В последнее время двумерные QR-коды начали получать довольно широкое распространение: их часто используют в рекламе, в разнообразных музейных табличках и вывесках, в журналах и на плакатах. Произошло это благодаря огромной популярности планшетов и смартфонов, которые могут после установки специального приложения безошибочно считывать такие коды. Наиболее часто в таких кодах зашифрованы ссылки на интернет-страницы, сведения о сетях Wi-Fi, СМС с номеров и сообщением, географические координаты или текст, но в принципе в них могут находиться любые данные.
Но популярность любой технологии, которая упрощает некоторое очень неудобное действие, неизбежно вызовет повышение интереса разных мошенников, которые хотят использовать её для получения незаконной выгоды. И QR-коды не оказались исключением, хотя сразу абсолютно и непонятно, как ими можно пользоваться, например, для похищения денежных средств или личной информации. По уже устаревшим данным в 2011 за июнь, лишь за один месяц в США около 14 миллионов людей старше 13 лет сканировали какой-нибудь коды на своем мобильном: примерно 39% сделали это в магазинах, около 20% – на рабочих местах, а примерно 41% – дома. И эти данные относятся лишь к США.
Кроме того приёмы взломщиков применяемые к данным кодам остаются такими же, которые применяют взломе любых иных электронных систем: как всегда, это, сочетание элементов социального инжиниринга и технических средств. Также неизменными остаются и цели: кража личных данных и cookies, взлом интернет-магазинов и Google Glass. Чтобы купить что-то в интернет-магазине или через рекламу на улице в интернете или в журнале при помощи такого кода, потребуется лишь просканировать данный код камерой планшета или смартфона, сразу после вы будете перенаправлены на сайт с дополнительной информацией об услуге или товаре, а также вариантах оплаты и доставки. Но при этом в интернет отправляются некоторые ваши данные, среди них и реквизиты оплаты для вашей карточки или иной платёжной системы.
Вот наиболее простая схема мошенничества с QR-кодами, которые размещены в публичных местах, для примера возьмем виртуальные магазины, представляющие собою большие стенды с фото товаров, ценами и соответствующими кодами – QR. В таких магазинах обычно доступны три варианта доставки товара: скачивание (видео, музыка и ПО), распечатывание (флаеры или билеты) или же доставка (для материальных предметов). Чтобы похитить данные и, если получится, вместе с ними и деньги жертвы, хватит лишь заменить данный код, на тот, который будет отправлять человека на фальшивую страницу и заставлять человека переводить деньги на подставные счета. Сегодня, существует огромное количество программ для генерирования таких кодов, среди них есть и абсолютно бесплатные. Это позволяет мошеннику получить практически весь пакет данных: адрес и имя покупателя и номера его платежных реквизитов. Рекомендуется не скачивать приложения с неофициальных источников, а пользоваться лишь проверенным Google Play. Однако угроза может исходить не только со стороны софта, но и с боку мобильных сетей, информацию с которых можно без проблем перехватить благодаря специальному оборудованию. В таких случая решением проблемы может стать преобретение качественных подавателей gsm и других частот в специализированных магазинах.
Куда более затратным, но, более эффективным является способ печати и распространения рекламных каталогов, буклетов и другого маркетингового хлама, который распространяют по почте или в разных общественных местах. При этом мошеннику даже не нужно маскироваться под неизвестный магазин или торговую сеть: хватит лишь предложить невероятные “скидки и акции”, и данный примитивный прием сделает свое дело. Во всем остальном, результат прежний: вы дарите злоумышленникам не только денежные средства, но также номер карточки и даже адрес.
Для похищения данных, которые вы используете в интернете, используется еще один вариант – похищение cookies браузера, в которых имеется самая разная информация о посещенных вами интернет страницах, включая данные о сессии, которые позволяют не авторизоваться каждый раз во время входа на сайт. Для этого будет достаточно просканировать подмененный код, который отправит вас на фейковый сайт не выглядящий подозрительно и не делающий ничего заметного, а просто украдет ваши cookies файлы. И если хорошие антивирусы обязательно проверяют соответствие реального адреса, тому, что видит пользователь, упрощенные программы для планшетов и смартфонов могут пропустить данную подмену.
После перехвата вашей сессии, к примеру, в интерне-магазине, мошенник сможет легко добраться как до личных данных, так и до сведений о платежной карте. И больше всего, он не будет заказывать какие-то товары в данном магазине, а просто использует полученные данные для создания карты-двойника или же для получения более подробной информации о жертве. Также хорошо известные случаи, когда по коду – QR на Android смартфоне вместо обычного интерне-мессенджера устанавливался СМС-троян Jimm, который отправлял платные СМС с номера жертвы. Несомненно, избавиться от такого рода угроз можно благодаря глушилкам сигнала сотовых телефонов, однако это лишь метод борьбы с проблемой а не способ ее изкоренения.
Google уверяет, что они устранили уязвимость Google Glass, но ранее в таких кодах, которые применялись для настройки очков, возможно было зашифровать различные команды, и даже позволяющие получит удаленный доступ к устройству абсолютно незаметно для владельца. Также раньше можно было заставить очки подключаться к взломанному Wi-Fi или Bluetooth и перехватывать любые данные, передаваемые от очков и к ним – грубо говоря, можно было легко показывать владельцу измененную картинку. Сейчас такая возможность полностью заблокирована и все очки Гугл реагируют на QR-коды только в определенных режимах.
Как видите, сами QR-коды не очень подвергаются взлому, поскольку в их спецификации заложена специальная система по исправлению ошибок основанная на коде Рида – Соломона с 4-мя уровнями избыточности 7-30%, это позволяет, к примеру, считывать даже сильно поврежденный код или с нанесенным поверх него изображением, также можно применять для смартфонов с поцарапанным объективом.
Лучшим вариантом защиты от злоумышленников остается давнее правило сети: не открывать подозрительные ссылки, а в данном случаи звучит это чуть иначе “не сканируйте подозрительные QR-коды”. Куда безопаснее купить товар в проверенном онлайн-магазине, чем воспользоваться услугами виртуального магазина, который размещен в странном месте и тем более рекламными проспектами. Так же в конце хотелось бы отметить об росте перехвата данных со стороны злоумышленников по спутникам GPS и GLONASS. В таких случая мы рекомендуем использовать универсальные глушилки систем спутников GPS и ГЛОНАСС для обеспечения личной безопасности.