Cisco Talos о том, почему спам-фильтры бессильны перед новой угрозой.
До 1994 года большинство технологий сканирования использовали одномерные штрих-коды, способные хранить всего до 80 буквенно-цифровых символов. Компания Denso Wave создала первые QR-коды, увеличив емкость до 7000 цифровых или 4300 буквенно-цифровых символов.
Исследование Cisco Talos показало: спам-фильтры практически бессильны против вредоносных QR-кодов, поскольку не способны распознать их присутствие в изображениях. Статистика показывает: хотя QR-коды встречаются лишь в одном из 500 электронных писем, шокирующие 60% из них содержат спам или вредоносное ПО.
Этот новый вид мошенничества еще очень молодой. Называется он «квишингом» (quishing). Злоумышленники создают поддельные сайты, имитирующие легитимные ресурсы, и размещают QR-коды в общественных местах.
Например, было случаи, когда кто-то наклеивал на парковочные счетчики QR-стикеры, перенаправляющие жертв на поддельные платежные системы.
Письма с QR-кодами, маскирующиеся под запросы двухфакторной аутентификации — самая распространенная из уловок. Мошенники используют их для кражи учетных данных. При сканировании QR-кода с мобильного устройства весь последующий трафик между жертвой и злоумышленником проходит через сотовую сеть в обход корпоративных систем безопасности.
Несмотря на относительно небольшую долю таких писем (0,1-0,2% от общего объема), они намного чаще попадают в папку «Входящие», минуя спам-фильтры. Более того, изобретательные мошенники научились создавать QR-коды с помощью Unicode-символов, что еще больше усложняет их обнаружение. Традиционные методы обезвреживания вредоносных ссылок, например замена протокола http на hxxp или добавление скобок в URL, в этом случае работают значительно хуже.
Существуют способы сделать QR-коды безопасными для просмотра — например, путем маскировки модулей данных или удаления одного или нескольких шаблонов определения позиции (больших квадратов по углам кода). Однако эти уловки не всем понятны и пока не получили широкого распространения.
Отдельную угрозу представляет так называемое «QR-искусство» — изображения, в которых код замаскирован под обычную картинку. Пользователь может случайно отсканировать его камерой и перейти по вредоносной ссылке, даже не осознав этого.
Аналитики Cisco Talos советуют проявлять такую же осторожность при сканировании кодов, как и при переходе по подозрительным ссылкам. Для тех, кто регулярно использует их, существуют специальные онлайн-декодеры, позволяющие предварительно проверить содержимое.
Помните: простота и удобство QR-технологий не должны затмевать необходимость соблюдения базовых правил цифровой безопасности.