Добавить в корзинуПозвонить
Найти в Дзене
Дайджест HackHub
2 подписчика

Время QR-кода

3 мин
Дайджест информационной безопасности Уважаемые друзья! В 2021 году с технологией QR-кода столкнулся практически каждый житель нашей страны. Матричный штрихкод встречается на визитках, в квитанциях на оплату, на онлайн-билетах и меню. Его используют для привлечения внимания к рекламным кампаниям и как замену табличкам к музейным экспонатам. Высокая популярность технологии неизбежно привлекла внимание злоумышленников. Какие функции QR-кода опасны для пользователей? В чем заключаются мошеннические схемы при использовании кода быстрого реагирования? Как отличить мифические угрозы от реальных атак с QR-кодами? Все ответы и практические рекомендации вы найдете в новом дайджесте. Два слова о матричном штрихкоде Уникальность QR-кода заключена в отличиях между ним и его предшественником, стандартным штрихкодом. «Полосатый» код не хранит информацию о маркированном товаре и лишь содержит комбинацию числовых и буквенных символов. Кроме того, информация со штрихкода считывается исключительно линейн
Оглавление

Дайджест информационной безопасности

Уважаемые друзья!

В 2021 году с технологией QR-кода столкнулся практически каждый житель нашей страны. Матричный штрихкод встречается на визитках, в квитанциях на оплату, на онлайн-билетах и меню. Его используют для привлечения внимания к рекламным кампаниям и как замену табличкам к музейным экспонатам.

Высокая популярность технологии неизбежно привлекла внимание злоумышленников. Какие функции QR-кода опасны для пользователей? В чем заключаются мошеннические схемы при использовании кода быстрого реагирования? Как отличить мифические угрозы от реальных атак с QR-кодами? Все ответы и практические рекомендации вы найдете в новом дайджесте.

Два слова о матричном штрихкоде

Уникальность QR-кода заключена в отличиях между ним и его предшественником, стандартным штрихкодом. «Полосатый» код не хранит информацию о маркированном товаре и лишь содержит комбинацию числовых и буквенных символов. Кроме того, информация со штрихкода считывается исключительно линейно.

QR-код — многофункциональный инструмент доставки текстовой информации. Изображение вмещает большое количество символов, данные сканируются с разных ракурсов. При этом QR-код хранит несколько видов информации. Один черно-белый квадратик может содержать и мгновенно открывать доступ к развернутому тексту, онлайн-визитке, адресу веб-страницы, акциям и рекламным предложениям. Универсальность QR-кода признали даже мошенники, скорректировав его функции в корыстных целях.

Фишинговые сайты

Так как QR-код представляет собой изображение, самостоятельно проверить информацию, которую он хранит, проблематично. На руку злоумышленникам сыграл и тот факт, что для удобства граждан коды используются во многих сферах деятельности.

Например, популярность набирает преступная схема с оплатой заказов в ресторанах и барах. Многие кафе перешли на упрощенный вариант оплаты: посетители сканируют код, расположенный на столике, собирают заказ и оплачивают его через приложение или веб-ресурс заведения. Однако введение подобной технологии привело к появлению неприятных инцидентов. Мошенники наклеивают поверх легитимного QR-кода заведения поддельное изображение, сканирование которого ведет пользователей на нужный ресурс. Оплата, проведенная через фишинговый сайт, поступает на счета злоумышленников.

Непредвиденное списание средств

Другая схема эксплуатирует репутацию популярных брендов. Пользователи сканируют QR-коды с рекламных листовок, гарантирующих крупную скидку на дорогостоящие товары. После на телефон приходит СМС-сообщение о списании всех денежных средств с банковского счета.

Эксперты в сфере информационной безопасности пока не дают развернутые комментарии о подобного рода инцидентах, но и не отрицают их вероятность. Злоумышленники предположительно эксплуатируют уязвимость в считывателе кода или в программном обеспечении мобильных устройств.

Активация команд

Наиболее опасная уязвимость технологии QR-кода — его компрометации. Когда хакер получает доступ к легитимному коду, он активирует MITM-атаку, направленную на тайный перехват информации между пользователем и веб-ресурсом.

Воспользовавшись уязвимостью смартфона, сайта или приложения, злоумышленник программирует QR-код так, чтобы на телефоне жертвы после сканирования кода активировалось не только меню ресторана, но и вредоносное ПО.

Несмотря на все мошеннические схемы и существующие инциденты, в которых эксплуатируется технология QR-кода, помните: само изображение не представляет опасности для персональных данных или денежных средств пользователя.

QR-код — это набор символов, который не способен открыть третьим лицам доступ к конфиденциальной информации. Активировать определенные функции и совершить действия на смартфоне может только сам пользователь. По этой причине всегда сохраняйте в памяти правила информационной безопасности:

  • Своевременно обновляйте ПО мобильного устройства.
  • Не спешите совершать онлайн-платежи.
  • Всегда перепроверяйте реквизиты, автоматически считанные с QR-кода.
  • Установите QR-код-антивирус. Перед сканированием изображения программа проверяет код на наличие вредоносного ПО, фишинговых ссылок или иного мошеннического контента.
  • Если после сканирования кода открылся незащищенный веб-ресурс, не кликайте на рекламные баннеры или доступную информацию, не вводите ваш логин и пароль, не загружайте документы или приложения с этого сайта.

Берегите себя и свои данные!

Макс Измайлов - главред HackHub.ru