Техдиректор Щербаков предупредил о признаках вредного QR-кода
Повсеместное распространение QR-кодов упростило многие процессы, но с точки зрения информационной безопасности создало новую проблему. Как рассказал «Газете.Ru» технический директор компании «Стахановец» Сергей Щербаков, теперь пользователь фактически лишен возможности контролировать конечный адрес перехода до того, как он туда попадет.
Если привычные гиперссылки можно было визуально оценить перед тем, как кликнуть, то код не поддается визуальной интерпретации. Камера смартфона считывает его мгновенно, и переход на сайт часто происходит без дополнительного запроса, особенно когда в настройках устройства включена функция автоматического открытия ссылок.
Главный риск, по словам специалиста, заключается в физической подмене носителей. Злоумышленники размещают свои коды поверх легальных: на парковочных автоматах, в кафе и ресторанах, на информационных табличках. Такой метод атак получил название «квишинг» — QR-фишинг. Человек, сканируя код в надежде перейти на страницу оплаты или меню, попадает на фишинговый ресурс, созданный для кражи данных банковских карт или учётных записей.
Визуально отличить подлинный код от поддельного невозможно, поскольку его структура никак не отображается во внешнем виде. Однако, как отметил Щербаков, стоит обращать внимание на контекст размещения и состояние физического носителя. Если изображение напечатано на отдельной наклейке, которая наложена поверх другой, имеет неровные края или повреждения, вероятность подмены высока. Более безопасным вариантом является код, нанесенный типографским способом непосредственно на поверхность объекта.
Для снижения рисков эксперт рекомендует отключить в настройках смартфона функцию автоматического перехода по ссылке после сканирования. Корректной настройкой он назвал предварительный показ превью с адресом ссылки.
Перед переходом стоит оценить URL: наличие сокращающих сервисов или ошибок в доменном имени известных организаций указывает на мошеннический ресурс. Также не следует вводить платежные данные после перехода по QR-коду без абсолютной уверенности в его источнике. Оплату услуг, будь то парковка или заказ в ресторане, безопаснее производить через официальные приложения, вручную вводя необходимые данные.
Ранее стало известно, что с началом сезона кикшеринга активизировались мошенники с поддельными QR-кодами. Подробнее об этом читайте в материале Общественной службы новостей.
