куар код чем опасен
Чем опасен QR код для человека?
В сети Интернет распространилось мнение, что QR код сертификата, получаемого после прививки на коронавирус, может быть опасен. Действительно ли куар код опасен и чем может навредить код человеку – читайте далее в данной статье.
Где получить QR код сертификата?
Во время пандемии гражданам России предлагается получить бесплатную вакцину. Препараты создают отечественные медицинские институты. Человек также вправе сам выбрать, какую вакцину ему использовать.
Он может выбрать, в том числе, из вакцин западного производства. Противовирусный препарат рекомендуется применять людям, которые в скором времени собираются пересечь границу и посетить одну из европейских стран. В этом случае человек сможет свободного перемещаться по выбранной стране.
QR код выдаётся на портале Госуслуги. Его можно получить после прививки, которую делают в больнице, а также в специальных для этого лабораториях. На почту и в аккаунт портала поступает письмо с ссылкой на сведения о вакцинации и страницу с QR кодом.
Если сертификата нет, возможно нет каких-то данных на портале. Список документов также всегда доступен в личном кабинете.
Чтобы не было проблем со вторым сеансом вакцинирования, используйте аккаунт для подтверждения факта ввода препарата.
Действительно ли QR код опасен?
Конец октября текущего года многие россияне столкнулись с проблемой посещения публичных заведений. Кафе, клубы, рестораны теперь требуют QR код для подтверждения вакцинирования. Людей без этого типа подтверждения охрана пускать внутрь помещений не будет.
Может помочь реальный сертификат, который был получен после поставленной в больнице прививки. QR код представляет собой чёрно-белое изображение с квадратными блоками, размещённых в случайном порядке.
В этом коде может быть закодирована разная информация – от имени и фамилии до ссылки на веб-сайт. При сканировании так и происходит: устройство считывает из кода ссылку на Госуслуги, где находится цифровой сертификат человека.
В нём есть дата вакцинирования, количество поставленных прививок, название препарата и прочее. Это является доказательством, что человек не может заразить других людей в местах скопления народа.
В самом QR коде нет ничего опасного и что могло бы навредить человеку кроме того, что в разных уголках страны начали разворачиваться интересны и в то же время абсурдные истории. Люди стали говорить, что приходит конец света, что эти события уже были предвидены в книгах святого писания.
Чем на самом деле могут быть опасны QR коды
Уже было установлено, что коды, которые люди получают на сайте Госуслуги не приносят человеку вреда, но всё же таковыми могут быть. У QR кодов, отправляющих практически любого желающего на страницу Госуслуг, всё же есть один недостаток – они могут показывать другим личную информацию владельца.
Если злоумышленнику удастся получить код, у него будет:
Не свое на уме: чем грозит использование чужого QR-кода
Посещение общественных мест во многих регионах страны требует предъявления QR-кода, подтверждающего вакцинацию. Также обычно необходимо показать документ, удостоверяющий личность. В ходе таких проверок нередко выясняется, что студент пытался пройти в торговый центр с кодом пенсионера, а девушка — с «кьюаром» подруги. За такие подмены грозит реальное наказание — как административное, так и уголовное. Особо строгие меры предусмотрены в том случае, если QR-код был украден. Подробнее — в материале «Известий».
Как злоумышленники могут заполучить QR-код
По словам главного эксперта «Лаборатории Касперского» Сергея Голованова, существуют две основные схемы мошенничества, связанные с использованием QR-кода: продажа «кьюаров», которые ведут на фишинговые страницы, имитирующие официальные ресурсы, и покупка реальных матричных кодов у злоумышленников.
— В первом случае проверяющим очень важно удостовериться, что ссылка в адресной строке верная. Во втором обнаружить неладное будет почти невозможно, — говорит эксперт, подчеркивая, что регуляторы принимают активные меры по разрешению таких ситуаций.
Ведущий эксперт информационной безопасности IT-компании КРОК Виктор Рыжков добавил, что за время пандемии сформировался теневой рынок по продаже фальшивых QR-кодов. При переходе по матричному штрихкоду проверяющий попадает на поддельный сайт, визуально схожий со страницей проверки на госуслугах и содержащий всю необходимую для сверки информацию: паспортные данные, дату вакцинации и другие сведения.
— Однако при использовании такого сервиса покупатель может заплатить и не получить даже фальшивого QR-кода, — заметил эксперт. — Более того, при утечке персональных данных граждан мошенники теоретически могут продавать их, а покупатели использовать с целью шантажа. Например, звонить гражданам с угрозой передать сведения о фальсификации QR-кода в правоохранительные органы и требованием выкупа «за удаление данных из базы».
По словам Рыжкова, украденные QR-коды привитых россиян также продаются на черном рынке. При таком сценарии основной проблемой для покупателя станет только сверка с удостоверением личности, которое, весьма вероятно, будет подделано.
Получить доступ к действующему «кьюару» вполне реально, считают эксперты. Не стоит забывать, что QR-код — это информация, которая хранится, как правило, не только на портале госуслуг, но и на мобильном устройстве или в почтовом ящике пользователя. Поэтому методы, используемые злоумышленниками, не являются принципиально новыми: подбор пароля от почтового ящика или аккаунта на госуслугах. Критическими факторами здесь становятся сложность пользовательского пароля и использование двухфакторной аутентификации при входе.
QR-код, да не тот
Рассказываем, как не попасться на удочку киберпреступников при сканировании QR-кодов.
QR-коды есть на йогурте и музейной табличке, квитанции за коммунальные услуги и лотерейном билете. С их помощью открывают сайты, скачивают приложения, копят бонусы в программах лояльности, отправляют денежные переводы и даже просят милостыню. Эта доступная и практичная технология понравилась многим — и, как это часто бывает, киберпреступникам тоже: они уже вовсю применяют QR-коды в своих схемах. Рассказываем, что может пойти не так с черно-белыми квадратами и как их использовать без вреда для себя.
Что такое QR-коды и как ими пользоваться
В наше время смартфон есть уже почти у всех. Во многих современных моделях есть встроенный QR-сканер. На остальные можно скачать приложение — для чтения всех кодов вообще или какое-нибудь специализированное, например — разработанное музеем.
Если включить QR-сканер и навести камеру телефона на код, запустится некий процесс. Чаще всего смартфон предложит вам перейти на тот или иной сайт или откроет страницу определенного приложения в магазине. Есть и другие варианты, о них — чуть позже.
Специализированные сканеры отличаются от собратьев тем, что лучше «работают в паре» со «своими» QR-кодами. Допустим, вы видите табличку перед выдающимся деревом в парке, и на ней есть квадрат QR. Если вы загрузили себе официальное приложение этого парка, QR-коды на таких табличках превратятся для вас в цельную экскурсию, а стандартный сканер, распознав их, просто предложит перейти на сайт парка и прочесть описание каждого экспоната на отдельной странице.
Кроме того, некоторые приложения могут создавать QR-коды, чтобы передать тому, кто их отсканирует, какую-то вашу информацию — например, имя и пароль вашей сети Wi-Fi или даже платежные реквизиты счета в банке.
Как киберпреступники используют QR-коды
Что может пойти не так, спросите вы? Очень и очень многое. Поскольку содержимое QR-кода обычному человеку не понять, фактически мы полагаемся на честность тех, кто загружает в них информацию. Мы не можем заранее проверить, что произойдет, когда мы отсканируем заветный квадрат, — или что именно на самом деле записало туда приложение, в котором мы создавали свой квадрат. Это открывает массу возможностей для злоупотребления.
Фальшивые ссылки
Так, созданный преступниками QR-код может привести вас на фишинговый сайт, имитирующий, например, страницу входа в социальную сеть или личный кабинет в банке, чтобы вы ввели там свои данные на радость преступникам. Обычно мы советуем смотреть на ссылку, прежде чем переходить по ней, — но в самом QR-коде шанса заметить странные символы нет, а для пущей надежности злоумышленники часто используют короткие ссылки — так сложнее распознать подделку, когда смартфон просит подтвердить переход.
Похожая схема существует и с QR-кодами для быстрой загрузки приложений. Вместо игры или полезного сервиса, которые вы ожидаете получить при взгляде на рекламный плакат, есть шанс скачать зловред, который позже, например, украдет ваши пароли или начнет рассылать что-нибудь непотребное вашим контактам.
Закодированные в QR-коде команды
Но и это не все: QR-код может служить не только ссылкой на сайт, но и командой для выполнения определенных действий. Вот лишь неполный их список:
Все это задумывалось для автоматизации мелких действий. Например, считав QR-код, можно добавить в телефонную книгу всю контактную информацию с визитки, отправить сообщение об оплате парковки по нужному шаблону или выдать доступ к гостевому Wi-Fi.
Но эти же возможности делают QR-код эффективным средством для незаметных манипуляций. Например, мошенники могут внести в адресную книгу свой номер под именем «Банк», чтобы придать вес звонку с попыткой выманить ваши деньги. Или, например, позвонить на платный номер за ваш счет. Или узнать, где вы находитесь… Малоприятные перспективы.
Как киберпреступники маскируют QR-коды
Безусловно, для того чтобы злоумышленники вам навредили, им нужно, чтобы вы отсканировали именно их QR-коды. И для этого у них есть пара любимых приемов.
Мошеннические источники QR-кодов. Чаще всего к этому способу прибегают, чтобы убедить жертву скачать зловредное приложение. Его создатели могут разместить QR-код со ссылкой на свое детище на сайте, в баннере, электронном письме или даже на бумажном объявлении. Часто рядом для большей достоверности размещают логотипы Google Play или App Store.
Подмена QR-кода. Нередко злоумышленники пользуются чужим трудом и репутацией и просто заклеивают настоящий QR-код на плакате или табличке подложным.
Кстати, подменой QR-кодов в последнее время стали пользоваться не только киберпреступники, но и беспринципные активисты общественных течений — для распространения своих идей. В Австралии недавно был арестован мужчина, который переклеил несколько QR-кодов на табличках службы по контролю за COVID-19, чтобы вместо сервиса для записи посетителей общественных мест люди попадали на сайт с агитацией антипрививочников.
QR-код, в который запакованы банковские реквизиты, можно подменить при его отправке будущему плательщику — например, распечатав и разложив по почтовым ящикам фальшивые квитанции на оплату коммунальных услуг. Вместо настоящего получателя деньги придут на счет злоумышленника.
Как не попасть в беду с QR-кодом
Чтобы не стать жертвой киберпреступников, при использовании QR-кодов соблюдайте несколько простых правил:
Также стоит помнить о еще одной опасности, связанной с QR-кодами: злоумышленники могут воровать коды, в которые зашита какая-то ценная информация — например, номер электронного билета. Поэтому не стоит публиковать в соцсетях документы с QR-кодами или их фотографии.
Эксперты рассказали об опасностях использования QR-кодов
Во многих ресторанах бумажное меню заменили сканируемыми QR-кодами. Эта технология позволяет клиентам открывать цифровые меню на своих телефонах, а в некоторых случаях даже делать онлайн-заказ.
Базы данных, созданные на основе полученной информации, могут использоваться для маркетинговых акций, таких как персонализированные скидки или рекомендации. При этом эксперты по кибербезопасности отмечают, что подобное внедрение QR-кодов может поставить под угрозу права посетителей кафе и ресторанов на конфиденциальность.
«В QR-код можно запрограммировать всё, что угодно — от сбора данных текущего местоположения до разрешения осуществить звонок или даже платежную транзакцию», — рассказал исследователь ESET Амер Овайда.
По его словам, основная проблема при считывании QR-кода большинством сканеров заключается в том, что переход по ссылке происходит автоматически, без запроса разрешения на дополнительные действия.
«Чтобы невольно не делиться своими персональными данными, рекомендуется использовать QR-сканеры с расширенными функциями: после считывания программа уведомит о всех процессах, «зашитых» в код, и пользователь сможет либо отменить некоторые действия самостоятельно, либо отказаться от перехода по подозрительной ссылке. Большинство «продвинутых» QR-сканеров платные, также функции по проверке безопасности QR-кодов доступны во многих антивирусных программах», — посоветовал собеседник «Газеты.Ru».
Самая критичная уязвимость такой технологии — это так называемая MITM-атака, в ходе которой происходит компрометация QR-кода, рассказал руководитель отдела анализа данных и машинного обучения CrossTech Solutions Group Роман Титов.
«Как следствие, пользователь вместо получения меню ресторана переходит или скачивает вредоносный ресурс со всеми дальнейшими последствиями», — пояснил Титов.
Если говорить про конфиденциальность персональных данных, собираемых заведениями с помощью QR-кодов, то здесь, по мнению эксперта, важен вопрос о защите персональных данных.
«Они могут использоваться для безобидной персонифицированной рекламы обновленного сезонного меню. А могут продаваться «серым» организациям для холодных звонков и рассылок или использоваться в личных корыстных целях.
Здесь спасение утопающих — дело рук самих утопающих. Необходимо внимательно читать чек-боксы в согласии об использовании персональных данных, в которые мы ставим галочки.
А также стараться не обедать и не переходить по QR-кодам в сомнительных заведениях, где заведомо понятно, что к вопросу безопасности не относятся серьезно», — предупредил эксперт.
По словам ИБ-евангелиста компании Avast Луиса Корронса, проблема заключается даже не в том, что рестораны собирают данные о клиентах в маркетинговых целях, а в вопросе их хранения.
«Велика вероятность того, что в какой-то момент компания может быть взломана, база данных может быть украдена или может произойти утечка. Поэтому мы рекомендуем попытаться свести к минимуму данные, которыми вы делитесь, и делать это только при крайней необходимости», — рассказал Корронс.
Как рассказал «Газете. Ru» руководитель направления по поиску уязвимостей фирмы Check Point Software Technologies Одед Вануну единственный вариант защититься — это не пользоваться QR-кодами и просить бумажное меню.
«Но если вы все-таки зашли на сайт, то не кликайте на информацию, которая требует ваши пароли, не загружайте документы или приложения с этого сайта, не заполняйте никакие формы и не вносите на нем свои личные данные», — посоветовал эксперт.
Эксперты рассказали о последствиях мошенничества с QR-кодами
Специалисты рассказали о последствиях мошенничества с QR-кодами, а также раскрыли схемы их совершения. Так, по словам главного эксперта «Лаборатории Касперского» Сергея Голованова, существует два способа, которыми сейчас пользуются злоумышленники, сообщают «Известия».
По словам эксперта по информационной безопасности IT-компании КРОК Виктора Рыжкова, при покупке фальшивого кода можно потерять деньги, персональные данные и остаться без самого кода.
Что касается краж реальных кодов, то, по словам эксперта, такие «кьюары» уже продаются на черном рынке. Злоумышленники могут похитить их разными способами: подобрать пароли на Госуслугах и даже заснять его при предъявлении.
По словам адвоката Юлии Кремер, использование такого кода тоже влечет за собой ответственность.
Кроме того, присвоение чужого QR-кода или сертификата можно рассматривать как завладение чужими персональными данными, что также влечет за собой штраф.