. Обычным пользователям практически невозможно проверить эту безопасность, поскольку QR-код скрывает сайт и его контент. Взломы, основанные на социальном инжиниринге, появились в начале 2000-х в виде почтовых червей. Теперь они также играют на человеческом любопытстве: пользователям интересно, что будет, если щелкнуть на вложении или считать QR-код, что часто приводит к проблемам с безопасностью.

Более того, приложения для сканирования QR-кодов, установленные на смартфонах, содержат прямые ссылки на другие возможности смартфонов, например, электронную почту, SMS, местные услуги и установку программ, что увеличивает потенциальный риск для мобильных устройств. Давайте рассмотрим, как происходит атака, основанная на использовании QR-кода, и как от нее можно защититься.

Считывание кода

Первым делом при QR-взломе необходимо позаботиться о том, чтобы потенциальная жертва увидела QR-код. Это можно сделать, размещая в электронном письме QR-код (это называется фишинг) или распространяя вполне безобидные физические документы с QR-кодом, например флаеры на торговой выставке, или даже приклеивая стикеры к чужому рекламному щиту.

После распространения QR-кода у мошенников в распоряжении есть множество способов отъема денег у населения. Самый простой: код просто перенаправляет пользователей на фиктивные веб-сайты, например, несуществующие интернет-магазины или платежные сайты.

Более хитроумные схемы мошенничества предполагают использование хакерами QR-кода для направления пользователей на веб-сайты, на которых их мобильные устройства будут «разблокированы», то есть будет обеспечен доступ к их операционной системе для установки вредоносного ПО. Это все примеры атаки с помощью скрытых загрузок, в результате которой на устройстве без ведома или разрешения пользователя устанавливаются посторонние программы, например программы для перехвата вводимой с клавиатуры информации или системы GPS-отслеживания.

Атака на мобильный кошелек

Пожалуй, наибольший потенциальный риск для пользователей представляет распространение оказания банковских услуг по мобильной связи и платежей через смартфонов. Способность QR-кодов разблокировать устройства и связывать их с приложениями предоставляет хакерам неограниченные возможности доступа к мобильным кошелькам, особенно учитывая тот факт, что решения для оплаты, основанные на QR-кодах, уже существуют и используются. Хотя в настоящее время их использование не очень широко, оно будет увеличиваться с распространением QR-технологий.

Как же организации и физические лица могут снизить риски, связанные с использованием QR-кодов? Самое главное – это наличие возможности установить, какие ссылки и ресурсы открываются при сканировании данного QR-кода. Некоторые (не все) приложения для сканирования QR-кодов предоставляют такую возможность и предлагают пользователю подтвердить свое намерение перейти по ссылке. Это дает пользователю возможность оценить адекватность ссылки до активации кода.

Для корпоративных смартфонов предусмотрено и получает все большее распространение кодирование информации, благодаря которому даже при установке на устройстве через вредоносный QR-код троянской программы конфиденциальные данные остаются под защитой и не становятся сразу доступными хакерам.

В заключение хотелось бы сказать, что QR-коды – всего лишь новая «фишка» в отлаженных схемах и технологиях мошенничества. Не следует забывать основные меры безопасности: проверяйте то, что сканируете, и по возможности кодируйте информацию. Или, проще говоря, не зная броду, не суйся по QR-коду.