За последние 15 лет QR-коды стали инструментом, который используется повсюду. Получили счёт в ресторане? Сканируйте QR-код. Хотите оплатить коммунальные услуги? Вот заветный квадрат на квитанции. Берёте в аренду самокат? Всё проще простого — наведите камеру на QR-код.
Но так ли это безопасно, как и удобно? Увы, нет. При оплате бытовой пользователь часто даже не подозревает, какое поле для мошенничества предоставляют QR-коды. Между тем, специалисты по кибербезопасности давно уже бьют тревогу и призывают крайне внимательно относиться к тому, что вы сканируете и куда сообщаете данные или переводите деньги.
Где и как вас могут обмануть с помощью QR-кода?
Да практически везде:
Мошенники наклеивают поддельные QR-коды на парковочных автоматах. Эти коды перенаправляют пользователей на сайты, максимально похожие на официальные. Вы оплачиваете, а деньги получает не муниципалитет, а злоумышленники.
QR-коды размещают на столиках для выбора меню поверх кода заведения — и клиенты открывают фишинговый сайт и переводят чаевые мошенникам.
По QR-коду с листовок в почтовом ящике, рекламы в интернете и т.д. вы переходите на сайт, где предлагают скачать приложение. Вы вводите в нём конфиденциальные данные, а ими потом пользуются обманщики.
А сколько ситуаций, когда мошенники звонят и представляются сотрудниками банка! Причём тут QR-код? А всё просто: злоумышленники сообщают, что на вас пытаются взять кредит и, чтобы отменить заём, нужно перейти в приложение банка, сформировать QR-код и прислать скриншот. После чего ваши деньги успешно снимаются в банкомате.
И ещё куча способов, которые придумывают изобретательные граждане, жаждущие лёгких денег.
Что же получается, лучше вообще никогда не использовать QR-код? Нет. QR-код замечательный инструмент, им можно и нужно пользоваться, но важно подходить к этому грамотно.
Для начала разберёмся, как мошенники создают поддельный QR-код
Специалисты компании Barracuda выявили усовершенствованные схемы QR-фишинга (quishing), позволяющие злоумышленникам избегать стандартных систем защиты. Одна из них — генерация QR-кодов не в виде изображений, а с помощью текстовых символов (ASCII/Unicode). Это усложняет их распознавание через OCR (оптическое сканирование), поскольку традиционные инструменты не всегда корректно обрабатывают подобные конструкции.
Для маскировки пробелов в таких кодах применяют CSS — цвет текста делают прозрачным, чтобы скрыть часть содержимого от пользователей и систем анализа.
Еще один опасный тренд — использование Blob URI. Эта технология позволяет загружать фишинговые страницы прямо в браузер, без обращения к внешним серверам. Поскольку вредоносный контент хранится локально, отследить его становится практически невозможно.
Особую опасность представляет новая схема Quishing 2.0, где используются два QR-кода:
вредоносный — перенаправляет на поддельную страницу через взломанный аккаунт SharePoint;
«чистый» — ведет на легальный сервис сканирования QR-кодов (например, me-qr.com), но затем также отправляет жертву на фишинговый ресурс.
Такой подход обнаружить сложнее, поэтому он эффективно обманывает системы безопасности.
Почему привычные антивирусы и системы безопасности оказываются бесполезными против атак через QR-коды:
антивирусы не анализируют URL заранее, их технологии начинают работать только после перехода по опасной ссылке;
фишинговые сайты выглядят как легальные;
киберпреступники используют HTTPS;
маскируют ссылки через сокращатели;
копируют дизайн и наполнение известных брендов (например, банков);
обычные пользователи недостаточно знают об угрозах QR-кодов.
Старые методы защиты не успевают за новыми схемами обмана — нужны новые меры безопасности.
Как не пойти на поводу у мошенников и обезопасить себя при сканировании QR-кодов
Старое доброе правило: не зная броду, не суйся в воду.
Видите QR-код в непроверенном источнике? Не стОит сразу по нему переходить. Сначала изучите, откуда поступила информация, насколько она соответствует действительности.
Навели телефон на код — посмотрите, какая ссылка всплывает при этом? Как написаны адрес и доменное имя? Есть ли доп.слова в названии организации, символы, которых не видели ранее при переходе? Пример: sberbank.ru — официальный сайт, а вот sber_bank.ru может быть уже поддельным.
Современные телефоны часто сами помогают распознавать угрозу и сообщать об этом. Не пренебрегайте их возможностями. Например, браузер Safari предупредит вас о небезопасном сайте до перехода на него.
Скачивайте приложения в официальных источниках — App Store и Google Play.
С особым вниманием относитесь к сокращённым ссылкам. Перепроверяйте их прежде, чем переходить.
Для тех, кто хочет большей точности — используйте онлайн-сканеры, например VirusTotal или URLVoid. Они проанализируют ссылку и сообщат вам результат.
Мошенники постоянно совершенствуют свои схемы и изобретают всё более изощрённые способы обмана через QR-коды. Специалистам кибербезопасности приходится вводить в ответ дополнительные меры цифровой гигиены. А пока они трудятся, мы прокачиваем внимание к деталям и критическое мышление.