Новая угроза? QR-коды оказались опасным инструментом злоумышленников

Во время пандемии распространилась практика сокращения контактов через технологии: измерение температуры, доставка продуктов, оплата в ресторанах и даже меню там же. Рассказываем, как выбор блюда через QR-код может обернуться потерей всех данных на смартфоне, и как уберечь себя от поддельных QR-кодов

QR-меню и QR-чаевые еще не успели ввести, но уже обвинили в угрозе персональным данным пользователей

С точки зрения репутации, иметь в заведении доступ к меню по QR-коду значит проявлять заботу о гостях во время пандемии. Некоторые посетители могут отвергнуть такое нововведение. В таких случаях работники предлагают стандартное бумажное меню или обращают внимание на табло со списком позиций на стене.

Создать электронное QR-меню несложно — достаточно сгенерировать QR-код на одном из бесплатных сервисов и привязать к нему ссылку на сайт или облачное хранилище, в котором будет лежать PDF-файл с меню. Кроме отсутствия необходимости печатать экземпляры меню каждый новый сезон из-за обновления позиций, QR-коды используют как полноценный маркетинговый инструмент. Переходы по ним засчитываются в статистику по трафику, а база для таргетированной рекламы пополняется новыми пользователями.

С увеличением доли посетителей, которые предпочитают оплачивать счет в кафе банковскими картами, официанты и бариста оставались без чаевых. QR-коды решили и эту проблему: теперь оставить вознаграждение за хорошее обслуживание можно, отсканировав код. Он ведет на сайт оплаты или в личный кабинет сотрудника. И в том, и в другом случае необходимо вводить данные карты или расплачиваться электронным кошельком.

В конце июля американское издание New-York Times рассказало о повсеместном введении QR-кодов в кафе и ресторанах. Журналисты обратили внимание, что, несмотря на безусловные плюсы использования QR-кодов, они могут стать реальной угрозой для персональных данных гостей. Среди собираемой информации: номер телефона, адрес электронной почты, история заказов, местоположение, время, проведенное в заведении.

Pexels
Pexels

Полученные данные могут использоваться не только в маркетинговых кампаниях и анализе потребительского поведения. Злоумышленники могут подменить QR-коды на столиках на вредоносные. В схему можно интегрировать любую ссылку: от вирусов до автоматических платежных транзакций.

Списания денег с карты, доступ к браузеру и вирусное ПО: эксперты об использовании QR-меню и QR-чаевых

Эксперты в сфере информационных технологий признают, что у системы QR-меню и QR-чаевых есть свои плюсы, но призывают пользователей помнить и о рисках. Михаил Кондрашин, технический директор Trend Micro в РФ и СНГ, напоминает, что технология QR-кодов может произвести оплату по коду, который злоумышленники коварно разместили там, где мы привыкли их видеть — в барах, ресторанах и других заведениях.

«Хотя инциденты с распространением поддельных QR-кодов уже случались, вряд ли такую угрозу можно считать существенной: редко в ресторанах удается потратить существенную сумму. А вот QR-коды, ведущие на сайты с вредоносным кодом, способным незаметно проникать на телефон жертвы, представляют реальную опасность. При оплате по QR-коду необходимо внимательно проверять, кто является получателем денег».

Филипп Хюмо, CEO & co-founder CrowdSec, подтверждает, что посетители могут поставить под угрозу безопасность своего устройства и своих персональных данных, если сайт, куда ведет QR-код, заражен. Он вспоминает недавний скандал вокруг программного обеспечения NSO Pegasus. Хакеров может заинтересовать заведение премиум-класса, а на первый взгляд очень сложно заметить, что QR-код был изменен.

Особенность QR-кодов состоит в том, что невозможно определить, что в нем зашифровано, до того момента, пока не он не будет отсканирован с помощью камеры смартфона. Сооснователь и генеральный директор CloudPayments Дмитрий Спиридонов рассказывает, что уже были случаи, когда мошенники наклеивали свои QR-коды поверх реальных QR-кодов на оплату в кафе и воровали таким образом деньги клиентов. Мошеннические QR-коды могут вести на фейковые платежные ссылки, которые используются для кражи денег и данных жертв.

Особенную осторожность следует проявить, если в QR-код «зашита» короткая ссылка, ведь сокращать ее для записи в QR-код не имеет большого смысла, зато таким образом проще замаскировать фишинговый сайт

Такого же мнения придерживается Павел Коростелев, руководитель отдела продвижения продуктов компании «Код Безопасности». Он подчеркивает, что проблема коротких ссылок действительно существует.

Pexels
Pexels

Опытные хакеры способны создать не только поддельные короткие ссылки. При работе с подготовленным QR-кодом на компьютере, может быть скомпрометирован браузер. «Хакер сможет получить доступ к сессиям параллельно открытых сайтов, а значит будет действовать на них, как авторизованный пользователь. Если QR-код используется для мобильного устройства, то киберпреступник может подсадить следящие куки, чтобы знать какие сайты посещал пользователь,» — предупреждает эксперт.

Как уберечь свои данные, если QR-коды уже везде

Дмитрий Спиридонов объясняет, что безопасно пользоваться QR-кодами, в ресторанах и кафе и других общественных местах можно. Нужно проверять, не наклеен ли один QR-код поверх другого: рассмотреть его под разными углами, провести пальцами по самому QR-коду и его границам. Кроме этого отсканировав QR-код камерой смартфона, прежде чем переходить по ссылке, которая в нем зашифрована, необходимо внимательно ее рассмотреть. Если это платежная ссылка, стоит проверить, правильно ли указано название банка, ресторана, платежного сервиса или сервиса онлайн-чаевых в ней.

«При оплате по QR-коду стоит убедиться, что ссылка начинается с https (где “s”=secure), что говорит о том, что передача данных происходит только по защищенным каналам и минимизирует риск хищения данных».

Для дополнительной защиты эксперт предлагает установить на смартфон программу, проверяющую QR-коды на подлинность. Такое ПО выявляет вирусы и фишинговые ссылки.

Дмитрий Ласьков, директор технического департамента компании «ХайТэк», обращает внимание, что сервис меню должен быть анонимным. «Как правило QR-код для оплаты чаевых расположен на чеке вашего заказа или официант хранит его в приложении, например QRW. Кроме того, если сервис оплаты вам не знаком, лучше проверить его через поисковый запрос или не платить вовсе».

Евгений Черток, руководитель отдела ИТ разработчика программного обеспечения компании «Рексофт», рассказывает о том, как QR-код может полностью вывести из строя устройство. Для перехода в меню или оставления чаевых в QR-коде используется текстовая html-ссылка на сайт ресторана или сервиса. После хорошего вечера в ресторане у многих ослаблен контроль, и они кликают по ссылкам и кнопкам не глядя.

Текст, закодированный QR-кодом, может быть простым текстом, но мне известны случаи, когда iPhone «убивался» простым SMS-сообщением с нестандартными символами в тексте. Допускаю, что и в QR-код можно подобрать комбинацию каких-то символов, которые выведут смартфон из строя. Например, можно кодировать японские иероглифы, и, если прошивка гаджета написана некачественно, без обработки сомнительных ситуаций, то она может их не понять

Эксперт отмечает, что атака с подменой QR-кодов прямо в ресторане выглядит ошеломительно простой, а значит, вполне реальной, поэтому стоит не терять бдительности. Для стопроцентного результата лучше попросить бумажное меню.

Это тоже интересно: