4 февраля 2013

QR-коды – удобные и опасные

Советы Угрозы

Обновлено 30 января 2015.

Характерные квадратные картинки, напечатанные на рекламе, в журналах и на объявлениях, оказались самым простым и дешевым способом связать реальный и виртуальный мир – достаточно сфотографировать QR-код камерой телефона, чтобы перейти на веб-сайт с информацией, сохранить контактный телефон или загрузить приложение. Эта простота понравилась не только маркетологам, но и хакерам всех мастей, поэтому, наводя камеру на QR-код, надо быть весьма осторожным.

Опасные QR-Коды: все о qrishing

QR-код (от английского «Quick Response» – «быстрый отклик») может содержать любую текстовую информацию и ссылки на интернет-источники. Он давно популярен в странах Азии и только теперь обретает широкую известность в странах Европы и Америке. Его можно встретить повсеместно: на рекламных плакатах, на продуктах в магазинах, на веб-сайтах для компьютеров, на купонах, билетах – список бесконечен. Одновременно становятся популярны и мошеннические схемы, связанные с ним. Например, все чаще находятся умельцы, аккуратно  наклеивающие свой вредоносный QR-код поверх официального. Это явление получило название QRishing по аналогии с phishing.

Художественный QR-код

QR-коды можно украшать, обычно это не мешает их распознаванию смартфоном.

Легко представить, как опасен такой QR-код, наклеенный в общественном месте – в метро, аэропорту, на вокзале или же в здании банка, например на банкомате. Жертва испытывает к рекламе доверие, поэтому обычно спокойно переходит по отсканированной ссылке. Ведь трудно вообразить, что в здании крупного банка может подстерегать опасность.

Итак, ссылка сначала выводится на экран смартфона, но злоумышленники используют сервисы сокращения ссылок (bit.ly и другие), чтобы замаскировать конечный адрес, сохраненный в QR-коде. А он может вести на страницу с вредоносным ПО, ворующим все логины и пароли, сохраненные в браузере, или же на фишинговый cайт. Дело осложняется еще тем, что в мобильном браузере не всегда можно увидеть полную адресную строку открытой страницы, что существенно затрудняет выявление обмана. А мобильные устройства зачастую хуже защищены от вирусов.

Вредоносные коды наклеивают поверх легитимной рекламы, поэтому жертва доверяет открывающимся сайтам и приложениям

Чтобы избежать подобной угрозы, следуйте трем простым советам:

  1. Будьте внимательны – перед сканированием QR-кода проверьте, что он не наклеен поверх другого. В случае сомнений не сканируйте.
  2. После открытия магазина приложений или веб-сайта в браузере убедитесь, что QR-код привел вас  туда, куда вы ожидали. Проверьте, что приложение (если речь идет об установке) действительно создано компанией, рекламу или информацию которой вы видели. Проверьте рейтинг приложения и отзывы пользователей. Если их мало или нет вообще, лучше не торопиться с установкой. Если код приводит на веб-сайт, проверьте его адрес до самого конца, чтобы не стать жертвой фишинга. Особенно тщательно проверяйте адрес, если на странице требуется ввести свои учетные данные, например от почты или интернет-банкинга.
  3. Если ваш смартфон допускает установку защитных приложений, проверяющих сайты на вредоносное содержимое, а загруженные программы – на вирусы, обязательно установите такое приложение. Особенно актуален этот совет для Android-смартфонов, для которых написаны уже тысячи вирусов.

В конце января 2015 года появился более простой и удобный способ уберечься от вредоносных ссылок в QR-кодах — для этого достаточно установить на смартфон приложение Kaspersky QR Scanner.

Kaspersky QR Scanner at Google Play Kaspersky QR Scanner at Apple App Store

Работает оно точно так же, как любое другое приложение для считывания QR-кодов. С той лишь разницей, что Kaspersky QR Scanner проверяет все содержащиеся в QR-кодах ссылки и обязательно предупредит вас, если переход по ссылке грозит опасностями.