Чи безпечні QR-коди? Як уникнути шахрайства та фішингу

Чи безпечні QR-коди?
Як уникнути шахрайства та фішингу

Вступ

QR-коди стали популярним інструментом для швидкого доступу до веб-сайтів, платежів та обміну інформацією. Вони широко використовуються в рекламі, логістиці, банківських операціях та навіть у системах контролю доступу. Проте їхня зручність відкрила нові можливості для кіберзлочинців, які використовують QR-коди для шахрайства, фішингу та розповсюдження шкідливого програмного забезпечення.

У цій статті ми розглянемо принцип роботи QR-кодів, основні загрози, пов'язані з ними, та найефективніші способи захисту від можливих атак.

Що таке QR-код?

QR-код (Quick Response Code) – це двовимірний штрихкод, який може містити різноманітну інформацію, включаючи посилання на веб-сайти, контактні дані, платіжні реквізити та навіть команди для виконання певних дій на смартфоні. Для сканування QR-кодів використовують камеру мобільного пристрою або спеціальні додатки.

Зазвичай QR-коди використовуються для:

  • швидкого відкриття веб-сторінок без введення URL вручну;
  • отримання додаткової інформації про товари та послуги;
  • здійснення платежів і переказів;
  • підключення до Wi-Fi мереж;
  • завантаження мобільних додатків.

Проте ця технологія не завжди є безпечною, оскільки її можуть використовувати шахраї для різноманітних злочинних схем. Вони можуть створювати підроблені QR-коди, що перенаправляють користувачів на фішингові сайти, змушують завантажувати шкідливе програмне забезпечення або навіть ініціюють небажані фінансові транзакції. Завдяки простоті генерації та широкому використанню QR-кодів, вони стали привабливим інструментом для кіберзлочинців, які використовують соціальну інженерію та довірливість людей для досягнення своїх цілей.

Що таке фішинг?

Фішинг – це один із найпоширеніших видів інтернет-шахрайства, при якому зловмисники маскуються під довірені компанії, установи чи навіть знайомих людей, щоб змусити жертв добровільно надати конфіденційну інформацію.

Реальний випадок фішингу:

У 2021 році кіберзлочинці створили фальшивий веб-сайт, що імітував відому платіжну систему PayPal. Вони розсилали електронні листи користувачам, повідомляючи, що їхній акаунт було заблоковано з міркувань безпеки, і пропонували перейти за посиланням для підтвердження особистих даних. Користувачі, які вводили свої логін і пароль на підробленій сторінці, передавали їх шахраям, які потім отримували доступ до їхніх рахунків і могли здійснювати несанкціоновані транзакції.

Такий вид шахрайства залишається дуже поширеним, і користувачам слід завжди перевіряти справжність сайтів перед введенням будь-яких конфіденційних даних. Це може включати паролі, номери кредитних карток, дані для входу в банківські акаунти, персональні дані або навіть секретні корпоративні документи.

Фішингові атаки можуть здійснюватися різними методами, серед яких:

  1. Фішинг через електронну пошту – зловмисники надсилають підроблені електронні листи, що імітують офіційну кореспонденцію банку, соцмережі або державної установи. У таких листах користувача просять перейти за посиланням та ввести конфіденційні дані.
  2. Фішинг через підроблені веб-сайти – шахраї створюють сайти-клони, які виглядають ідентично офіційним. Вони можуть навіть використовувати доменні імена, схожі на справжні, з невеликою зміною, наприклад, "g00gle.com" замість "google.com".
  3. Фішинг через соціальні мережі та месенджери – користувачі можуть отримати повідомлення від нібито знайомих людей із проханням допомогти фінансово або перейти за підозрілим посиланням.
  4. Телефонний фішинг (вішинг) – шахраї телефонують жертві, представляючись співробітниками банку, служби безпеки або поліції, та намагаються отримати конфіденційну інформацію.
  5. Фішинг через SMS (смшинг) – користувач отримує SMS з фальшивим посиланням, яке веде на підроблений сайт.
  6. Фішинг через QR-коди (квішинг) – шахраї використовують QR-коди для перенаправлення користувачів на підроблені веб-сайти або автоматичного встановлення шкідливого ПЗ на їхні пристрої.

Фішинг залишається одним із найефективніших методів шахрайства через людську довірливість та брак кіберграмотності. Захиститися від нього можна завдяки уважності до деталей, перевірці веб-адрес та використанню двофакторної аутентифікації.

Додатковий реальний випадок фішингу:

У 2022 році хакери запустили масштабну фішингову атаку на користувачів популярної онлайн-платформи для бронювання готелів. Вони надсилали електронні листи від імені сервісу, повідомляючи користувачів про зміну деталей їхнього бронювання та пропонуючи перейти за посиланням для підтвердження. Листи містили офіційний логотип, професійний дизайн і навіть персоналізовані дані користувачів.

Після переходу за посиланням жертви вводили свої логін та пароль на підробленому сайті, який повністю імітував оригінальну платформу. Таким чином, хакери отримували доступ до облікових записів користувачів, змінювали платіжні дані та переадресовували платежі на свої рахунки. Це призвело до значних фінансових втрат серед жертв атаки.

Цей випадок вкотре підтверджує, наскільки важливо завжди перевіряти URL-адреси перед введенням конфіденційної інформації, уникати переходу за підозрілими посиланнями та використовувати двофакторну аутентифікацію для захисту облікових записів.

Що таке квішинг?

Квішинг (QR-phishing) – це специфічний вид фішингової атаки, який базується на використанні QR-кодів для обману користувачів. Зловмисники створюють підроблені QR-коди, які можуть вести на шкідливі веб-сайти, завантажувати вірусне програмне забезпечення або навіть ініціювати фінансові транзакції без відома користувача.

Основні методи використання квішингу:

  1. Фальшиві веб-сайти – QR-код може перенаправити користувача на сайт, який виглядає як справжній веб-ресурс банку, платіжної системи або соціальної мережі. На такому сайті користувач вводить свої облікові дані, які потім потрапляють до шахраїв.
  2. Автоматичне встановлення шкідливого ПЗ – після сканування QR-коду користувач може бути перенаправлений на сайт, який автоматично завантажує вірус або шпигунське програмне забезпечення на пристрій.
  3. Фальшиві платіжні сторінки – QR-код може містити посилання на підроблену платіжну форму, яка виглядає ідентично справжній. Користувач вводить дані своєї банківської картки, після чого шахраї можуть отримати доступ до його коштів.
  4. Маніпуляції в громадських місцях – шахраї можуть розміщувати QR-коди на банкоматах, паркоматах, в ресторанах або торгових центрах. Наприклад, на паркоматі справжній QR-код для оплати парковки може бути замінений шахрайським, який перенаправить платіж на рахунок злочинців.
  5. QR-коди в електронних листах та соцмережах – шахраї можуть надсилати підроблені листи або повідомлення в месенджерах, які містять QR-коди з нібито «ексклюзивними пропозиціями» або «бонусами». Насправді вони можуть вести на шкідливі ресурси.

Квішинг особливо небезпечний через те, що користувач не може заздалегідь перевірити вміст QR-коду перед його скануванням. Тому важливо використовувати додатки для перевірки безпеки QR-кодів, уникати сканування кодів з неперевірених джерел і уважно аналізувати URL-адреси перед введенням особистих даних.

Як працює квішинг?

  1. Шахрай створює підроблений QR-код – це може бути код, який веде на фальшиву сторінку банку, платіжного сервісу або соціальної мережі.
  2. QR-код розміщується в публічних місцях – зловмисники можуть наклеїти його поверх справжнього коду в ресторанах, на банкоматах, квитанціях або оголошеннях.
  3. Користувач сканує код і переходить на підроблений сайт – сайт може виглядати ідентично оригінальному, що ускладнює виявлення підробки.
  4. Жертва вводить свої дані – зловмисники отримують доступ до паролів, банківських рахунків або іншої конфіденційної інформації.
  5. Шахраї використовують отриману інформацію – вони можуть вкрасти гроші, отримати доступ до акаунтів або використовувати дані для подальших атак.

Основні ризики, пов'язані з QR-кодами

1. Підроблені QR-коди

Одна з найпоширеніших схем шахрайства – це заміна легітимних QR-кодів на підроблені. Зловмисники можуть створювати фальшиві QR-коди, які виглядають як справжні, але перенаправляють користувачів на небезпечні веб-ресурси або запускають шкідливе програмне забезпечення.

Як це відбувається?

  1. Фізична підміна QR-кодів – шахраї друкують свої QR-коди та наклеюють їх поверх оригінальних у ресторанах, банкоматах, торгових центрах або на рекламних плакатах. Користувачі не помічають підміни та переходять за небезпечним посиланням.
  2. QR-коди в друкованих матеріалах – шахрайські коди можуть бути надруковані в підроблених брошурах, квитанціях, афішах, рекламних листівках. Вони можуть обіцяти знижки, бонуси або спеціальні пропозиції, спонукаючи людей сканувати код.
  3. QR-коди в електронних листах та повідомленнях – шахраї розсилають електронні листи та SMS із QR-кодами, які ведуть на підроблені веб-сайти для збору персональних даних.

Які наслідки?

  • Користувач може потрапити на підроблений сайт, який виглядає як справжній сайт банку, соціальної мережі чи онлайн-магазину.
  • QR-код може автоматично запустити завантаження шкідливого ПЗ, яке краде паролі, фінансові дані або слідкує за активністю користувача.
  • QR-код може містити команди для автоматичного здійснення платежів без відома користувача.

Як захиститися?

  • Завжди перевіряйте, чи QR-код не наклеєний поверх оригінального.
  • Не скануйте QR-коди з підозрілих або невідомих джерел.
  • Використовуйте додатки для сканування QR-кодів, які попередньо перевіряють посилання.
  • Якщо QR-код веде на сайт, перевірте адресу в браузері перед введенням будь-яких даних.

2. Фішингові атаки через QR-коди

QR-код може перенаправити користувача на підроблений веб-сайт, який візуально та функціонально копіює оригінальний ресурс, наприклад, сайт банку, платіжного сервісу або соціальної мережі. Щоб перевірити справжність сайту, перед введенням будь-яких даних варто уважно переглянути URL-адресу – офіційні сайти завжди використовують захищене з'єднання (HTTPS), а доменне ім'я має точно збігатися з назвою компанії. Також слід звернути увагу на граматику та орфографію в адресному рядку та на самій сторінці – шахрайські сайти часто містять помилки або неточності. Крім того, можна перевірити сертифікат безпеки сайту, натиснувши на значок замка поруч із URL, а також не вводити конфіденційні дані, якщо сайт здається підозрілим або вимагає занадто багато інформації. Такий сайт може мати ідентичний дизайн, логотипи та навіть працюючі форми зворотного зв'язку, що ускладнює виявлення шахрайства.

Коли жертва вводить свої облікові дані – логін, пароль, дані банківської картки або іншу конфіденційну інформацію, ці дані миттєво передаються шахраям. Вони можуть використовувати їх для входу в особисті кабінети жертви, зняття коштів з рахунків, доступу до корпоративних систем або подальшого поширення шахрайських схем.

Часто такі сайти використовують доменні імена, що дуже схожі на справжні, наприклад, "g00gle.com" замість "google.com", або ж підставні субдомени на основі легітимних ресурсів, наприклад, "secure-banking.yourbank.com.fakesite.com". Щоб уникнути потрапляння на такі ресурси, перед введенням будь-яких даних варто уважно перевіряти URL-адресу сайту, використовуючи лише офіційні додатки та закладки для доступу до важливих сервісів.

3. Автоматичне завантаження шкідливого ПЗ

Деякі QR-коди можуть містити посилання на файли, що автоматично завантажуються на пристрій користувача. Це може бути вірусне або шпигунське програмне забезпечення, яке збирає персональні дані або викрадає фінансову інформацію.

4. Фінансові шахрайства

Шахрайські QR-коди можуть перенаправляти користувачів на підроблені платіжні сторінки, які візуально і функціонально копіюють офіційні сервіси банків, електронних гаманців або онлайн-магазинів. Такі сторінки можуть мати справжній логотип, дизайн і навіть працюючі форми зворотного зв’язку, що робить їх дуже схожими на оригінальні.

Після сканування такого коду жертва потрапляє на підроблений сайт, де її можуть попросити ввести дані банківської картки, CVV-код, одноразові паролі або підтвердити платіж через SMS або мобільний додаток банку. У більшості випадків користувач не підозрює про шахрайство, оскільки весь процес виглядає автентично.

Щойно жертва вводить дані, шахраї можуть миттєво здійснити несанкціонований переказ коштів на підставні рахунки, використати платіжні реквізити для майбутніх транзакцій або навіть продати отриману інформацію на чорному ринку.

Щоб уникнути подібних атак, завжди перевіряйте URL-адресу перед введенням будь-яких фінансових даних. Якщо сайт здається підозрілим, краще самостійно ввести адресу банку або платіжної системи в браузері замість переходу за QR-кодом. Також корисно налаштувати двофакторну аутентифікацію, яка забезпечує додатковий рівень безпеки при здійсненні онлайн-платежів.

5. Зловживання бізнес-довірливістю

Кіберзлочинці можуть створювати QR-коди, що маскуються під офіційні компанії, магазини або служби підтримки, використовуючи довіру людей для здійснення шахрайських дій. Такі QR-коди можуть містити посилання на підроблені сайти, де користувачам пропонують ввести свої особисті дані, здійснити платіж або завантажити нібито корисну програму. Часто ці коди розповсюджуються у вигляді реклами, флаєрів, листівок або навіть підмінюються в громадських місцях, замінюючи легітимні QR-коди на шахрайські. У деяких випадках шахраї використовують соціальну інженерію, наприклад, надсилаючи QR-коди через електронну пошту або повідомлення, що імітують офіційні запити від банків чи інших установ. Внаслідок цього користувач може не лише втратити гроші, але й стати жертвою витоку особистих даних.

Як уникнути шахрайства з QR-кодами

Перевіряйте джерело QR-коду

Перед скануванням коду зверніть увагу на його розташування. Якщо QR-код розміщений у публічному місці, перевірте, чи не було його підмінено наклейкою.

Переглядайте URL перед відкриттям

Більшість смартфонів дозволяють переглянути веб-адресу перед переходом. Якщо URL виглядає підозріло або відрізняється від очікуваного, краще не переходити за ним.

Зберігайте обачність у публічних місцях

Не скануйте QR-коди на підозрілих оголошеннях, електронних листах або рекламних банерах.

Висновок

QR-коди є надзвичайно корисним та зручним інструментом у сучасному цифровому світі, який дозволяє швидко передавати інформацію, здійснювати платежі, отримувати доступ до веб-сайтів та взаємодіяти з цифровими сервісами. Однак їх неправильне або необачне використання може призвести до серйозних ризиків, зокрема втрати особистих даних, фінансових шахрайств, атак з використанням шкідливого програмного забезпечення та навіть компрометації корпоративних систем.

Щоб мінімізувати ризики при використанні QR-кодів, дотримуйтеся наступних правил безпеки:

  • Перевіряйте джерело QR-коду – не скануйте QR-коди, отримані з ненадійних джерел, наприклад, випадкових електронних листів, повідомлень у соціальних мережах або підозрілих веб-сайтів. Будьте особливо уважними до QR-кодів, розміщених у публічних місцях, адже вони можуть бути підмінені шахраями.
  • Перед відкриттям посилання перевіряйте URL – перш ніж переходити за QR-кодом, зверніть увагу на адресу сайту, до якого він веде. Якщо URL виглядає незвично або містить помилки, не відкривайте його.
  • Не вводьте конфіденційну інформацію після переходу за QR-кодом – якщо після сканування вас просять ввести логін, пароль, дані банківської картки або іншу персональну інформацію, перевірте достовірність веб-сайту окремо, вручну ввівши його адресу в браузері.
  • Уникайте QR-кодів, які ведуть на файли для завантаження – не завантажуйте файли, встановлюйте програми або оновлення через QR-коди, якщо вони не походять із офіційних джерел, таких як App Store або Google Play.
  • Використовуйте додатки для перевірки QR-кодів – деякі мобільні додатки можуть сканувати QR-коди та перевіряти, чи є посилання безпечним.
  • Активуйте двофакторну аутентифікацію – це додатковий рівень захисту, який допоможе захистити ваші облікові записи навіть у разі компрометації паролів.

Дотримуючись цих простих правил, ви зможете безпечно користуватися QR-кодами та уникнути можливих загроз у цифровому середовищі.