(Не)безопасные QR-коды

QR-коды висят на каждом углу. С помощью их предлагают участвовать в опросах, скачивать полезные материалы, переходить на заинтересовавшие сайты. Ведь навести телефон на картинку значительно проще, чем долго вбивать руками адрес какого-то сайта.

Однако за очевидным удобством скрывается существенный недостаток. В случае с обычными ссылками заметить подвох можно невооруженным взглядом. Красные флаги давно известны: опечатки или лишние символы в адресе сайта, замаскированный редирект, странные доменные зоны и так далее. А вот понять по скоплению черных квадратов, куда ты попадешь и не стоит ли воздержаться от перехода, —невозможно.

В этом посте покажем на наглядном примере, чем опасны безобидные с виду квадратики, и расскажем, как не стать жертвой мошенничества. А поможет нам в этом история женщины, которая потеряла $20 000, отсканировав QR-код при покупке бабл ти.

Бабл ти за $20 000

Многие наверняка сталкивались с акциями в различных кофейнях, когда посетителям предлагают пройти небольшой опрос и получить за это в подарок напиток или скидку на покупку. Для этого зачастую нужно отсканировать QR-код на кассе — привычное и почти рутинное действие. Казалось бы, что может пойти не так?

Наверняка так думала и шестидесятилетняя жительница Сингапура. Чтобы получить бесплатный бабл ти, она отсканировала QR-код с наклейки на стеклянной двери кофейни. Как выяснилось позже, стикер был налеплен злоумышленниками. Внутри кода оказалась ссылка на скачивание стороннего приложения для Android, в котором ей якобы и предстояло пройти опрос. Приложение оказалось зловредным.

После установки программа потребовала доступ к камере и микрофону пользователя, а также попросила подключить Android Accessibility Service. Этот встроенный в Android системный сервис позволяет преступникам не только видеть и контролировать экран жертвы, но и отключать функции распознавания лица и отпечатка пальца, заставляя тем самым жертву ввести пароль от банковского приложения. После этого мошенникам оставалось только дождаться, когда женщина решит воспользоваться услугами своего банка, перехватить учетные данные и позднее применить их самостоятельно, чтобы перевести все деньги на свои счета.

Как не стать жертвой?

Поскольку совсем отказаться от сканирования QR-кодов вряд ли получится (да и не нужно это на самом деле), мы рекомендуем:

• Внимательно проверять адреса сайтов, на которые ведут ссылки внутри QR-кодов, и искать типичные красные флаги.
• Анализировать, соответствуют ли ресурсы заявленному содержанию. Например, если код должен был привести на какой-то опрос, логично, что по ссылке должна быть какая-то форма с вариантами ответов. В противном случае лучше сразу закрыть сайт. Но даже если страница не вызывает у вас подозрений, следует быть осторожным — перед вами может быть качественная подделка, поэтому смотрите пункт первый. А также прочитайте наш пост о том, как распознать фальшивый сайт.
• Не скачивать приложения по QR-коду. Ведь, как правило, их и так несложно найти по названию в Google Play, App store или любом другом официальном магазине. А из сторонних источников их и вовсе не стоит устанавливать в любом случае.
• Обезопасить свои устройства надежным защитным решением со встроенным QR-сканером, позволяющим проверить ссылку, спрятанную в скоплении квадратиков. Также наше решение заблокирует попытки перехода на вредоносный сайт и убережет от изобилия других угроз в Интернете.