Сканування цього QR-коду може бути більш небезпечним, ніж ви уявляєте

April 13, 2022
ВРізне

QR-коди так само небезпечні, як і шкідливі посилання в електронних листах.
Ці коди містять посилання, за допомогою яких можна відкривати програми, починати телефонні дзвінки, повідомляти своє місцезнаходження тощо.
Захистіть себе, уникаючи QR-кодів, а замість цього використовуйте посилання.

Вітрина кафе з QR-кодом, надрукованим на білому папері, застрягла у вітрині. — Ребекка Хауснер / Unsplash

Замість того, щоб брати брудне меню ресторану голими руками, ми звикли до гігієни QR-кодів. Але вони можуть бути трохи бруднішими і набагато небезпечнішими, ніж ви думаєте.

У 2015 році німецький любитель кетчупу відсканував QR-код на їхній пляшці Heinz і був відправлений прямо на порносайт. Це може бути збентеженим, але є й гірші наслідки для сліпого сканування QR-кодів. Згідно з менеджером паролів сервіс 1Password, QR-коди можуть викликати телефонні дзвінки, видати ваше місцезнаходження, почати телефонний дзвінок, який розкриває ваш ідентифікатор абонента тощо. Отже, що ми можемо з цим зробити?

«Ми всі звикли сканувати QR-код, щоб переглядати меню або навіть оплачувати рахунки, і тепер кіберзлочинці наживаються на цьому за допомогою шкідливих QR-кодів»,

Крейг Лурі, експерт з кібербезпеки та співзасновник Keeper Security, повідомив Lifewire електронною поштою. «То що може виглядати як код для оплати паркомату, і сайт буде виглядати неймовірно легітимним, ви насправді вводите дані своєї кредитної картки безпосередньо в базу даних злодія».

Погані посилання

QR-код — це лише ярлик на посилання, яке можна прочитати камерою вашого телефону, а потім розшифрувати. Нас усіх навчили ніколи не натискати посилання в електронному листі, навіть якщо воно виглядає законним. Але посилання з QR-кодами так само небезпечні і мають додаткову проблему: ви не можете побачити, куди вони ведуть, доки не відскануєте їх.

Коли ми думаємо про посилання, ми думаємо про URL-адреси, які ведуть нас на веб-сайти. А у випадку порно-злому кетчупу Heinz це була проблема — Heinz дозволив ім’я домену втратити чинність, і хтось інший купив його, а потім завантажив брудними зображеннями. URL-адреси небезпечні, як показує фішингова афера Лурі з паркоматром, але посилання можуть зробити набагато більше.

«Одна з найбільших проблем полягає в тому, що, на відміну від веб-сайтів, QR-посилання на скорочені URL-адреси рідко ідентифікують назву компанії», Монті КнодеПро це повідомив Lifewire по електронній пошті колишній командир 67-ї кіберпросторової групи ВВС США. «Людина натискає на нього і припускає, що він надасть меню ресторану, програму конференції або навіть посилання на благодійність, і це цілком може бути підроблений сайт або шкідливе посилання, яке завантажує код на ваш комп’ютер чи мобільний телефон пристрій».

На наших телефонах посилання можуть запускати програми. Наприклад, у програмі карти відкривається посилання на Карти Google. Посилання також можуть ініціювати телефонні дзвінки, додавати контакти до вашої адресної книги (і, отже, робити майбутні дзвінки та електронні листи законними), вони можуть повідомляти ваше місцезнаходження тощо.

Одне геніальне шахрайство полягає в тому, що бездоганно змінює існуючий законний QR-код і використовує його для перенаправлення жертв. Рекламодавець Роберт Барроуз поділився історією про його покращений відеомобильний маркер.

«Я зрозумів, що може бути кілька проблем із QR-кодами на надгробках», — сказав Барроуз Lifewire електронною поштою. «Що станеться, якщо чорнило на QR-коді з часом розпадеться? Ви в кінцевому підсумку будете посилатися на зовсім інший веб-сайт? Що станеться, якщо хтось змінить QR-код маркером?»

Те ж саме може статися з рекламними плакатами, меню чи будь-яким QR-кодом.

Хтось за допомогою смартфона сканує QR-код для меню ресторану. — ЛеоПатрізі / Getty Images

Захист себе

Перший крок у захисті – це усвідомлення. Ніколи не скануйте QR-код, якщо ви не впевнені, що він безпечний. Це насправді означає, що ніколи не скануйте QR-код.

Але якщо вам потрібно сканувати, щоб зареєструватися в ресторані чи барі чи переглянути меню, спершу переконайтеся, що код не підроблено чи не покрито наклейкою іншого QR-коду. Одна порада – вимкнути автоматичне сканування QR-коду в налаштуваннях телефону, якщо це можливо. Але насправді найкращий захист – це бути обережним.

«Якщо це можливо, як і у випадку з потенційними фішинговими посиланнями, рекомендуємо перейти безпосередньо на веб-сайт постачальника, щоб отримати інформацію, яку ви шукаєте», Дейв КандіффCISO компанії з кібербезпеки Cyvatar, повідомив Lifewire електронною поштою. «У більшості випадків інформація розміщується в Інтернеті та доступна безпосередньо на веб-сайті постачальника».

Якщо посилання недоступне, не скануйте його. Це набагато менш зручно, але не так незручно, як днями чи тижнями говорити про наслідки шкідливого посилання.