QR-коды безопасны для сканирования. Сам код это всего лишь закодированная ссылка, и его открытие не опаснее, чем набор того же веб-адреса вручную. Реальный риск живет в том, куда код вас отправляет - и именно там работают злоумышленники. Вредоносный QR-код может указывать на поддельную страницу входа, построенную для кражи вашего пароля, или на загрузку, которая просит вас установить что-то вредное. Так что честный ответ на вопрос "безопасны ли QR-коды" таков: сканирование безопасно, а проверять нужно целевую страницу.
У атаки теперь есть имя - квишинг (quishing), смесь "QR" и "phishing" - и она выросла, потому что обходит сразу две защиты. QR-код скрывает свою целевую страницу до момента после сканирования, поэтому старому совету проверять ссылку перед кликом сложнее следовать. А поскольку код - это изображение, он проскальзывает мимо многих почтовых фильтров, которые читают только текст и ссылки. Государственные органы и исследователи безопасности отметили этот рост, и техника теперь появляется во всем, от поддельных табличек на парковочных счетчиках до счетов-фактур.
Я смотрю на это с места специалиста по комплаенсу, где вопрос обычно звучит так: "можем ли мы разместить QR-код на чем-то клиентоориентированном, не создавая риска?" Ответ - да, с привычками. Это руководство покрывает, как работает квишинг, как читать код, прежде чем ему доверять, и что делать, если вы уже отсканировали плохой. Если вы создаете коды, а не сканируете их, как создать QR-код - это место, с которого стоит начать.
Как работает квишинг#
У квишинг-атаки та же анатомия, что и у любой фишинговой попытки, только ссылка заменена кодом. Понимание шагов делает тревожные признаки очевидными.
Злоумышленник производит QR-код, который разрешается в мошенническую целевую страницу - поддельный портал входа, страницу оплаты или предложение вредоносного ПО. Они размещают его там, где люди сканируют не задумываясь: письмо, которое выглядит так, будто оно из ИТ-отдела или банка, наклейка поверх настоящего кода на плакате или парковочном счетчике, листовка или неожиданная посылка. Жертва сканирует своим телефоном, видит страницу, которая имитирует что-то знакомое, и вводит учетные данные или данные карты. Данные уходят к злоумышленнику.
Эффективной ее делает сокрытие. С обычной фишинговой ссылкой внимательный человек может навести курсор и сначала прочитать URL. QR-код не показывает вам ничего, пока вы уже не решились на сканирование, а на маленьком экране адресную строку легко проигнорировать. Разбор квишинга от Kaspersky делает тот же вывод: скрытая целевая страница - это все преимущество. Связанный серверный трюк, который позволяет изогнуть любой редирект в сторону вредоносного сайта, - предмет статьи уязвимости открытого редиректа, и стоит знать, что эти два часто работают вместе.
Тревожные признаки вредоносного QR-кода#
Большинство квишинг-попыток можно поймать до любого вреда, читая контекст и предпросмотр вместе. Несколько сигналов делают большую часть работы.
- Вы этого не ожидали. Код, который приходит незапрошенным - в письме, сообщении, почтовом отправлении или доставленной посылке, которую вы не заказывали - заслуживает подозрения прежде всего остального.
- Это наклейка. Физический код, который выглядит добавленным поверх существующего оформления, особенно на парковочных счетчиках, плакатах и в меню, - самый распространенный трюк в реальной жизни.
- Он фабрикует срочность. Формулировки вроде "сканируйте немедленно, чтобы избежать приостановки" или "подтвердите сейчас" созданы, чтобы протолкнуть вас мимо момента, в который вы обычно бы проверили.
- Предпросмотр выглядит неправильно. После сканирования большинство телефонов показывают URL перед открытием. Орфографические ошибки, незнакомый домен, домен, который не совпадает с брендом, или сокращатель, который вы не можете развернуть - все это причины остановиться.
- Он требует учетных данных или оплаты сразу же. Легитимная целевая страница редко просит вас войти или заплатить, прежде чем что-либо показать. Поддельная начинает с этого.
Рекомендации Федеральной торговой комиссии США (FTC) и британский совет NCSC о подозрительных сообщениях сводятся к одному и тому же инстинкту: если код и его контекст не ощущаются правильными оба, не действуйте по тому, что он открывает.
Как сканировать QR-коды безопасно#
Безопасное сканирование - это короткий набор привычек, а не специальное приложение. Ни одна из них не замедляет вас сильно, как только становится рутиной.
- Используйте встроенную камеру телефона или сканер, который предпросматривает URL. Читайте этот предпросмотр перед открытием, каждый раз.
- Сверяйте домен с тем, кто, по вашему мнению, отправил код. Бренд в начале адреса должен совпадать с брендом на плакате, в письме или меню.
- Будьте осторожны с кодами, которые разрешаются в сокращатель, который вы не можете развернуть - и наоборот, доверять легче, когда код указывает на ясный брендированный домен, который вы узнаете.
- Никогда не вводите пароли, номера карт или одноразовые коды на странице, на которую вы попали только потому, что QR-код вам так велел. Перейдите на сайт самостоятельно вместо этого.
Третий пункт работает в обе стороны, и именно здесь те, кто создает коды, могут помочь тем, кто их сканирует. Брендированной короткой ссылке на домене, который клиент узнает, доверять гораздо легче, чем непрозрачной, и это часть того, почему брендирование кода - это функция безопасности, а не только дизайна - см. дизайн брендированного QR-кода.
Если вы публикуете клиентоориентированные QR-коды и хотите, чтобы они читались как заслуживающие доверия - ваш домен, ваш брендинг, целевая страница, которую вы можете перенаправить, если ею когда-нибудь злоупотребят - генерируйте отслеживаемые QR-коды с Elido, чтобы ваша аудитория видела знакомое имя, а не случайную строку.
Если вы уже отсканировали плохой#
Сканирование и предпросмотр вредоносного кода сами по себе почти ничего не делают, так что если вы остановились на предпросмотре, вы очень вероятно в порядке - закройте его и продолжайте. Уязвимость приходит со следующих шагов, и если вы их сделали, действуйте быстро.
Закройте страницу и не вводите ничего больше. Если вы уже ввели пароль, смените его на настоящем сайте и включите двухфакторную аутентификацию для этого аккаунта. Если вы ввели данные карты или банка, позвоните в банк. Если вы что-то установили или скачали, запустите проверку безопасности и удалите это. Затем сообщите об этом - в США через FTC, а в других местах через ваш национальный орган по мошенничеству или киберпреступности - и следите за затронутыми аккаунтами несколько недель, потому что украденные учетные данные часто используют позже, а не сразу. Более широкая позиция по проверке любой короткой или сокращенной целевой страницы изложена в безопасны ли сокращатели URL и в чек-листе безопасности сокращателя URL.
QR-коды стоит сохранить - с привычками#
Ничего из этого не повод отказываться от QR-кодов. Это по-настоящему полезный мост из физического в цифровое, и сам формат - не проблема, а вот социальная инженерия, обернутая вокруг него, - проблема. Та же логика применима на стороне публикации: код, которым вы управляете, направляете на собственный домен и можете измерять и перенаправлять, безопаснее для вашей аудитории, чем статический одноразовый, потому что вы можете отреагировать, если целевая страница когда-нибудь будет скомпрометирована.
Для организаций взгляд комплаенса таков, что QR-код - это просто еще один канал, несущий ссылку, и те же правила минимизации данных и резидентности применяются к тому, куда он ведет - детали в GDPR для сокращателей URL и на нашей странице доверия. Сканируйте с предпросмотром, проверяйте домен, никогда не вводите секреты на странице, к которой вас подтолкнул код, и QR-коды останутся тем, чем были задуманы: удобством, а не обузой.
Похожее в блоге#
Попробуйте Elido
Вставьте URL - получите короткую ссылку
Без регистрации. Ссылка живёт 30 дней. Зарегистрируйтесь, чтобы оставить её навсегда.
Бесплатно, без регистрации · 2 в день