За последнее время в мире значительно выросло количество пользователей, применяющих QR-коды в повседневной жизни. По данным зарубежных исследователей в области ИБ, около 86% владельцев смартфонов сканировали QR-код хотя бы один раз, а 36% сканируют его раз в неделю. В России этот способ распознавания и отслеживания прижился после пандемии, во время которой бесконтактные технологии стали нормой, и сейчас в стране активно внедряют систему тотального сканирования. К примеру, этой весной в крупных торговых сетях страны запускают оплату покупок по QR-кодам. Однако власти забывают, что такой код может содержать автоматическую ссылку на веб-ресурс с вирусом, а также небольшой вредоносный скрипт. Таким образом, мошенники с вредоносными QR-кодами могут посещать общественные места и заражать смартфоны и терминалы. Тем временем ничего не подозревающие пользователи будут сканировать поддельные коды и попадать на фишинговые сайты, оставляя там свои данные, которыми впоследствии воспользуются преступники для кражи данных и денег.
На Западе атаки с использованием QR-кода известны под названием Quishing. Эксперты по информационной безопасности считают, что в ближайшее время массовое QR-кодирование приведет к тотальному обману, который станет не менее популярным, чем мошенничество по телефону.
Сейчас в мире появилась масса примеров того, как злоумышленники используют вредоносные QR-коды. Данный вид мошенничества включает широкий спектр областей, в том числе онлайн-рекламу, фишинговые электронные письма и рекламные щиты. Наиболее часто преступники распространяют фейковые QR-коды через:
приложения в Google Play. В 2021 году было обнаружено 12 приложений для Android, которые мимикрировали под сканеры документов и QR-кодов и крали данные банковских приложений. Сначала такие приложения не вызывают опасений и выполняют свои функции, а спустя время предлагают загрузить обновление, с которым на устройство попадает вирус, в России это троян Anatsa;
рекламные листовки: пользователи сканируют код, чтобы получить скидку, но вместо этого у них списываются деньги со счета;
меню заведения, в котором практикуется расчет с QR-кодом. В этом случае деньги получит не бизнес, а преступник. Кроме того, мошенники размещают поддельные QR-коды прямо на столах заведений под видом сервиса, который собирает чаевые для сотрудников. Как правило, они распространяют свои QR-коды в общественных местах с большим трафиком: в аэропортах, на автобусных остановках и в общепите;
банковские страницы с оплатой. Специалисты считают, что мошенники подделывают код на странице, который сканируется пользователем, после чего в его устройство попадает вредоносное ПО, списывающее деньги со счета;
поддельные парковочные талоны, приклеенные на лобовое стекло авто, в которых содержится требование оплатить штраф за неправильную парковку;
изображения с QR-кодами. Пользователю присылают сообщение в мессенджере, что его товар с сайта объявлений купили с доставкой, а также изображение с QR-кодом — порой даже с использованием бренда портала непосредственно в QR, что повышает доверие к нему. Злоумышленник просит его отсканировать код, после чего жертва перенаправляется на фишинговый сайт, где нужно ввести данные банковской карты;
фейковые сайты портала «Госуслуг», такая схема обычно активизируется на фоне новостей об очередном локдауне и распространении в регионах QR-кодов для входа в различные заведения;
адресную книгу. С помощью QR-кода мошенники могут внести в нее свой номер под именем «Банк», чтобы попытаться выманить деньги.
QR-коды также являются распространенным средством для проведения мошенничества с криптовалютой, биткоин-адрес зачастую может быть представлен в виде QR-кода.
Специалисты «Информзащиты» рассказали, как обезопасить себя от мошенничества с QR-кодами. Эксперты рекомендуют никогда не открывать ссылки от незнакомых пользователей. Даже если отправители обещают подарки или инвестиционные возможности, вероятность того, что QR-код будет выгодным, крайне мала.
Если же сообщение поступило от кого-то знакомого или от авторитетных источников (например, из государственного учреждения), прежде чем сканировать QR-код, необходимо подтвердить подлинность письма.
Также следует установить антивирусное программное обеспечение со встроенной функцией QR-сканирования. Сканер QR проверяет ссылку перед ее открытием, что предотвращает загрузку вредоносного ПО и не позволяет пользователю стать жертвой фишинга.
«Компаниям рекомендуется использовать программное обеспечение мобильной безопасности, которое включает в себя сканер QR-кодов. Дополнительный уровень защиты поможет избежать любых неудач в области ИБ. Так как 9 из 10 инцидентов связаны с человеческой ошибкой, предупреждения о фейковых QR-кодах должны содержаться в программах обучения осведомленности о кибербезопасности», – рассказали в «Информзащите».
Как и в случае с классическим фишингом мошенники полагаются на то, что пользователь отсканирует код, не подумав прежде о его надежности. И хотя QR-коды действительно упрощают нашу жизнь, в то же время они могут нести серьезные риски для пользователей и компаний.