Поиск по сайту:

Почему угрозы от QR-кодов процветают

QR-код

Коды быстрого ответа (QR) внезапно снова стали повсюду. QR-код, изобретенный в 1994 году отмеченной наградами командой Denso Wave, дочерней компании Toyota, нашел свое применение практически во всех отраслях. Они как штрих-код на стероидах. Они могут выглядеть, как пьяные шахматные доски, но в черных и белых квадратах с кучей свинины содержится гораздо больше информации, чем в полосах штрих-кода. А QR-коды могут запускать одно из выбранных действий внутри сканирующего устройства — обычно смартфона.

QR-коды можно найти на упаковке продуктов, автобусных остановках и рекламных щитах. Они находятся на печатных рекламных материалах, таких как билеты, листовки и барные коврики. Их можно увидеть на автомобилях компании, в рекламных акциях в магазинах и на стендах на выставках. Хотите узнать больше о продукте, событии или о том, что рекламируется? Отсканируйте код своим смартфоном.

Вы можете найти QR-коды, спрятанные внутри серверов и другого оборудования. Если посещающему техническому специалисту необходимо обратиться к руководству, но у него нет копии, он может отсканировать QR-код и получить доступ к руководству в Интернете.

Если вы используете мобильное приложение LinkedIn, коснитесь группы квадратов в строке поиска, затем коснитесь «Мой код». Вы увидите свой личный QR-код. Он перенаправляет людей прямо в ваш профиль LinkedIn. Все чаще люди добавляют их в свои резюме. Вы даже можете увидеть QR-коды на кладбищах.

Пандемия COVID-19 способствовала возрождению QR-кода. Слава QR-кодов в том, что вам не нужно ничего трогать, кроме собственного смартфона, чтобы использовать их. Это быстрая и простая бесконтактная система, и у всех уже есть подходящий сканер. И это делает его идеальным механизмом для доступа или сбора информации во время пандемии.

Вот почему появление COVID-19 привело к тому, что QR-код занял центральное место во многих компаниях, которые обычно имеют дело с общественностью. Рестораны, например, используют QR-коды для отображения меню на смартфонах посетителей. Нет необходимости иметь дело с распечатанным меню, которое ходит по ресторану неизвестно когда.

В Соединенном Королевстве приложение отслеживания и отслеживания Национальной службы здравоохранения основано на QR-кодах. На площадках отображается специальный плакат с QR-кодом для конкретного места. Посетители сканируют код, и приложение записывает, где и когда вы были. Если кто-то сообщает о симптомах COVID-19, серверы NHS могут обработать данные и выяснить, кто еще вступал в контакт с этим человеком.

Проблема с QR-кодами

Чаще всего QR-код, ориентированный на потребителя, используется для запуска веб-страницы на вашем смартфоне. Но они могут сделать намного больше, чем это. QR-коды могут вызывать различные действия на смартфоне в зависимости от информации, содержащейся в QR-коде.

Прежде чем щелкнуть веб-ссылку, вы, вероятно, визуально проверите ее на наличие несоответствий. Имеет смысл убедиться, что веб-страница, которую вы собираетесь открыть, имеет разумное и правдоподобное имя. Действительно ли он приведет вас на сайт, о котором говорится, или на сайт-подражатель, который украдет ваши учетные данные для входа? По QR-коду не скажешь. Для невооруженного глаза они совершенно непроницаемы — их содержимое не может быть прочитано людьми. Сканирование QR-кода — это прыжок веры.

Наши смартфоны — это воплощение нашей личности в реальном мире. Они содержат всевозможные личные данные, которые имеют неоценимое значение для злоумышленников, а также доступ к таким приложениям, как онлайн-банкинг, PayPal и криптовалютные кошельки. Скомпрометированный смартфон ничуть не хуже взломанного компьютера.

Смартфоны стирают границы между личной цифровой жизнью людей и их корпоративной или рабочей цифровой жизнью. Некоторые люди, которым выдан корпоративный смартфон, также имеют личный смартфон. Для большинства проще и дешевле иметь один смартфон — корпоративный — и использовать его для бизнеса и личных целей.

Люди, как правило, меньше заботятся о безопасности при личном использовании Интернета, чем при корпоративном использовании. Но если их смартфон будет скомпрометирован, это поставит под угрозу корпоративную сеть, поскольку вредоносное ПО может получить данные о подключении к VPN и другим учетным записям. Деловые электронные письма также могут быть перекачаны с устройства.

Конечно, работники без бизнес-смартфона будут иметь личный смартфон и, скорее всего, подключат его к корпоративному Wi-Fi. Частные смартфоны с меньшей вероятностью будут защищены пакетами VPN или защиты конечных точек.

Будь то корпоративный смартфон или личное устройство, скомпрометированный смартфон представляет собой риск, если он подключается к корпоративной сети.

А смартфоны могут быть скомпрометированы на месте работы. Становится все более распространенным включать QR-код в резюме или резюме. Это может привести вас к личному блогу заявителя или к его профилю LinkedIn, или это может быть вредоносным. Отправка поддельного резюме с QR-кодом — это простой способ компрометации смартфона с помощью бумажной атаки.

Что может QR-код?

QR-коды могут запускать ряд различных действий в смартфоне.

  • Запуск веб-сайта. Если это вредоносный сайт, это может быть сайт для сбора учетных данных с подражанием или заражение вашего смартфона троянским конем. Затем вредоносное ПО будет подключаться к серверам злоумышленников. Данные могут быть переданы с вашего смартфона на серверы или на ваш смартфон может быть загружено другое вредоносное ПО.
  • Добавьте вредоносную запись в свои контакты. Специально созданная запись контакта, содержащая вредоносную информацию, может вызвать эксплойты на вашем смартфоне.
  • Добавить и подключить вас к сети Wi-Fi, которая может быть вредоносной или скомпрометированной сетью.
  • Внести платеж. Часто под предлогом того, что это средство пожертвования на благотворительность, вредоносные QR-коды могут принимать платежи и позволяют злоумышленникам захватить ваши личные данные и данные учетной записи. ли>
  • Совершите голосовой вызов. Если этот звонок адресован злоумышленникам, теперь у них есть ваш номер и идентификатор вызывающего абонента. Они могут попытаться с помощью социальной инженерии выудить из вас другую информацию.
  • Создайте текстовое SMS-сообщение. С помощью QR-кода можно создать текстовое сообщение, адресованное злоумышленникам (или кому-либо по их выбору). Это оставляет вас уязвимыми для текстовых фишинговых атак, известных как смишинг-атаки.
  • Составьте электронное письмо с предварительно заполненными получателями и темами, оставив вас открытыми для фишинговых атак по электронной почте.
  • Зарегистрируйтесь, чтобы следить за учетными записями в социальных сетях. Публикации в учетной записи социальной сети будут содержать ссылки, по которым жертвы будут нажимать, загружая вредоносное ПО на свой телефон.

QR-коды также могут создавать записи в вашем календаре или определять ваше местоположение с помощью GPS вашего смартфона, но это с меньшей вероятностью приведет к компрометации.

Сначала подумай, потом сканируй

С QR-кодами контекст имеет первостепенное значение. Где код? Кто является владельцем или поставщиком кода? Если это самодельный флаер, прикрепленный степлером к телеграфному столбу, вы не можете поручиться за его достоверность. У вас нет происхождения этого кода. Если QR находится на профессионально напечатанном плакате в приемной кабинета врача или больницы, вы можете быть более уверены в подлинности кода.

Но даже в этом случае убедитесь, что другой QR-код не был напечатан на бумажной этикетке и не наклеен поверх подлинного кода. Глядя на него, вы не сможете определить, является ли QR-код доброкачественным или вредоносным, но вы можете найти признаки несанкционированного доступа или модификации. Если он выглядит так, как будто в него вмешались, не сканируйте его.

Просмотрите настройки в приложении для сканирования QR-кода и настройте его на отображение веб-адресов перед запуском веб-сайта или, фактически, выполнением любого другого действия. Жаль, что вам нужно ввести человеческую проверку при использовании QR-кодов, которые предназначены для безболезненного рабочего процесса «отсканируй и готово», но борьба с киберпреступностью требует постоянного усердия.