5 способів, як хакери можуть використовувати QR-коди для шахрайства
QR-коди (від англ. quick response — швидка відповідь) існують вже декілька десятиліть, але в останні роки їх популярність дуже зросла. Сьогодні їх використовують у різних цілях ― від відображення меню ресторану до здійснення безконтактних транзакцій.
Однак, як і будь-яка інша популярна технологія, поширеність QR-кодів привернула увагу і шахраїв, які почали використовувати їх у зловмисних цілях. Щоб не потрапити у пастку кіберзлочинців, спеціалісти ESET підготували перелік основних схем шахрайства з QR-кодом та поради для їх уникнення.
Що таке QR-код і як він працює
QR-код – це штрих-код, призначений для миттєвого зчитування та відображення інформації сучасним девайсом. Один код може зберігати до 4296 символів у вигляді букв та цифр, хоча, як правило, їх використовується менше. Це дозволяє легко розшифровувати QR-коди за допомогою камери смартфона.
Закодовані текстові рядки можуть містити різноманітні дані. Наступна дія після зчитування коду залежить від програми, яка відкриває його. Зокрема коди використовуються для відкриття вебсайту, завантаження файлу, додавання контакту, підключення до мережі Wi-Fi та навіть здійснення платежів.
Багатофункціональність QR-кодів дозволяє змінювати їх, зокрема за допомогою додавання логотипу компанії. У їх динамічних версіях навіть є можливість змінити вміст або дію в будь-який час.
Як зловмисники використовують QR-коди у схемах шахрайства
Враховуючи популярність QR-кодів, кіберзлочинці створюють нові схеми шахрайства для викрадення даних та грошей користувачів. Серед найпоширеніших схем шахрайства:
1. Перенаправлення на шкідливий сайт для викрадення конфіденційних даних
Фішингові атаки поширюються не лише через електронні листи, месенджери або SMS-повідомлення. Подібно до застосування шкідливої реклами та інших методів для заманювання жертв на шахрайські сайти зловмисники використовують і QR-коди.
Занепокоєння викликає збільшення схем шахрайства з QR-кодами, у яких зловмисники розповсюджують фальшиві рекламні наклейки поблизу банківських чи інших фінансових установ. Серед нещодавніх випадків ― розміщення підроблених наклейок з QR-кодом на громадських автоматах для паркування, які перенаправляли на фальшиві платіжні сайти.
2. Завантаження шкідливого файлу на пристрій
Більшість кафе та ресторанів сьогодні використовують QR-код, щоб завантажити меню або встановити програму для здійснення замовлення. У свою чергу зловмисники можуть легко підробити його, щоб обманом змусити користувача завантажити шкідливий PDF-файл або шахрайський додаток.
3. Запуск небезпечних дій на пристрої користувача
QR-коди можуть спричинити виконання дій на вашому пристрої залежно від програми, яка їх зчитує. Серед базових дій таких додатків ― підключення до мережі Wi-Fi, надсилання електронного листа або SMS із попередньо визначеним текстом та збереження контакту на пристрої. Однак, використовуючи такі додатки, зловмисники можуть підключити ваш пристрій до небезпечних мереж.
4. Переадресування платежу або запит на отримання коштів
Більшість фінансових додатків сьогодні дозволяють здійснювати платежі через QR-коди, які вже містять дані отримувача. Також багато магазинів показують ці коди своїм клієнтам і таким чином полегшують процес оплати.
Однак варто пам’ятати, що зловмисники можуть замінити дані у цьому коді на власні та отримати гроші на свій рахунок. Також шахраї можуть створювати підроблені платіжні QR-коди із запитами на отримання грошей, щоб обманути покупців.
5. Викрадення особистих даних або отримання доступу до програми
Багато QR-кодів використовуються для перевірки даних про людину, наприклад, її ідентифікаційний номер або наявність сертифікату вакцинації. У цих випадках коди містять конфіденційну інформацію, яку зловмисник може легко отримати, просканувавши їх.
Також багато програм, наприклад, WhatsApp, Telegram або Discord, використовують QR-коди для аутентифікації сеансів, дозволяючи користувачам отримати доступ до своїх акаунтів. Зокрема зловмисники під виглядом служби підтримки можуть обманом змусити користувача просканувати шкідливий QR-код.
Як уникнути шахрайства під час сканування QR-кодів
- Перед скануванням переконайтеся в оригінальності QR-коду, наприклад, наклейка з підробленим кодом може закривати оригінальний та бути частиною схеми шахрайства.
- Уникайте сканування випадково знайдених QR-кодів або у небажаних повідомленнях.
- Будьте обережні під час сканування коду для оплати рахунків або здійснення іншої фінансової операції. При можливості оберіть інший безпечний спосіб оплати.
- Вимкніть функцію виконання автоматичних дій під час сканування QR-коду, наприклад, відвідування вебсайту, завантаження файлу або підключення до мережі Wi-Fi.
- Після сканування перегляньте URL-адресу, щоб переконатися у її легітимності. Також краще не вводити особисті дані на сайті, на який ви потрапили за допомогою QR-коду.
- Не публікуйте QR-коди, які містять конфіденційну інформацію. Це можуть бути коди для доступу до програм або для перевірки особистих документів та сертифікатів вакцинації.
- Для створення коду використовуйте надійні сервіси, які дозволяють перевірити його легітимність та виконання потрібної дії.
- Оновлюйте свої додатки до актуальних версій та використовуйте програму для захисту від шкідливого програмного забезпечення.