Безопасны ли QR-коды? Как узнать и избежать проблем

QR-коды — неотъемлемая часть современной жизни. С их помощью доступ к цифровой информации (от платежных шлюзов до меню ресторанов) можно получить, легко и просто отсканировав картинку.

Впрочем, широкое распространение также сделало эти коды одной из излюбленных целей киберпреступников, стремящихся распространить опасное ПО, украсть данные или совершить другие преступления.

Опасность QR-кодов связана с их простотой: отличить с первого взгляда опасный код от безопасного невозможно. Даже продвинутые инструменты защиты не способны полностью исключить человеческий фактор и случайные сканирования опасных кодов, в связи с чем необходимо соблюдать бдительность.

В этом руководстве мы расскажем вам, как безопасно сканировать QR-коды. Мы объясним принципы их работы, расскажем про способы использования QR-кодов мошенниками и поделимся полезными советами о как, как выявить опасные коды и не стать их жертвой.

Что такое QR-код?

QR-код (от англ. Quick Response — быстрый ответ) — это двумерный код, который быстро распознается цифровыми устройствами. Каждый QR-код имеет характерный узор из черно-белых точек, и каждая из этих точек формирует один из закодированных модулей общим размером до 177 x 177 пикселей. QR-коды изобрели инженер Масахиро Хара из компании Denso Wave и Такаюки Нагая в 1994 году. Их задачей было сделать сканирование цифровых кодов более эффективным.

Сегодня QR-коды являются гибкими инструментами для мгновенного обмена информацией. Они способны хранить в себе куда больше информации, чем обычные одномерные штрихкоды. QR-коды используются в супермаркетах, ресторанах, аэропортах и многих других местах.

Как работает QR-код?

Когда вы сканируете QR-код, камера вашего устройства или специальное приложение для считывания QR делает фото кода. Далее программа анализирует уникальный узор из точек, в котором закодированы соответствующие данные. После она преобразует узоры в используемый формат.

После декодирования данные используются по назначению. Например, если код содержит URL сайта, браузер смартфона откроет эту страницу. Если в коде зашифрована контактная информация, вы получите предложение сохранить новый контакт.

Какие элементы есть у QR-кода?

QR-код состоит из следующих типовых элементов:

• Поисковые узоры: три больших квадрата в верхнем левом, верхнем правом и нижнем левом углах. Они используются сканерами для определения ориентации кода и позволяют считывать его с любых углов.
• Выравнивающие узоры: их можно найти в более крупных QR-кодах, где эти небольшие узоры служат для защиты от искажения во время сканирования.
• Полосы синхронизации: чередующиеся белые и черные модули между поисковыми узорами выступают в качестве системы координат и помогают сканеру определить размер матрицы данных.
• Код формата: зона рядом с поисковым узором, содержащая сведения об используемом коде маски и уровня коррекции. Она помогает сканеру правильно считывать даже частично поврежденные коды.
• Код версии: сообщает версию QR-кода, определяющую общую структуру и объем кодируемых данных.
• Код маски и уровня коррекции: основная часть QR-кода, содержащая зашифрованные данные вместе с ключами коррекции ошибок. Эти ключи гарантируют, что QR-код будет правильно распознан, даже если 30% его площади повреждены или отсутствуют.
• Отступ: это свободное место вокруг кода, помогающее сканеру изолировать QR от окружения. Такой отступ нужен, чтобы не захламлять код другими визуальными элементами.

Типы и стили QR-кодов

Есть разные типы QR-кодов, у каждого из которых свои уникальные характеристики и особенности в плане гибкости, объема кодируемых данных и уровня защиты. Зная разницу между ними, вам будет проще понять, как они используются и какие риски с ними связаны.

Статические и динамические QR

Одним из ключевых различий между QR-кодами является принцип статичности и динамичности. Сами коды при этом выглядят одинаково — разница в том, куда ведет зашифрованная в них ссылка.

Статические QR ведут прямо на фиксированный URL-адрес или данные — например, на код купона, контактные данные или пароль от Wi-Fi. Изменить созданный статический QR-код нельзя.

Динамические QR — это скорее сервис. Команда предоставляет вам уникальный URL-адрес для переадресации и создает QR-код, указывающий на него. Вы можете использовать этот сервис, чтобы управлять тем, куда ведет URL переадресации. Такой сервис может также предоставлять вам дополнительные возможности — например, автоматически отслеживать запросы, полученные по соответствующему адресу.

QR-коды разных типов идентичны в плане работы, но динамические коды отличаются больше гибкостью, их удобнее контролировать с помощью сервиса-посредника.

Типовые варианты QR-кодов (Model 1, Micro QR, rMQR, Frame QR)

Помимо статических и динамических кодов, также используются следующие стандартизированные варианты QR:

• Model 1 и Model 2: версия Model 1 является первым вариантом реализации QR-кодов, она может хранить до 1167 знаков и имеет до 14 модулей. Версия Model 2 является улучшением версии Model 1, сегодня она используется гораздо шире, так как позволяет хранить до 7089 знаков и имеет до 40 модулей. Именно QR-коды версии Model 2 вы, скорее всего, встречаете на постерах, флаерах и упаковках товаров.
• Micro QR: это миниатюрные коды, способны хранить всего 35 знаков. Они содержат только один позиционирующий узор и, как правило, используются для маркировки небольших предметов — электронных компонентов, этикеток и визиток.
• Прямоугольные коды Micro QR (rMQR): это прямоугольные коды, созданные для узких пространств, куда нельзя поместить обычные квадратные QR-коды. У них полтора позиционирующих узора, зашифровать в них можно до 361 знака.
• Frame QR: такие коды имеют настраиваемый блок в центре, куда можно поместить изображение, логотип или текст. Окружающий их QR-код при этом будет оставаться сканируемым.

Защищенные QR (SQRC): в чем их сила?

SQRC-коды на первый взгляд не отличаются от обычных QR-кодов, но есть у них и уникальное преимущество — один такой QR может хранить и публично доступные, и приватные данные одновременно. Любой, кто сканирует SQRC-коды, получит доступ к публичной информации. А вот приватные данные будут видны только тем, у кого есть соответствующее устройство, способное их расшифровать.

Такая двухслойная структура делает эти коды идеальным вариантом для безопасного доступа к логинам и паролям, распространения приватных документов и подтверждения личности — в общем, для всех задач, где неавторизованные пользователи не должны иметь доступа к защищенным данным, даже если сканируют код.

SQRC-коды используют шифрование и механизмы управляемого доступа. Они содержат такие элементы защиты, как управление публичными ключами и доступом на уровне отдельных устройств. Как следствие, такие коды гораздо реже страдают от спуфинга, утечек данных и атак через посредника. SQRC-коды популярны у бизнеса и в промышленности, где служат для, например, взломоустойчивого отслеживания продуктов.

По сути, злоумышленники ничего не смогут сделать с такими кодами, не имея соответствующего пароля — без него видимый QR-код просто не покажет зашифрованную часть. Это делает SQRC-коды куда более безопасным аналогом привычных QR, особенно в условиях, где необходимо обеспечить конфиденциальность соответствующих данных.

Почему мошенники используют QR-коды?

Удобный формат и широкое распространение QR-кодов делает их заманчивой мишенью для киберпреступников. Мошенничества, совершенные с помощью QR-кодов, известны как «квишинг» (от англ. QR code phishing — фишинг через QR).

Рост популярности и глобальное распространение QR-кодов

QR-коды встречаются повсеместно, за последние годы их популярность росла по экспоненте. Некогда нишевая разработка для промышленности стала ключевым элементом маркетинга, розничной торговли и логистики по всему свету. Такое распространение означает, что люди привыкают сканировать коды и не обращают на них должного внимания.

Как преступники используют доверие к QR-кодам

Фундаментальная проблема QR-кодов в плане безопасности связана с тем, что люди по умолчанию доверяют тому, что сканируют, и даже не пытаются убедиться в подлинности кода. Злоумышленники этим активно пользуются, встраивая опасные ссылки, ведущие на фишинговые платформы, в QR-коды. Также они могут банально подменять нормальные коды своими — например, помещая их на парковках или в меню ресторанов.

Возможность не только разместить сам физический код, но и скрыть его вредоносный потенциал, позволяет использовать QR-коды как вполне конкретный вектор атаки.

Можно ли отследить QR-коды?

Да, но только динамические QR-коды. В таком случае любое устройство, сканирующее код, обращается сперва к серверу перенаправления, откуда направляется к финальному узлу. Взаимодействие с сервером перенаправления может, пусть и в теории, использоваться для отслеживания количества сканирований, времени и даты таких операций, а также локации сканирования (по IP-адресу).

Если вы переживаете, что ваше местоположение может оказаться отслежено через QR-код, воспользуйтесь ExpressVPN, чтобы скрыть свой IP и гарантировать, что сервер перенаправления не получит доступ к вашему реальному местонахождению.

Могут ли QR-коды собирать персональные данные?

Сами по себе QR-коды не могут собирать персональные данные. Но вот контент в QR-коде — может. Если QR-код перенаправит вас на опасный сайт, тот может попытаться получить ваши логины, данные о местоположении и устройстве, а также другую конфиденциальную информацию.

Можно ли взломать QR-коды?

QR-код сам по себе — это статическое изображение с зашифрованными данными, то есть взломать его в привычном смысле нельзя. Никто не сможет взломать узор QR-кода и изменить содержащуюся в нем информацию. Другое дело, что мало что помешает злоумышленникам поместить поверх нормального QR-кода собственный — содержащий опасные ссылки.

Типовые способы мошенничества с QR-кодами

1. Коды в фишинговых письмах

Бывает, что вредоносные QR-коды можно найти прямо в электронном письме — будто бы от банка, популярного онлайн-сервиса, курьерской компании и так далее. Такое письмо, скорее всего, будет предлагать сканировать код для совершения совершенно обычного действия — скажем, подтверждения учетной записи или отслеживания посылки.

Фильтры сервисов электронной почты пока не умеют анализировать изображения столь же эффективно, что и текст, поэтому опасные QR-коды нередко обходят встроенные механизмы защиты. Как следствие, этот вектор атаки используется весьма часто. Наше подробное руководство на тему фишинговых писем расскажет вам про все признаки действительно опасного электронного письма.

2. Поддельные QR-коды в меню ресторанов

Многие рестораны используют в своих меню QR-коды, и злоумышленники этим пользуются, размещая свои коды поверх нормальных. Такие QR ведут на опасные сайты, созданные для кражи ваших персональных данных.

3. QR-коды публичных сетей Wi-Fi

Публичные сети Wi-Fi в кафе, аэропортах и торговых центрах доступны по сканированию QR-кода, что очень удобно. И киберпреступники этим тоже пользуются — они размещают собственные QR, обещающие доступ к сети Wi-Fi. На деле же, сканировав такой код, вы рискуете столкнуться со следующими угрозами:

• Подключение к сети Wi-Fi злоумышленника: QR-код может подключить ваше устройство к незащищенной или опасной сети, в которой ваш трафик может быть перехвачен.
• Загрузка опасного ПО: вам могут предложить загрузить опасную программу, замаскированную под конфигурационный файл Wi-Fi.
• Фишинговые страницы: опасные QR-коды могут вести на поддельные страницы входа, созданные для кражи вашей персональной информации.

Помните о необходимости использовать VPN при работе с публичных сетях Wi-Fi для шифрования вашего трафика и маскировки IP-адреса. ExpressVPN также защитит вас от угрозы со стороны вредоносных сайтов с помощью своих инструментов Threat Manager.

4. Поддельные ярлыки и этикетки товаров

Ярлыки и этикетки товаров также используются злоумышленниками для атак через QR-коды. Мошенники могут копировать QR нормального товара и поместить его поверх поддержки. Таким образом, любые попытки проверить надежность товара сканированием QR-кода обречены на провал — в коробке может быть подделка, но на экране смартфона откроется страница фирменного сайта.

5. QR-коды для мошенничеств в банковской сфере

Широкое использование QR-кодов для быстрой бесконтактной оплаты делает их целью для мошенников:

• Поддельные коды: мошенники создают собственные QR-коды и размещают их поверх нормальных кодов — например, на парковках и заправках. Сканирование такого кода ведет на поддельную страницу, созданную для перехвата платежных данных.
• Поддельные квитанции: мошенники также могут распечатать собственные квитанции и счета за оказанные услуги — разумеется, со своими QR-кодами. Оплата по такому коду приведет к тому, что вы просто лишь переведете свои деньги злоумышленнику.

6. QR-коды для мошенничества в медицинской сфере

Сектор здравоохранения использует QR-коды для информирования пациентов, записи к врачам и доступа к цифровым данным. Мошенники же могут использовать QR для отправки поддельных писем, в том числе бумажных, где такие коды будут вести на фишинговые сайты, созданные для кражи пользовательских данных.

7. QR-коды для мошенничества с криптовалютой

Если вы используете криптовалюту, то обращайте внимание на следующие возможные угрозы:

• Поддельные адреса кошельков: QR-коды могут соблазнять вас участием в раздаче или тому подобной акции, но на деле они будут связаны с кошельком мошенника.
• Фишинг данных кошелька: QR-коды могут перенаправить вас на поддельную биржу криптовалют, где вам нужно будет авторизоваться или даже «подключить кошелек» — и всё это создано для кражи приватного ключа вашего кошелька.
• Раздачи «бесплатной» криптовалюты: вы можете найти ссылки или записи с QR-кодами, ведущими на мошеннические сайты, где будто бы раздают криптовалюту всем желающим.

8. QR для мошенничества в соцсетях

В соцсетях очень много подозрительных и откровенно небезопасных QR-кодов. Их можно найти в записях и биографиях, обещающих эксклюзивный контент, большие призы или подарочные карты за участие в той или иной акции. Сканирование таких кодов лишь открывает опасные сайты, созданные для кражи ваших данных.

9. Поддельные коды в бумажном спаме

Даже бумажные письма не защищены от поддельных QR-кодов, и вы вполне можете получать такую корреспонденцию. Примечателен пример, когда люди получили письма от MeteoSwiss — федерального бюро метеорологии и климатологии Швейцарии. В письме предлагалось загрузить приложение для уведомления о погодных условиях, которое оказалось вредоносным.

10. Поддельные приложения для сканирования QR

Функция сканирования QR-кодов доступна в большинстве современных смартфонов, но некоторые люди по-прежнему используют для этого сторонние приложения. Такие программы могут оказаться вредоносными и привести к утечке ваших данных. Всегда внимательно проверяйте приложения, которые планируете скачать, и учитывайте отзывы других пользователей.

Как безопасно сканировать QR-коды

Всего несколько необременительных привычек дадут вам сканировать QR-коды более безопасным и уверенным образом. Главное — смотреть на любой QR-код с разумной дозой скепсиса и осторожности. Наши советы помогут вам избежать случайного сканирования опасных кодов.

Как проверить QR-код

Прежде чем сканировать любой QR-код, вспомните про следующие правила:

• Проверьте источник: убедитесь, что QR-код получен от надежного источника.
• Учтите контекст: подумайте о том, есть ли смысл в QR-коде здесь и сейчас. Например, QR в меню ресторана — это уместно, а вот QR на стене общественного туалета — уже спорно.
• Проверьте внешний вид кода: внимательно посмотрите на QR-код и убедитесь, что это не стикер поверх другого кода. Любые признаки физического изменения кода — красный флаг.
• Проверьте URL в режиме предпросмотра: у большинства сканеров QR современных смартфонов есть такая функция, доступная при сканировании QR-кода. Убедитесь, что речь идет про безопасный URL-адрес, прежде чем открывать его.

Рекомендованные приложения для сканирования QR

Лучшее приложение для сканирования QR встроено в камеру вашего смартфона. У большинства смартфонов такая функция уже есть: достаточно открыть приложение камеры и навести объектив на QR-код. Встроенное приложение куда безопаснее, чем любое стороннее, которое может отслеживать ваши действия или даже оказаться вредоносным.

Как обнаружить опасный или измененный код

Есть несколько характерных признаков, указывающих на вредоносные QR-коды (и коды, которые меняли на физическом уровне):

• Наличие наклейки: типовой признак подозрительного кода — когда он представляет собой стикер-наклейку поверх какого-то другого QR. Обратите внимание на края кода, разницу в текстурах или несовпадающее расположение.
• Низкое качество печати: опасные коды редко отличаются качественной печатью, они выглядят пикселизированными, бледными или искаженными на фоне профессионально выполненных кодов.
• Подозрительное расположение: QR-код на случайном фонарном столбе, к примеру, не должен вызывать доверия.
• Разница в брендах: если QR-код будто бы от известной компании, но имеет непохожий логотип или непривычные цвета, он может быть поддельным.
• Нераспознаваемый URL: особую осторожность следует проявить, если URL-адрес при предпросмотре QR-кода не удается распознать.

Что делать, если подозрительный QR-код всё же был сканирован?

Случайное сканирование вредоносного QR-кода — это не шутка, но быстрая реакция позволит свести к минимуму возможный вред. Конкретные действия зависят от того, что случилось после сканирования. Может, открылся странный сайт? Или вы ввели где-то свои личные данные? Ниже описаны действия, которые следует предпринять, если вы подозреваете, что можете стать жертвой мошенников.

Отключитесь от Сети

Первая линия защиты — отключение от Интернета. Заподозрив проблему, сразу же отключитесь от Wi-Fi и мобильного трафика. Так вы оборвете подключение между своим устройством и Сетью, что защитит вас от незаметной загрузки дополнительного вредоносного ПО или отправки данных на серверы злоумышленников.

Создайте резервные копии своих файлов

В первую очередь создайте копии всего важного — наличие актуальной копии документов, фото и других данных всегда кстати. Желательно, конечно, иметь сделанную заранее резервную копию — на тот случай, если сканирование QR заразило ваше устройство, и теперь ему требуется сброс к заводским настройкам. Используйте внешний жесткий диск или надежное облачное хранилище для этого.

Запустите антивирусную проверку

Используя надежный антивирус, проведите полную антивирусную проверку вашего устройства, особенно если оно демонстрирует признаки заражения. Убедитесь, что база антивируса полностью обновлена, и следуйте рекомендациям, чтобы поместить на карантин или удалить выявленные угрозы.

Защитите свои онлайн-аккаунты

Необходимо также будет обновить свои пароли, если вы подозреваете, что стали жертвой мошенничества с QR-кодами. Это особенно актуально, если на открывшемся после сканирования сайте предлагалось ввести те или иные логины и пароли. Защитите свою цифровую жизнь с помощью следующих действий:

• Смените пароли: сразу же смените пароли ваших важнейших сервисов (например, почты, соцсетей, банков и платежных платформ). С помощью менеджера паролей ExpressVPN Keys этот шаг можно максимально упростить.
• Включите двухфакторную аутентификацию (2FA): 2FA нужно включать везде, где есть такая возможность. Она обеспечит вашим данным дополнительную защиту и потребует для доступа к аккаунту дополнительный проверочный код, что защитит вас в случае кражи основного пароля злоумышленниками.

Установите кредитный самозапрет

Кредитный самозапрет пригодится, если украдены или скомпрометированы окажутся ваши персональные данные. В результате посторонние не смогут открыть на ваше имя счета или взять кредиты, что существенно снизит объем потенциального ущерба, с которым вы можете столкнуться.

Уведомите свой банк или платежный сервис

Если вы вводили свои банковские, платежные или другие финансовые реквизиты, немедленно уведомите банк или платежный сервис и объясните ситуацию. Вам могут посоветовать необходимые действия — например, заблокировать скомпрометированную карту и выпустить новую.

Поищите признаки кражи личных данных

Утечка данных может привести к необычной активности, характерной для кражи личных данных. Вот на что следует обращать внимание в первую очередь:

• Непонятные списания с банковских карт
• Счета за сервисы, на которые вы не оформляли подписку
• Необычные звонки, письма и сообщения об аккаунтах, которые вы не открывали

Бдительность и осторожность при обнаружении таких признаков — залог успеха. Если вы в США, воспользуйтесь инструментами Identity Defender от ExpressVPN, чтобы защититься от кражи личности. Вы получите уведомления об использовании ваших личных данных, страховку от их кражи, возможность удалить свои данные из баз сайтов и доступ к кредитному сканеру. Все эти инструменты работают одновременно и обеспечивают комплексную защиту.