Насколько опасен qr-код для человека
Обновлено: 21.11.2024
К настоящему моменту большинство пользователей компьютеров знают о риске, который хакеры представляют для данных и учетных записей, доступ к которым осуществляется через их портативный или настольный компьютер. Однако по мере роста рынка мобильных устройств, когда все больше людей входят в учетные записи на своих мобильных устройствах, чем когда-либо, хакеры начали атаковать смартфоны и планшеты. По оценкам CheckPoint, количество атак мобильных вредоносных программ в 2019 году увеличилось на 50%, что в основном связано с ростом использования мобильного банкинга. В наш мобильный век одной из самых опасных угроз является использование хакерами QR-кодов для установки вредоносных программ.
QR, или коды быстрого ответа, похожи на штрих-коды, которые можно сканировать с помощью камер смартфонов, чтобы направить пользователей на веб-сайт. Использование QR-кодов для маскировки злонамеренных намерений имеет большой смысл с точки зрения хакера. В течение многих лет киберпреступники создавали мошеннические электронные письма, чтобы замаскировать опасные ссылки или вложения под безобидную информацию от друга или коллеги. С QR-кодами маскировка встроена — каждый код выглядит более или менее одинаково, и мобильные пользователи привыкли сканировать их в любых средах. Кроме того, после сканирования QR-код быстро перенаправляет пользователя на вредоносный веб-сайт или загружает его, прежде чем он сможет предпринять какие-либо меры для предотвращения дальнейшего вреда.
Согласно данным Parameter Security, когда пользователь сканирует вредоносный QR-код, на его телефон разрешается загрузка троянской программы, представляющей собой внутреннюю вредоносную программу, которая передает информацию на серверы хакеров. Как только это произойдет, хакер сможет загрузить другое вредоносное ПО или извлечь информацию с устройства, что может привести к катастрофическим последствиям для жертвы.
Взлом QR-кода трудно обнаружить, поскольку коды могут появляться где угодно: на экране, визитной карточке, купоне, рекламном щите или почтовом отправлении. Самый простой способ предотвратить взлом QR — не сканировать QR-коды, но это неудобно, поскольку большинство кодов — полезный способ доступа к информации. Вот еще несколько способов предотвратить взлом QR:
Относитесь к QR-коду как к подозрительной ссылке. Взлом QR-кода — это еще один вид фишинговой аферы, поэтому примите те же меры предосторожности; если он выглядит или ощущается неправильно, не сканируйте его.
Учитывайте место, где размещен код. Если он есть в меню ресторана или на уважаемом, защищенном веб-сайте, его, вероятно, (хотя и не всегда) безопасно сканировать. Однако, если вы видите код на плакате, который мог быть легко распечатан и опубликован хакером, или код всплывает на отрывочной веб-странице, действуйте с особой осторожностью. Не сканируйте код, отправленный или размещенный кем-то, кого вы не знаете лично!
Используйте QR-сканер с функцией предварительного просмотра. Это может заменить «наведение курсора» на подозрительную ссылку для ее проверки. Доступно бесчисленное множество приложений, которые покажут вам содержимое, скрытое за кодом, прежде чем вы нажмете на него.
Многие фирменные QR-коды индивидуализированы и тщательно разработаны. С подозрением относитесь к стандартным черно-белым QR-кодам.
ВОПРОС. Можно ли определить, безопасен ли QR-код?
ОТВЕТ: Коды QR (Quick Response) на самом деле представляют собой двумерные штрих-коды, которые были первоначально разработаны для автомобильной промышленности еще в 1994 году, чтобы расширить возможности стандартных штрих-кодов.
Несмотря на то, что QR-коды были разработаны, чтобы предоставить гораздо больше деталей при сканировании, QR-коды, с которыми вы столкнетесь как потребитель, представляют собой не что иное, как быстрый способ представить сложную веб-ссылку.
Гораздо быстрее ввести код с помощью смартфона, чем вводить длинную строку символов, чтобы перейти на определенную веб-страницу, поэтому они стали так популярны.
Опасности QR-кода
Поскольку QR-коды, как правило, представляют собой не более чем веб-ссылки, к ним следует подходить с такой же осторожностью, как и к веб-ссылке в электронном или текстовом сообщении.
Если вы не знаете и не доверяете источнику, переход по ссылке, сгенерированной QR-кодом, может привести к вредоносной целевой странице или изощренному мошенничеству.
Они использовались в целенаправленных фишинговых атаках, поскольку фальшивые сайты, на которые они перенаправляют посетителей, могут выглядеть как настоящие сайты надежной компании.
Если вы сомневаетесь, даже не снимайте QR-код, так как некоторые приложения могут автоматически открыть ссылку для вас.
Красные флажки, на которые стоит обратить внимание
Нельзя узнать, насколько безопасен QR-код, просто взглянув на него, поэтому в первую очередь следует учитывать окружающую среду.
Если вы случайно наткнетесь на QR-код, когда вы в пути, особенно на те, которые говорят вам, что вы можете что-то выиграть, будьте очень осторожны. Преступники используют те же методы социальной инженерии, которые доказали свою эффективность при мошенничестве с электронной почтой.
Получение QR-кодов по электронной почте, текстовым сообщениям или сообщениям в социальных сетях также следует рассматривать с подозрением, поскольку в этих случаях могла использоваться фактическая веб-ссылка.
Даже если вы получили по почте печатный документ с QR-кодом, использование его без выполнения домашнего задания может быть опасным, как указывает Better Business Bureau .
Замененные коды
Создавать QR-коды невероятно просто, а значит, создавать стикеры с мошенническими QR-кодами также легко. Эти наклейки можно размещать поверх законных QR-кодов на плакатах, настольных табличках или практически везде, где они могут показаться законными.
Если вы видите, что QR-код на самом деле является наклейкой, а не частью плаката или плаката, будьте очень осторожны.
Они стали очень популярны в ресторанах, но я предпочитаю заходить на страницу меню вручную через веб-сайт ресторана или из информации, размещенной в Картах Google, когда я получаю указания.
Сканеры безопасности QR-кода
Если вам нужен дополнительный уровень защиты, вместо съемки QR-кодов с помощью приложения камеры смартфона используйте приложение, включающее проверку безопасности веб-ссылки.
Если на вашем смартфоне уже установлено приложение для обеспечения безопасности, проверьте, включает ли оно сканер QR-кода.
Если вы этого не сделаете, Trend Micro предлагает автономный QR-сканер для устройств Android, а у Kaspersky — для устройств iOS).
Экспертиза членов совета Forbes, работающая по лицензии. Высказанные мнения принадлежат автору.
Технический директор и директор по информационной безопасности в BeyondTrust, отвечающие за технологии компании для решений привилегированного удаленного доступа и управления уязвимостями.
Я не сканирую QR-коды, и вы тоже не должны, особенно если вы заботитесь о кибербезопасности.
QR-код – это двухмерный штрих-код, который считывается смартфоном с камерой или мобильным устройством с аналогичной технологией визуального сканирования. Он позволяет закодированному изображению содержать более 4000 символов в сжатом, машиночитаемом формате и был разработан как быстрый метод использования статического контента на основе конкретной задачи. После того как программа сгенерирует статический QR-код (в отличие от динамического QR-кода, который может изменять поля, такие как URL-адрес), этот код нельзя изменить для выполнения другой функции.
Удивительно, но это не является источником риска кибербезопасности, даже для динамических QR-кодов. Риск заключается в самом контенте, который был сгенерирован и потенциально показан для сканирования ничего не подозревающим пользователем. Как только они это сделают, это может стать прелюдией к атаке.
Чтобы углубиться, QR-код может содержать следующие риски:
Контактная информация: QR-код похож на виртуальную визитную карточку или файл VCD, который включает все ваши контактные данные, такие как номер телефона, адрес электронной почты и почтовая информация. Эта информация автоматически сохраняется в списке контактов устройства при сканировании. Если данные вредоносные, они могут вызвать эксплойт на устройстве или разместить мошенническую запись в вашем телефоне для вашей любимой авиакомпании или кредитной карты.
Телефон: при сканировании QR-кода автоматически загружается или инициируется телефонный звонок на предварительно определенный номер. Со всеми недавними атаками с использованием роботов и SIM-карт это еще один способ злоумышленника получить доступ к вашему телефону и личным данным. По сути, вы звоните кому-то, кого не знаете, и передаете информацию о своем идентификаторе вызывающего абонента.
SMS: сканирование QR-кода инициирует текстовое сообщение с предварительно определенным контактом по имени, адресу электронной почты или номеру телефона. Единственное, что нужно сделать пользователю, — это нажать «Отправить», и вы потенциально можете раскрыть себя злоумышленнику для атак с использованием SMS-спама или спровоцировать начало атаки с подделкой SIM-карты. Небольшая социальная инженерия — все, что нужно, чтобы убедить пользователя нажать кнопку отправки
Текст. При сканировании QR-кода в коде обнаруживается небольшое количество текста. Хотя это кажется низким риском, QR-коды не читаются человеком, и, пока вы не отсканируете их, вы не догадаетесь, что содержимое на самом деле просто текстовое сообщение.
Электронная почта: при сканировании QR-кода сохраняется полное сообщение электронной почты с темой и получателем. Все, что требуется, — это нажать «Отправить», и это может стать началом любой формы фишинга или целевого фишинга. Злоумышленник знает ваш адрес электронной почты, поскольку вы подтвердили его, нажав кнопку «Отправить неизвестному получателю».
Координаты местоположения. При сканировании QR-кода координаты вашего местоположения автоматически отправляются в приложение с поддержкой геолокации. Если вас беспокоит конфиденциальность ваших данных и местоположения, зачем вам это делать?
Веб-сайт или URL-адрес. Сканирование QR-кода может автоматически запустить и перенаправить вас на веб-сайт. Содержимое может содержать вредоносное ПО, эксплойт или другой нежелательный контент.
Событие календаря. При сканировании QR-кода событие автоматически добавляется в календарь устройства с возможностью напоминания. Если не считать уязвимости в приложении локального календаря, содержимое делового или личного календаря может оказаться нежелательным, а удаление повторяющейся встречи может вызвать раздражение, если оно было введено неправильно.
Профиль в социальных сетях. Сканирование этого типа QR-кода инициирует подписку на определенный профиль на таких сайтах, как Instagram или Twitter, используя личный профиль сканера. В зависимости от платформы социальных сетей учетная запись, за которой вы следите, может иметь доступ к вашей личной информации и знать, что вы следите за ними.
Сеть Wi-Fi. В этом QR-коде хранятся учетные данные Wi-Fi для автоматического подключения к сети и аутентификации. Если учесть все угрозы открытых сетей Wi-Fi и даже закрытых сетей, использующих WPA2, включение неизвестной или небезопасной сети в ваш предпочтительный список — просто плохая идея.
Наконец, обратимся к динамическим QR-кодам. Эти коды генерируются один раз, но хранящиеся в них данные могут быть отредактированы в любой момент позже. Они могут включать защиту паролем и встроенную аналитику, чтобы создатели могли отслеживать, как они используются. Динамические QR-коды могут даже добавлять простую логику, такую как перенаправление на основе устройства, чтобы иметь различное поведение для устройств Apple iOS по сравнению с Google или Android. Например, в зависимости от устройства их можно перенаправить в соответствующий магазин приложений или музыкальную библиотеку. Это само по себе позволяет злоумышленнику нацеливать эксплойты устройств и приложений на определенные ресурсы, чтобы обеспечить более высокий уровень успеха.
Если вы когда-нибудь выйдете из дома и увидите QR-код на стене, здании, экране компьютера или даже на визитной карточке, не сканируйте его. Злоумышленник может легко вставить свой вредоносный QR-код поверх реального и создать свои собственные копии, и, судя по внешнему виду, вы не поймете, является ли содержимое безопасным или вредоносным. По этой причине я никогда не сканирую QR-коды, и вы не должны этого делать.
Технологический совет Forbes – это сообщество, в которое входят только приглашенные ИТ-директора, технические директора и руководители технологических компаний. Соответствую ли я требованиям?
QR-коды уже давно окружают нас и обычно используются для хранения информации разного рода. Эти коды являются популярным средством хранения и обмена информацией, и вы можете найти их практически везде. Люди и компании использовали их для хранения и распространения информации из ресторанов, больниц и упаковки с момента их появления в 90-х годах. Они умны, эффективны и просты в использовании.
Кроме того, поскольку они позволяют виртуальный обмен информацией, рост пандемии коронавируса несколько увеличил их использование. Однако, помимо удобства, которое они предлагают, риски и опасности использования QR-кодов часто упускаются из виду и забываются.
Почему QR-коды небезопасны?
Имеется несколько инцидентов, связанных с эксплуатацией и неправильным использованием QR-кодов. Различные хакеры и злоумышленники использовали QR-коды в качестве вектора атаки, в том числе американский хакер Jester. Они преобразовали свой профиль в Twitter в QR-код, закодировав его для поиска в телефоне сканера активности на различных экстремистских платформах. Если на телефоне человека обнаруживалась какая-либо экстремистская деятельность, код программно повышал права пользователя и крадет информацию с его телефона.
Злоумышленник использовал комбинацию социальной инженерии и QR-технологии в злонамеренных целях. Кроме того, есть несколько случаев, когда злоумышленники злоупотребляют QR-кодами в различных аспектах в качестве вектора атаки.
- Встроить QR-коды с вредоносными URL-адресами
- Замените законные QR-коды скомпрометированными, просто вставив их QR-коды в уже существующие.
При этом киберпреступникам удается запускать различные атаки на людей. Ниже перечислены наиболее распространенные угрозы безопасности, связанные с QR-кодами:
1. Вредоносные атаки
Киберпреступники могут встраивать вредоносные URL-адреса в общедоступные QR-коды, чтобы любой, кто их сканирует, заражался вредоносным ПО. Иногда простое посещение веб-сайта может вызвать загрузку вредоносного ПО в фоновом режиме. Кроме того, они также могут рассылать фишинговые письма, содержащие QR-коды, которые при сканировании повторно заражают устройство пользователя вредоносным ПО.
Затем вредоносное ПО может нанести вред пользователям несколькими способами. Он может открыть лазейки для новых заражений вредоносным ПО или незаметно украсть информацию о цели и отправить ее киберпреступникам. Иногда эти вредоносные программы могут быть даже атаками программ-вымогателей, которые могут удерживать вашу информацию в заложниках с целью получения выкупа.
Кроме того, хакеры также могут использовать эти вредоносные программы для доступа к местоположению целевого устройства и списку контактов. Шпионское ПО или трекер могут следить за каждым движением жертвы или открывать их веб-камеры для прямой трансляции без их ведома.
2. Фишинговые атаки
QR-коды также используются при фишинговых атаках, известной как QPhishing. Киберпреступник может заменить законный QR-код кодом, встроенным в URL-адрес фишингового веб-сайта. Затем фишинговый веб-сайт предлагает пользователям раскрыть личную информацию, которую преступники продают через темную сеть. Кроме того, они также могут принудить вас заплатить за материалы, которые принесут им финансовую выгоду.
3. Ошибки в QR-кодах
Иногда это может быть и не злоумышленник, пытающийся использовать пользователей. Простая ошибка в приложении для чтения QR-кода.Хакеры могут использовать эту ошибку для взлома камер или датчиков в телефонах или других устройствах. Злоумышленники также могут использовать ошибку или проблему в законных URL-адресах, на которые ссылается QR-код.
Этот инцидент произошел с Heinz в сентябре 2015 года, когда их QR-код перенаправлял пользователей на неподходящие веб-сайты. QR-код был частью их рекламной кампании, которая позволяла пользователям создавать собственные этикетки для бутылок с кетчупом, как только они попадали на сайт. Однако QR-код перенаправлял пользователей на совершенно другой и неподходящий веб-сайт.
Проблема заключалась в том, что компания Heinz не продлила регистрацию доменного имени. Когда доменное имя стало доступным, его начала использовать третья сторона.
4. Финансовое воровство
QR-коды давно стали эффективным способом проведения транзакций и оплаты счетов. Их использование резко возросло во время пандемии covid-19 для продвижения «бесконтактных» методов общения и обмена информацией. QR-коды присутствуют в ресторанах и даже на заправочных станциях для оплаты клиентами. В таких общественных местах любой злоумышленник может заменить законный QR-код поддельным, чтобы транзакции поступали на его банковский счет.
Как обеспечить безопасность с помощью QR-кодов?
QR-коды популярны, особенно в период пандемии COVID-19. Эти QR-коды являются новой нормой обмена информацией, поскольку они позволяют осуществлять виртуальное общение, которое так необходимо в наши дни. Однако, учитывая связанные с этим риски безопасности, лучше всего обеспечить конфиденциальность и безопасность при использовании этих QR-кодов. Вот некоторые из лучших возможных способов снижения этих рисков:
1. Сканируйте QR-коды только надежных источников.
QR-коды часто вызывают любопытство, которым часто пользуются хакеры и преступники. Поэтому лучше сохранять осторожность и сканировать QR-коды только из надежных источников. Это обеспечит защиту от вредоносных программ и фишинговых атак.
Чтобы убедиться, что источник является надежным для доверия, пользователю необходимо проверить URL-адрес веб-сайта и безопасность, например, выполнить поиск SSL-сертификатов. Только после подтверждения того, что эти меры безопасности не нарушены, человек может обмениваться информацией или выполнять транзакции на этом конкретном сайте.
2. Используйте QR-сканеры, отображающие URL-адреса сайтов
Большинство QR-сканеров отображают веб-сайт сразу после сканирования кода. Эта функция есть в основном у сторонних сканеров, и, хотя она может показаться удобной, она опасна, поскольку ссылка может быть вредоносной. Поэтому лучше всего использовать встроенные QR-сканеры, встроенные в камеры смартфонов. Эти сканеры отображают ссылку на сайт перед ее открытием, позволяя пользователю закрыть ссылку до ее открытия, если она кажется подозрительной.
3. Регулярно обновляйте систему безопасности вашего устройства.
Обновления программного обеспечения и сторонние приложения для обеспечения безопасности помогают обеспечить защиту в долгосрочной перспективе. Установка и регулярное обновление исправлений программного обеспечения безопасности вашего устройства может помочь поддерживать безопасность. Кроме того, крайне важно включить стороннюю защиту с помощью надежного программного обеспечения для защиты от вредоносных программ. Это обеспечит максимальную защиту от злонамеренных действий и немедленно уведомит вас о подозрительных действиях, таких как несанкционированный доступ к данным устройства.
4. Будьте бдительны
Совершая онлайн-транзакции с помощью QR-кодов, сохраняйте бдительность и уделяйте пристальное внимание деталям. Внимательно проверяет QR-код, чтобы убедиться, что он не был изменен или изменен каким-либо иным образом. Если вы обнаружите, что с QR-кодом что-то не так, лучше не использовать его и найти другие способы транзакций.
Заключительные слова
Проблемы кибербезопасности постоянно обостряются, особенно в связи с распространением коронавируса. В условиях бессистемного перехода мира к оцифровке многие преступники придумали инновационные векторы атак, чтобы использовать как людей, так и организации. Риски и угрозы QR-кода являются другими примерами этой эксплуатации. Поэтому, несмотря на все эти проблемы, лучше попытаться обеспечить безопасность и конфиденциальность, сохраняя бдительность.
Читайте также: