QR-коды окружают нас повсюду. Они предлагают быстрый способ принять участие в опросах, загрузить полезные материалы и посетить интересующие веб-сайты. В конце концов, навести телефон на картинку намного проще, чем ввести раздражающе длинный URL-адрес.
Но за самим их удобством скрывается существенный недостаток. С обычными ссылками можно обнаружить ловушку невооруженным глазом. Красные флажки хорошо известны: опечатки или лишние символы в адресе сайта, замаскированный редирект, странные доменные зоны и так далее. Но что касается QR-кодов, можно только догадываться, куда вас может привести эта мешанина черных квадратов.
На убедительном примере в этом посте мы объясним, как эти безобидные на вид квадраты могут представлять угрозу и как не стать жертвой мошенников. В качестве примера можно привести историю женщины, которая потеряла 20 000 долларов США, отсканировав QR-код при покупке пузырькового чая.
Пузырьковый чай за 20 000 долларов
Многие сталкивались с акциями в кофейнях, когда посетителям предлагается пройти короткий опрос в обмен на бесплатный напиток или скидку на покупку. Это часто требует сканирования QR-кода на стойке — привычное, почти рутинное действие. Что может пойти не так?
Это то, что, должно быть, думал и 60-летний сингапурец. Чтобы получить бесплатную чашку пузырькового чая, она отсканировала наклейку с QR-кодом на стекле двери кофейни. Как выяснилось позже, наклейка была наклеена злоумышленниками. Мошеннический код содержал ссылку для загрузки стороннего приложения для Android, чтобы, по ее мнению, пройти опрос. Однако приложение было вредоносным.
После установки программа запрашивала доступ к камере и микрофону, а также включала службы специальных возможностей Android. Этот встроенный Android-сервис позволяет злоумышленникам просматривать и контролировать экран жертвы, а также отключать распознавание лиц и отпечатков пальцев — таким образом, злоумышленники могут заставить жертву ввести пароль от банковского приложения вручную, если это необходимо. Мошенникам оставалось только ждать, пока она войдет в систему, перехватить учетные данные, а затем использовать их для перевода всех денег на свои счета.
Как не стать жертвой
Поскольку нецелесообразно (да и не обязательно) вообще избегать сканирования QR-кодов, мы рекомендуем следующее:
- Внимательно проверяйте адреса сайтов, ссылки на которые есть внутри QR-кодов, и ищите типичные красные флажки.
- Убедитесь, что ожидаемый и фактический контент совпадают. Например, если код должен был вести к опросу, то по логике должна быть какая-то форма с вариантами ответов. Если нет, немедленно закройте сайт. Но даже если страница не вызывает подозрений, все равно стоит быть осторожным — это может быть качественная подделка.
- Не загружайте приложения через QR-коды. Как правило, добросовестные приложения всегда можно найти в Google Play, App Store или любой другой официальной платформе. Приложения из сторонних источников ни в коем случае не следует устанавливать.
- Защитите свои устройства с помощью Надежное решение для обеспечения безопасности. Встроенный QR-сканер позволяет проверить ссылку, спрятанную в лабиринте квадратов. Кроме того, наше решение блокирует попытки посещения вредоносных сайтов и защищает вас от множества других угроз в киберпространстве.