Експерти з безпеки назвали головну вразливість QR-кодів: будь-який дурень вкраде ваші гроші

Сканування QR-кодів може бути небезпечним. Шахраї та кіберзлочинці навчилися використовувати їх для крадіжки персональних даних і навіть грошей користувачів. Але в чому полягає основна загроза користування QR-кодами і як можна їй протистояти?

За останні кілька років QR-коди стали повсюдними. Наприклад, тепер практично неможливо сісти на літак без коду на телефоні. Аналогічним чином, дедалі більше залізничних пасажирів мають їх замість паперових квитків, пише The Guardian. Необхідність переходу на безконтактні методи під час Covid справді прискорила поширення цієї технології. Бажаєте побачити меню в ресторані? Просто відскануйте QR-код. Ці коди по суті є двовимірними штрих-кодами, але їх перевага полягає в тому, що вони можуть нести набагато більше інформації, ніж їх лінійні побратими. Так що вони справді корисні. 

Але це кошмар безпеки. Будь-хто може створити його: просто зайдіть на безкоштовний онлайн-сервіс, введіть URL-адресу, яку ви хочете закодувати, і все. У вас є магічний квадрат для відтворення на візитній картці, канцелярському приладді компанії, веб-сайті, блозі і т. д. І, звичайно ж, ці творчі можливості також доступні зловмисникам, особливо шахраям, які шукають спосіб направити вас на зловмисні веб-сайти без необхідності публікувати їх підозрілі URL-адреси на видноті.

Як вас можуть обдурити

Приклади шахрайства надходять з усіх куточків планети. Найпростіший, для нього не треба великого розуму - виявили у Великій Британії. Тут паркування можна оплатити відсканувавши QR-код. Шахраї просто заклеюють його своїм і ви потрапляєте на липовий фішинговий сайт. І ваші гроші йдуть до злочинців. Таким чином можна підробити будь-яке повідомлення на вулиці, де присутній QR-код.

Це, певно, пояснює, чому Федеральна торгова комісія США нещодавно випустила попередження для споживачів про небезпеку цієї технології. У попередженні більше уваги приділяється шахрайству через системи обміну повідомленнями. Приклади включають електронні листи або текстові повідомлення, що містять QR-код, що супроводжуються нібито правдоподібними причинами, з яких вам може знадобитися його відсканувати.

Можливо, вони не змогли доставити вашу посилку і вам потрібно зв'язатися з ними, щоб перенести доставку. Або виникла проблема з вашим обліковим записом, і вам необхідно підтвердити свою особисту інформацію. Або на вашому банківському рахунку виявлено підозрілу активність, а це означає, що вам необхідно змінити пароль. Основна ідея полягає в тому, щоб створити відчуття терміновості, яке відчує нещасна жертва, коли вона вранці включить свій комп'ютер або смартфон. І хоч в Україні цей вид шахрайства не дуже поширений, необхідно все одно бути в курсі. Швидше за все, ця схема невдовзі дійде і до наших регіонів.

Що можна із цим зробити?

Насправді, нічого особливого, крім спробувати прищепити користувачам здоровий скептицизм по відношенню до кодів. Багато смартфонів тепер дозволяють попередньо переглянути URL-адресу, приховану в певному коді, перед її скануванням. На YouTube та інших сайтах можна знайти безліч розумних порад для споживачів:

• думайте, перш ніж сканувати;
• ніколи не скануйте QR-коди, які надходять електронною поштою або небажаною поштою;
• будьте обережні зі скороченими URL-адресами (Bitly, TinyURL та ін), оскільки вони приховують фактичну адресу;
• ніколи не передавайте банківську інформацію онлайн-сервісам - і тому подібне.

Підписуйтесь на наш Telegram-канал, щоб не пропустити важливих новин. Підписатися на канал у Viber можна тут.