QR-коди безпечно сканувати. Сам код це лише закодований лінк, і його відкриття не небезпечніше, ніж набрати ту саму вебадресу вручну. Справжній ризик живе в тому, куди код вас відправляє - і саме там діють зловмисники. Шкідливий QR-код може вказувати на підроблену сторінку входу, побудовану, щоб украсти ваш пароль, або на завантаження, яке просить встановити щось шкідливе. Тож чесна відповідь на питання "чи безпечні QR-коди": скан безпечний, призначення - ось що вам треба перевірити.
У атаки тепер є назва - квішинг (quishing), поєднання "QR" і "phishing" - і вона зросла, бо обходить два захисти одночасно. QR-код приховує своє призначення до того, як ви відскануєте, тож стара порада оглядати лінк перед кліком стає важчою для виконання. А оскільки код це зображення, він прослизає повз багато поштових фільтрів, що читають лише текст і лінки. Урядові та дослідники безпеки відзначили це зростання, і техніка тепер з'являється всюди - від фейкових знаків паркоматів до рахунків.
Я дивлюся на це з місця комплаєнсу, де питання зазвичай таке: "чи можемо ми розмістити QR-код на чомусь, що бачить клієнт, не створюючи ризику?" Відповідь - так, зі звичками. Цей посібник охоплює, як працює квішинг, як прочитати код перш ніж довіритися йому, і що робити, якщо ви вже відсканували поганий. Якщо ви створюєте коди, а не скануєте їх, як створити QR-код - місце, з якого почати.
Як працює квішинг#
Атака квішингу має ту саму анатомію, що й будь-яка спроба фішингу, з лінком, заміненим на код. Розуміння кроків робить попереджувальні знаки очевидними.
Зловмисник створює QR-код, який розв'язується до шахрайського призначення - фейкового порталу входу, сторінки оплати чи запиту на шкідливе ПЗ. Він розміщує його там, де люди сканують не думаючи: в email, який виглядає, ніби він від ІТ-відділу чи банку, у стікері, наклеєному поверх справжнього коду на постері чи паркоматі, у листівці чи в неочікуваній посилці. Жертва сканує своїм телефоном, бачить сторінку, що імітує щось знайоме, і вводить облікові дані чи дані картки. Дані йдуть до зловмисника.
Що робить це ефективним - приховування. З нормальним фішинговим лінком обережна людина може навести курсор і спершу прочитати URL. QR-код не показує вам нічого, поки ви вже не зважилися сканувати, а на маленькому екрані адресний рядок легко проігнорувати. Розбір квішингу від Kaspersky наголошує на тому самому: приховане призначення - це вся перевага. Споріднений серверний трюк, який дозволяє вигнути будь-який редирект до шкідливого сайту, - тема уразливостей відкритого редиректу, і варто знати, що ці двоє часто працюють разом.
Попереджувальні знаки шкідливого QR-коду#
Ви можете спіймати більшість спроб квішингу до будь-якої шкоди, читаючи контекст і попередній перегляд разом. Кілька сигналів роблять більшу частину роботи.
- Ви цього не очікували. Код, який приходить непрохано - в email, повідомленні, листі чи доставленій посилці, яку ви не замовляли - заслуговує підозри перш за все інше.
- Це стікер. Фізичний код, який виглядає доданим поверх наявного оформлення, особливо на паркоматах, постерах і в меню, - це найпоширеніший трюк у реальному світі.
- Він фабрикує терміновість. Формулювання на кшталт "скануй негайно, щоб уникнути призупинення" чи "підтвердіть зараз" створене, щоб підштовхнути вас повз момент, коли ви зазвичай перевірили б.
- Попередній перегляд виглядає неправильно. Після сканування більшість телефонів показують URL перед його відкриттям. Помилки в написанні, незнайомий домен, домен, що не збігається з брендом, чи скорочувач, який ви не можете розкрити, - усе це причини зупинитися.
- Він одразу вимагає облікові дані чи оплату. Легітимне призначення рідко просить вас увійти чи заплатити перш ніж показати вам бодай щось. Фейкове починає з цього.
Настанови Федеральної торгової комісії США (FTC) і британська порада NCSC щодо підозрілих повідомлень обидві зводяться до того самого інстинкту: якщо код і його контекст разом не відчуваються правильними, не дійте за тим, що він відкриває.
Як сканувати QR-коди безпечно#
Безпечне сканування - це короткий набір звичок, а не спеціальний застосунок. Жодна з них не сповільнює вас сильно, щойно стає рутиною.
- Використовуйте вбудовану камеру телефону чи сканер, який переглядає URL. Читайте цей попередній перегляд перед тим, як відкрити, щоразу.
- Перевіряйте домен проти того, хто, на вашу думку, надіслав код. Бренд на початку адреси має збігатися з брендом на постері, в email чи меню.
- Будьте обережні з кодами, які розв'язуються до скорочувача, який ви не можете розгорнути - і навпаки, довіра простіша, коли код вказує на чіткий брендований домен, який ви впізнаєте.
- Ніколи не вводьте паролі, номери карток чи одноразові коди на сторінці, до якої ви потрапили лише тому, що QR-код вам так сказав. Натомість перейдіть на сайт самостійно.
Цей третій пункт ріже в обидва боки, і саме тут люди, які роблять коди, можуть допомогти людям, які їх сканують. Брендованому короткому лінку на домені, який клієнт впізнає, набагато легше довіряти, ніж непрозорому, що частково пояснює, чому брендування коду - це функція безпеки, а не лише дизайну - дивіться дизайн брендованого QR-коду.
Якщо ви публікуєте QR-коди для клієнтів і хочете, щоб вони читалися як надійні - ваш домен, ваше брендування, призначення, яке ви можете перенаправити, якщо ним коли-небудь зловживатимуть - генеруйте QR-коди, які можна відстежувати, з Elido, щоб ваша аудиторія бачила знайоме ім'я, а не випадковий рядок.
Якщо ви вже відсканували поганий#
Сканування і попередній перегляд шкідливого коду майже нічого не роблять самі по собі, тож якщо ви зупинилися на попередньому перегляді, ви дуже ймовірно в порядку - закрийте його і продовжуйте. Розкриття приходить з наступних кроків, і якщо ви їх зробили, дійте швидко.
Закрийте сторінку і більше нічого не вводьте. Якщо ви вже ввели пароль, змініть його на справжньому сайті і ввімкніть двофакторну автентифікацію для цього акаунта. Якщо ви ввели дані картки чи банку, зателефонуйте в банк. Якщо ви щось встановили чи завантажили, запустіть перевірку безпеки і видаліть це. Потім повідомте про це - у США через FTC, а в інших місцях через ваш національний орган боротьби з шахрайством чи кіберзлочинністю - і тримайте око на постраждалих акаунтах кілька тижнів, бо вкрадені облікові дані часто використовують пізніше, а не негайно. Ширша позиція щодо перевірки будь-якого короткого чи скороченого призначення - в чи безпечні скорочувачі URL і в чеклісті безпеки скорочувача URL.
QR-коди варто зберегти - зі звичками#
Ніщо з цього не є причиною відмовлятися від QR-кодів. Вони - справді корисний місток від фізичного до цифрового, і сам формат не є проблемою - проблема в соціальній інженерії, обгорнутій навколо нього. Та сама логіка застосовна на боці публікації: код, який ви контролюєте, спрямовуєте на власний домен і можете виміряти та перенаправити, безпечніший для вашої аудиторії, ніж статичний одноразовий, бо ви можете відреагувати, якщо призначення коли-небудь скомпрометують.
Для організацій погляд комплаєнсу полягає в тому, що QR-код - це просто ще один канал, який несе лінк, і ті самі правила мінімізації даних та резидентності застосовуються до того, куди б він не вів - деталі в GDPR для скорочувачів URL і на нашій сторінці довіри. Скануйте з попереднім переглядом, перевіряйте домен, ніколи не вводьте секрети на сторінці, до якої вас підштовхнув код, і QR-коди залишаються тим, чим мали бути: зручністю, а не зобов'язанням.
Пов'язане в блозі#
Спробуйте Elido
Вставте URL - отримайте коротке посилання
Без реєстрації. Посилання живе 30 днів. Зареєструйтесь, щоб зберегти назавжди.
Безкоштовно, без реєстрації · 2 на день