QR-код — это сокращение произошедшее от слова quick response (быстрый отклик) — в сегодняшнем понимании символьный матричный код изображенный в виде квадратной картинки.
По сути, QR коды — это способ размещения информации. Если раньше они применялись в основном в производстве и несли информацию о товаре, времени производстве дате, партии и т.д то сейчас с появление смартфонов QR коды стали применяться и в других сферах.
В настоящее время QR коды активно стали применяться в платежах, переводах денежных средств, в мобильных приложения для видеонаблюдения и т.д.
Но насколько безопасен QR код? В них содержится текстовая информация в виде знаков, букв и цифр. Следовательно в QR код можно зашифровать, ссылку на фишинговый сайт, платежные реквизиты, ссылку на «заражённое» приложение.
Проблема в том, что информация, вшитая в QR-код, не проверяется пользователями. А значит, злоумышленники могут легко размещать собственные сгенерированные коды, которые перенаправляют деньги плательщика на их счета или замещают надлежащие коды организаций.
Создание QR-кодов весьма быстрая и простая задача. В виду того, что технология является открытой, любой программист может написать свой QR-генератор, либо воспользоваться одним из уже имеющихся.
Процесс создания кода прост. Пользователь подставляет свою конечную ссылку, генератор почти мгновенно выдает ему ее визуальный аналог в форме QR.
Далее изображение QR-кода можно уже использовать по вашему назначению — пересылать, распечатывать, указывать на визитке и т.д.
Таким образом, получаются два вида ссылок: прямые и непрямые. Первые позволяют получить информацию сразу же, перейдя по ссылке, вторые — установив какое-то специальное приложение для потребления последующего контента.
И зачастую именно вторые несут в себе опасность. Ведь QR-код также может ссылаться на фальшивую (фишинг) или заранее зараженную страницу, где расположен, троян для смартфона, который, к примеру будет рассылать платные SMS.
К сожалению, сегодня довольно часто встречаются случаи, когда оригинальные QR-коды заменяются вредносными. Эта практика имеет много общего с фишингом, и даже получила свое название — куаришинг.
Не нужно сильно напрягать воображение, чтобы увидеть, как опасны могут быть такие фальшивые QR-коды – тем более, что они могут быть размещены в публичных местах: метро, аэропорт, железнодорожный вокзал, банк или даже банкомат.
Большинство людей по-прежнему верят рекламе и не в состоянии представить себе, что в здании популярного банка может присутствовать какая-то угроза.
Абсолютно также дела обстоят с ссылками на фишинговый сайт цель которых получить идентификационные данные пользователей. Сюда относятся кражи паролей, номеров кредитных карт, банковских счетов и другой конфиденциальной информации.
Другой из схем преступников является использование QR кода для того, чтобы обычные пользователи вместе с программами или играми, скачивали на свой телефон вирусные программы.
Также можно скомпрометировать учетные записи пользователей сервисов, реализующих аутентификацию с помощью QR-кода. Новую технику мошенничества называется QRLJacking. Суть ее такова:
Многие сайты и приложения используют проект открытого стандарта для безопасного входа на web-сайт и аутентификации. Данная система на основе QR-кода позволяет пользователю заходить в свою учетную запись без ввода логина и пароля. Ресурсы с поддержкой этой системы отображают на своей странице QR-код, сканируя который пользователи попадают на свой аккаунт.
Подобный тип аутентификации считается весьма безопасным, однако на самом деле это не так. Все, что необходимо злоумышленнику для успешной атаки, это убедить жертву в необходимости сканирования QR-кода.
Для этого злоумышленник инициализирует клиентскую QR-сессию и копирует «вход с QR-кода» на фишинговую страницу. Затем атакующий отправляет страницу жертве.
Если пользователь сканирует код с помощью определенного мобильного приложения, приложение отправляет секретный токен для завершения процесса аутентификации. В результате злоумышленник получает полный контроль над учетной записью жертвы.
Но и это еще не все. Сегодня QR коды часто размещаются на видном месте. То есть, любой злоумышленник, имеющий мобильный телефон, может его отсканировать, а затем воспользоваться в своих целях.
QR коды обычно размещаются на камерах видеонаблюдения и упаковке к ним. Это значит, что еще в магазине злоумышленник может отсканировать коды камер, к которым после их продажи и установки, он легко получит доступ.
Это значит, что в распоряжении хакера или преступника окажутся камеры, за видео которых он сможет следить, либо же просто использовать камеры для создания сети ботнет. К чему это может привести, вы можете прочитать у нас на сайте, перейдя по этой ссылке.
QR код используется и как средство авторизации. Беда в том, что напечатать его можно на обычном принтере, число комбинаций кода — десятки тысяч.
Чтобы скопировать QR, достаточно сфотографировать камерой смартфона ключ у другого человека. При этом владелец может об этом и не знать. Сканеру будет все равно, в каком виде ему показали QR: на идентификационной карточке пользователя или с экрана телефона. И это еще одна брешь в безопасности.
Сегодня можно увидеть QR код везде: на билбордах, товарах, выставленных на прилавках, сайтах, в различных билетах и купонах, на упаковке товаров и т.д. Однако, параллельно растет и рынок мошенничества с использованием технологии QR-код.
Что говорить, если видеокамеры, размещенные в общедоступных местах красуются с QR кодом на корпусе. О какой защите системы видеонаблюдения может идти речь, если каждый мошенник может отсканировать его, а затем использовать в мобильном приложении для доступа к чужим видеофайлами и системе в целом?
Конечно, сам по себе QR код вреда не несет, а вот информация которая в нем закодирована может привести к печальным последствиям. Чтобы этого избежать, следуйте шести простым принципам:
1. Используйте только QR-коды, дающие возможность видеть полностью URL перед тем, как перейти на предлагаемый сайт.
2. Никогда не вводите свои персональные данные на веб-сайтах, на которые вы перешли при помощи QR-кода, так как он может оказаться мошенническим.
3. Прежде чем сканировать QR-код, убедитесь, что он не перекрыт другим кодом, приклеенным, к примеру, на коробку с видеокамерой. Если у вас есть сомнения – проверьте его ещё раз.
4. После открытия Google Play, App Store или веб-страницы в браузере убедитесь, что QR-код привел Вас в то место, куда Вы хотели попасть. Если вы собираетесь установить какую-то программу, убедитесь в том, что она была разработана компанией, рекламу которой вы видели или о которой читали информацию. Проверьте оценки и комментарии от пользователей. Если их мало или нет, то лучше подождать с установкой приложения. Если код ведёт на сайт, проверьте полный адрес, в противном случае вы можете стать жертвой фишинга. Соблюдайте особую осторожность, особенно тогда, когда вы планируете ввести свои личные данные или логины и пароли.
5. Если ваш смартфон поддерживает установку приложений безопасности, которые проверяют сайты на наличие вредоносного содержимого, а также проверяют достоверность приложений – установите их без колебаний. К примеру, можно установить на смартфон защищённый сканер QR-кодов. Один из лучших сегодня — Kaspersky QR Scanner. Он предназначен как для устройств с операционной системой iOS, так и Android, и в обоих случаях обеспечивает эффективное сканирование и множество функций безопасности. Приложение работает, как и большинство других инструментов для сканирования QR-кодов, однако, кроме того, использует смарт-функции: мгновенная проверка ссылок, размещенных в кодах, а также уведомления о возможных угрозах на целевой странице.
6. Обязательно установите на своем мобильное устройство антивирус. Он поможет вам быстро обнаружить проблему, связанную с проникновением злоумышленников в ваш мобильный девайс.
Надеемся, эта статья поможет вам защитить свои системы видеонаблюдения и не только их и приведет к пониманию того, что использование QR кодов нужно свести к минимуму в своей повседневной жизни. Главное помнить — они опасны!
