Ключевые выводы
- QR-коды так же опасны, как вредоносные ссылки в электронных письмах.
- Эти коды содержат ссылки, с помощью которых можно открывать приложения, совершать телефонные звонки, делиться своим местоположением и т. д.
- Защитите себя, избегая QR-кодов и используя вместо этого ссылку.
Вместо того, чтобы брать грязное ресторанное меню голыми руками, мы привыкли к гигиене QR-кодов. Но они могут быть немного грязнее и намного опаснее, чем вы думаете.
В 2015 году немецкий любитель кетчупа отсканировал QR-код на своей бутылке Heinz и попал прямо на порносайт. Это может быть неловко, но слепое сканирование QR-кодов чревато худшими последствиями. Согласно службе управления паролями 1Password, QR-коды могут инициировать телефонные звонки, выдавать ваше местоположение, начинать телефонный звонок, раскрывающий ваш идентификатор вызывающего абонента, и многое другое. Так что мы можем с этим поделать?
«Все мы привыкли сканировать QR-код, чтобы просматривать меню или даже оплачивать счета, и теперь киберпреступники извлекают из этого выгоду, используя вредоносные QR-коды», - Крейг Лурей, эксперт по кибербезопасности и соавтор - сообщил Lifewire основатель Keeper Security по электронной почте. «Итак, то, что может выглядеть как код для оплаты парковочного счетчика, и сайт будет выглядеть невероятно легитимным, на самом деле вы вводите данные своей кредитной карты прямо в базу данных вора».
Плохие ссылки
QR-код - это просто ярлык для ссылки, которая может быть прочитана камерой вашего телефона, а затем декодирована. Нас всех учили никогда не нажимать на ссылку в электронном письме, даже если она выглядит законной. Но ссылки с QR-кодом не менее опасны и имеют дополнительную проблему: вы не можете увидеть, куда они ведут, пока не отсканируете их.
Когда мы думаем о ссылках, мы думаем об URL-адресах, которые ведут нас на веб-сайты. А в случае с порно-взломом Heinz с кетчупом проблема заключалась в том, что Heinz упустил доменное имя, и кто-то другой купил его, а затем загрузил грязными картинками. URL-адреса опасны, как показывает фишинговая афера Lurey с парковочным счетчиком, но ссылки могут делать гораздо больше.
«Одна из самых больших проблем заключается в том, что, в отличие от веб-сайтов, QR-ссылки на сокращенные URL-адреса редко идентифицируют название компании», - сказал Lifewire по электронной почте Монти Ноде, бывший командир 67-й группы киберпространственных операций ВВС США. «Человек нажимает на него и предполагает, что он предоставит меню ресторана, повестку дня конференции или даже ссылку на благотворительность, и это вполне может быть поддельный сайт или вредоносная ссылка, которая загружает код на ваш компьютер или мобильное устройство."
На наших телефонах ссылки могут запускать приложения. Например, в приложении карты открывается ссылка на Google Maps. Ссылки также могут инициировать телефонные звонки, добавлять контакты в вашу адресную книгу (и, следовательно, делать будущие звонки и электронные письма законными), они могут делиться вашим местоположением и т. д.
Одна изобретательная афера включает в себя бездельника, который модифицирует существующий законный QR-код и использует его для перенаправления жертв. Рекламодатель Роберт Бэрроуз поделился историей о своем Video Enhanced Gravemarker.
«Я понял, что может быть несколько проблем с QR-кодами на надгробиях», - сказал Бэрроуз Lifewire по электронной почте. «Что произойдет, если чернила на QR-коде со временем испортятся? Вы перейдете по ссылке на совершенно другой веб-сайт? Что произойдет, если кто-то изменит QR-код с помощью маркера?»
То же самое может произойти с рекламными плакатами, меню или любым QR-кодом.
Защитите себя
Первый шаг в защите себя – это быть в курсе. Никогда не сканируйте QR-код, если вы не уверены, что он безопасен. Что на самом деле означает, никогда не сканируйте QR-код.
Но если вам нужно сканировать, чтобы зарегистрироваться в ресторане или баре или просмотреть меню, сначала убедитесь, что код не был подделан и не закрыт наклейкой с другим QR-кодом. Один из советов - отключить автоматическое сканирование QR-кода в настройках телефона, если это возможно. Но на самом деле лучшая защита - быть осторожным.
«Когда это возможно, как и в случае с потенциальными фишинговыми ссылками, рекомендуется переходить непосредственно на веб-сайт провайдера для получения информации, которую вы ищете», - сказал Lifewire по электронной почте Дэйв Кандифф, директор по информационной безопасности компании Cyvatar, занимающейся кибербезопасностью. «В большинстве случаев информация размещается в Интернете и доступна непосредственно на веб-сайте провайдера где-то».
Если ссылка недоступна, не сканируйте ее. Это менее удобно, но не так неудобно, как дни или недели разговоров о последствиях вредоносной ссылки.
