QR-коди набирають популярності у всіх сферах життя, і самі по собі не несуть небезпеки. Втім, Федеральне бюро розслідувань стурбоване тим, з якою легкістю злочинці підробляють їх.
Використання т. зв. кодів швидкого відгуку – QR – стало особливо поширеним після початку пандемії. За допомогою цієї технології багато чого можна робити безконтактно – сплачувати за товари й послуги, вивчати меню в ресторані, демонструвати документи і COVID-сертифікати, підтверджувати справжність різноманітних квитків, брати в оренду транспорт. Не дивно, що цю тему шахраї не оминули увагою. Корреспондент.net розповідає, де може бути небезпека.
Як це працює
QR-код (від англійського Quick Response Code – код швидкого відгуку) – це тип матричних, або двомірних, штрихових кодів, який спочатку був розроблений в Японії для автомобільної промисловості. Термін є зареєстрованим товарним знаком Denso – дочірньої компанії Toyota.
Спеціальна машина зчитує штрих-код – оптичну мітку, що містить дані про прив’язаний до неї об’єкт. Технологія, яку придумали в середині 90-х років минулого століття, стала популярною далеко за межами автомобільної промисловості завдяки можливості швидкого зчитування та більшої ємності порівняно зі звичними нам за магазинами штрих-кодами стандарту UPC.
QR-код на вигляд як хаотичний набір чорних квадратів, розташованих у квадратній сітці на білому тлі. Після того як його зчитано за допомогою камери смартфона чи спеціальних програм, необхідні дані дійстаються з коду і надають користувачеві необхідну інформацію.
Це забезпечує можливість, наприклад, отримати швидкий доступ до веб-сайтів, завантажити програму або миттєво направити платіж конкретному отримувачу. Компанії застосовують QR-коди на законних підставах для забезпечення зручного безконтактного доступу, це є особливо актуальним під час пандемії. Їх активно використовують у роздрібній торгівлі, електронній комерції, для сплати рахунків і всіляких вбудованих мобільних платежів.
ФБР попереджає
Федеральне бюро розслідувань опублікувало попередження, в якому розповідає, як кіберзлочинці підробляють QR-коди.
Шахраї використовують переваги цієї технології для крадіжки особистих і фінансових даних жертви, інтерполюють шкідливе програмне забезпечення, щоб мати злочинний доступ до пристрою та надсилати платежі на рахунки зловмисників.
Кіберзлочинці, за даними ФБР, підробляють як цифрові, так і фізичні QR-коди. Жертва сканує зображення, яке вона вважає справжнім, але підроблений код спрямовує її на шкідливий сайт, який пропонує ввести логін і фінансову інформацію. Доступ до цієї інформації дає шахраям можливість вивести кошти через облікові записи жертви.
Підроблені QR-коди також можуть містити посилання на шкідливе програмне забезпечення, що дозволяє злочинцеві набути доступ до мобільного пристрою жертви і дізнатися про її місцезнаходження, а також заволодіти особистою та фінансовою інформацією.
Компанії та приватні особи дедалі частіше використовують QR-коди з метою полегшити будь-яку оплату. Відсканувавши такий код, клієнт потрапляє на сайт, де може за кілька кліків зробити платіжну транзакцію. Підробляючи код, кіберзлочинці надають свої дані для оплати і так забирають гроші клієнта.
Як себе убезпечити
Самі по собі QR-коди не є шкідливими, але важливо бути обережними під час введення фінансової інформації, а також у разі оплати через сайт, на який можна перейти за допомогою такого коду. Правоохоронні органи не можуть гарантувати повернення втрачених коштів після такого переказу, відзначає ФБР.
Щоб захистити себе, Федеральне бюро розслідувань пропонує:
- Після сканування QR-коду перевірити URL-адресу і переконатися, що це потрібний сайт і чи на вигляд він по-справжньому справжній. Шкідливе доменне ім’я може бути схожим на оригінальну URL-адресу, але з помилками або зайвими літерами.
- Будьте пильними під час введення логіна, особистої або фінансової інформації із сайту, на який ви перейшли за допомогою QR-коду.
- Під час сканування фізичного QR-коду переконайтеся, що код не було підроблено, наприклад, за допомогою наклейки, розміщеної поверх оригінального коду.
- Не треба завантажувати програми за QR-кодом, а використовуйте магазин програм вашого смартфона для безпечнішого завантаження.
- Якщо ви отримали електронний лист від компанії, де недавно здійснили покупку, про те, що платіж не пройшов і завершити його можна тільки за допомогою QR-коду, передзвоніть у компанію та уточніть інформацію. Водночас важливо знайти телефон через оригінальний сайт, а не дзвонити за номером, який вказано в електронному листі.
- Не треба завантажувати окрему програму для сканування QR-кодів. Це збільшує ризик завантаження шкідливих програм на пристрій. Більшість смартфонів мають вбудований сканер через програму камери.
- Якщо ви отримали QR-код, який, на вашу думку, належить комусь із знайомих, зв’яжіться з ним за відомим номером або адресою, щоб переконатися, що код належить йому.
- Уникайте здійснювати платежі через сайт, на який ви перейшли за допомогою QR-коду. Замість цього вручну введіть відому і надійну URL-адресу для завершення платежу.
Раніше цього місяця поліція Техасу повідомила, що в Остіні більш як на двох десятках парковок було виявлено підроблені наклейки з QR-кодом, за яким нібито можна було сплатити за послугу паркування.
Жертвами шахраїв часто стають користувачі сайтів оголошень. Такі сервіси зазвичай стежать за безпекою та можуть блокувати підозрілі повідомлення, але пропускають картинки. Зловмисники у такому разі зашифровують посилання на фішингові сайти в QR-код, який відправляється для введення жертвою своїх банківських даних.
“Коли ви скануєте QR-код, то гадки не маєте, куди перейдете по ньому. Ви цілком можете перейти на шкідливий сайт, який може спробувати встановити вірус на ваш телефон”, – зазначає Метью Грін, доцент кафедри інформатики Університету Джона Гопкінса в Балтіморі, штат Меріленд.
Показовим є приклад Китаю в контексті популярності такого індивідуального міського транспорту, як самокати й велосипеди. Щоб узяти в оренду велосипед, потрібно відсканувати QR-код і здійснити оплату. Китайські шахраї клеїли поверх оригінальних кодів підроблені – і так гроші користувачів йшли зловмисникам.
Основна проблема в тому, що візуально відрізнити підроблений QR-код неможливо. Ще у 2017 році на Національному конгресі народних представників у Пекіні повідомляли, що понад 23% троянських програм і вірусів передаються через QR-коди. Процес створення QR-кодів такий простий, що шахраї можуть легко додавати до них шкідливі програми й віруси.
У березні 2014 року Народний банк КНР ввів заборону на платежі за QR-кодом, але через 2 роки скасував її. QR-код справді простий та зручний спосіб оплати, тому його популярність невпинно зростає. Тепер регулюючі органи і постачальники платіжних послуг мають зробити все, щоб запобігати шахрайству. Тоді як завдання користувачів – бути напоготові і не забувати про можливу небезпеку.