Elido
6 мин чтенияСоответствие

Безопасны ли QR-коды? Квишинг (quishing) и как оставаться защищенным

QR-коды безопасны для сканирования - риск в том, куда они ведут. Как работает квишинг, как распознать вредоносный QR-код и что делать, если вы отсканировали поддельный.

Sasha Ehrlich
Compliance · EU residency
QR-код рядом с предупреждающим треугольником и щитом показывает, что само сканирование безопасно, но нужно проверять, куда ведёт QR-код, чтобы избежать квишинга (quishing), в фирменной палитре Elido

QR-коды безопасны для сканирования. Сам код это всего лишь закодированная ссылка, и его открытие не опаснее, чем набор того же веб-адреса вручную. Реальный риск живет в том, куда код вас отправляет - и именно там работают злоумышленники. Вредоносный QR-код может указывать на поддельную страницу входа, построенную для кражи вашего пароля, или на загрузку, которая просит вас установить что-то вредное. Так что честный ответ на вопрос "безопасны ли QR-коды" таков: сканирование безопасно, а проверять нужно целевую страницу.

У атаки теперь есть имя - квишинг (quishing), смесь "QR" и "phishing" - и она выросла, потому что обходит сразу две защиты. QR-код скрывает свою целевую страницу до момента после сканирования, поэтому старому совету проверять ссылку перед кликом сложнее следовать. А поскольку код - это изображение, он проскальзывает мимо многих почтовых фильтров, которые читают только текст и ссылки. Государственные органы и исследователи безопасности отметили этот рост, и техника теперь появляется во всем, от поддельных табличек на парковочных счетчиках до счетов-фактур.

Я смотрю на это с места специалиста по комплаенсу, где вопрос обычно звучит так: "можем ли мы разместить QR-код на чем-то клиентоориентированном, не создавая риска?" Ответ - да, с привычками. Это руководство покрывает, как работает квишинг, как читать код, прежде чем ему доверять, и что делать, если вы уже отсканировали плохой. Если вы создаете коды, а не сканируете их, как создать QR-код - это место, с которого стоит начать.

Как работает квишинг#

У квишинг-атаки та же анатомия, что и у любой фишинговой попытки, только ссылка заменена кодом. Понимание шагов делает тревожные признаки очевидными.

Злоумышленник производит QR-код, который разрешается в мошенническую целевую страницу - поддельный портал входа, страницу оплаты или предложение вредоносного ПО. Они размещают его там, где люди сканируют не задумываясь: письмо, которое выглядит так, будто оно из ИТ-отдела или банка, наклейка поверх настоящего кода на плакате или парковочном счетчике, листовка или неожиданная посылка. Жертва сканирует своим телефоном, видит страницу, которая имитирует что-то знакомое, и вводит учетные данные или данные карты. Данные уходят к злоумышленнику.

Эффективной ее делает сокрытие. С обычной фишинговой ссылкой внимательный человек может навести курсор и сначала прочитать URL. QR-код не показывает вам ничего, пока вы уже не решились на сканирование, а на маленьком экране адресную строку легко проигнорировать. Разбор квишинга от Kaspersky делает тот же вывод: скрытая целевая страница - это все преимущество. Связанный серверный трюк, который позволяет изогнуть любой редирект в сторону вредоносного сайта, - предмет статьи уязвимости открытого редиректа, и стоит знать, что эти два часто работают вместе.

Квишинг-атака, показанная по этапам: злоумышленник создает вредоносный QR-код, размещает его как наклейку поверх настоящего, жертва сканирует и попадает на поддельную страницу входа, которая собирает учетные данные

Тревожные признаки вредоносного QR-кода#

Большинство квишинг-попыток можно поймать до любого вреда, читая контекст и предпросмотр вместе. Несколько сигналов делают большую часть работы.

  • Вы этого не ожидали. Код, который приходит незапрошенным - в письме, сообщении, почтовом отправлении или доставленной посылке, которую вы не заказывали - заслуживает подозрения прежде всего остального.
  • Это наклейка. Физический код, который выглядит добавленным поверх существующего оформления, особенно на парковочных счетчиках, плакатах и в меню, - самый распространенный трюк в реальной жизни.
  • Он фабрикует срочность. Формулировки вроде "сканируйте немедленно, чтобы избежать приостановки" или "подтвердите сейчас" созданы, чтобы протолкнуть вас мимо момента, в который вы обычно бы проверили.
  • Предпросмотр выглядит неправильно. После сканирования большинство телефонов показывают URL перед открытием. Орфографические ошибки, незнакомый домен, домен, который не совпадает с брендом, или сокращатель, который вы не можете развернуть - все это причины остановиться.
  • Он требует учетных данных или оплаты сразу же. Легитимная целевая страница редко просит вас войти или заплатить, прежде чем что-либо показать. Поддельная начинает с этого.

Рекомендации Федеральной торговой комиссии США (FTC) и британский совет NCSC о подозрительных сообщениях сводятся к одному и тому же инстинкту: если код и его контекст не ощущаются правильными оба, не действуйте по тому, что он открывает.

Чек-лист в две колонки: красные флаги вредоносного QR-кода, такие как неожиданные коды, наклейки, срочные формулировки и несовпадающие домены, рядом с безопасными привычками вроде предпросмотра URL и отказа вводить секреты, к которым вас подтолкнул код

Как сканировать QR-коды безопасно#

Безопасное сканирование - это короткий набор привычек, а не специальное приложение. Ни одна из них не замедляет вас сильно, как только становится рутиной.

  1. Используйте встроенную камеру телефона или сканер, который предпросматривает URL. Читайте этот предпросмотр перед открытием, каждый раз.
  2. Сверяйте домен с тем, кто, по вашему мнению, отправил код. Бренд в начале адреса должен совпадать с брендом на плакате, в письме или меню.
  3. Будьте осторожны с кодами, которые разрешаются в сокращатель, который вы не можете развернуть - и наоборот, доверять легче, когда код указывает на ясный брендированный домен, который вы узнаете.
  4. Никогда не вводите пароли, номера карт или одноразовые коды на странице, на которую вы попали только потому, что QR-код вам так велел. Перейдите на сайт самостоятельно вместо этого.

Третий пункт работает в обе стороны, и именно здесь те, кто создает коды, могут помочь тем, кто их сканирует. Брендированной короткой ссылке на домене, который клиент узнает, доверять гораздо легче, чем непрозрачной, и это часть того, почему брендирование кода - это функция безопасности, а не только дизайна - см. дизайн брендированного QR-кода.

Если вы публикуете клиентоориентированные QR-коды и хотите, чтобы они читались как заслуживающие доверия - ваш домен, ваш брендинг, целевая страница, которую вы можете перенаправить, если ею когда-нибудь злоупотребят - генерируйте отслеживаемые QR-коды с Elido, чтобы ваша аудитория видела знакомое имя, а не случайную строку.

Если вы уже отсканировали плохой#

Сканирование и предпросмотр вредоносного кода сами по себе почти ничего не делают, так что если вы остановились на предпросмотре, вы очень вероятно в порядке - закройте его и продолжайте. Уязвимость приходит со следующих шагов, и если вы их сделали, действуйте быстро.

Закройте страницу и не вводите ничего больше. Если вы уже ввели пароль, смените его на настоящем сайте и включите двухфакторную аутентификацию для этого аккаунта. Если вы ввели данные карты или банка, позвоните в банк. Если вы что-то установили или скачали, запустите проверку безопасности и удалите это. Затем сообщите об этом - в США через FTC, а в других местах через ваш национальный орган по мошенничеству или киберпреступности - и следите за затронутыми аккаунтами несколько недель, потому что украденные учетные данные часто используют позже, а не сразу. Более широкая позиция по проверке любой короткой или сокращенной целевой страницы изложена в безопасны ли сокращатели URL и в чек-листе безопасности сокращателя URL.

QR-коды стоит сохранить - с привычками#

Ничего из этого не повод отказываться от QR-кодов. Это по-настоящему полезный мост из физического в цифровое, и сам формат - не проблема, а вот социальная инженерия, обернутая вокруг него, - проблема. Та же логика применима на стороне публикации: код, которым вы управляете, направляете на собственный домен и можете измерять и перенаправлять, безопаснее для вашей аудитории, чем статический одноразовый, потому что вы можете отреагировать, если целевая страница когда-нибудь будет скомпрометирована.

Для организаций взгляд комплаенса таков, что QR-код - это просто еще один канал, несущий ссылку, и те же правила минимизации данных и резидентности применяются к тому, куда он ведет - детали в GDPR для сокращателей URL и на нашей странице доверия. Сканируйте с предпросмотром, проверяйте домен, никогда не вводите секреты на странице, к которой вас подтолкнул код, и QR-коды останутся тем, чем были задуманы: удобством, а не обузой.

Похожее в блоге#

Попробуйте Elido

Вставьте URL - получите короткую ссылку

Без регистрации. Ссылка живёт 30 дней. Зарегистрируйтесь, чтобы оставить её навсегда.

Бесплатно, без регистрации · 2 в день

Попробуйте Elido

URL-сокращатель с хостингом в ЕС: собственные домены, глубокая аналитика, открытый API. Бесплатный тариф - без банковской карты.

Теги
are qr codes safe
quishing
qr code phishing
qr code scam
malicious qr code
qr code security

Читать дальше