Повсеместное распространение QR-кодов — это закономерный этап цифровизации, но с точки зрения информационной безопасности он создает проблему: пользователь перестал контролировать конечный адрес перехода в интернете. Об этом «Газете.Ru» рассказал технический директор компании «Стахановец» Сергей Щербаков.
«Привычные гиперссылки можно было оценить визуально до клика, тогда как код не поддается визуальной интерпретации. Камера смартфона считывает его мгновенно, и переход на сайт часто происходит без дополнительного запроса, особенно если в настройках устройства включена функция автоматического открытия ссылок», — объяснил он.
Основной риск заключается в физической подмене носителей. Злоумышленники размещают свои коды поверх легальных — на парковочных автоматах, в заведениях общественного питания, на информационных табличках. Этот метод атак называется «квишинг» (QR-фишинг). Пользователь, сканируя код, рассчитывает перейти на страницу оплаты или меню, но попадает на фишинговый ресурс, предназначенный для кражи данных банковских карт или учетных записей.
«Второй возможный вектор атак — использование QR-кодов для инициирования загрузки вредоносного программного обеспечения на устройство, хотя современные мобильные операционные системы применяют механизмы блокировки таких действий», — заметил Щербаков.
Визуально отличить подлинный код от поддельного невозможно, так как структура данных не отображается во внешнем виде. Следует оценивать контекст размещения и состояние физического носителя.
«Если изображение кода напечатано на отдельной наклейке, которая наложена поверх другой, имеет неровные края или повреждения, существует высокая вероятность подмены. Более безопасным вариантом является код, нанесенный типографским способом непосредственно на поверхность объекта или устройства», — рассказал специалист.
Для снижения рисков необходимо применять технические меры предосторожности.
«Рекомендуется отключить в настройках смартфона функцию автоматического перехода по ссылке после сканирования. Корректной настройкой является предварительный показ превью с адресом ссылки. Перед переходом следует оценить URL — наличие сокращающих сервисов или ошибок в доменном имени известных организаций указывает на мошеннический ресурс. Не рекомендуется вводить какие-либо платежные данные после перехода по QR-коду без абсолютной уверенности в источнике. Оплату услуг, например парковки или заказа в ресторане, безопаснее производить через официальные приложения путем ручного ввода необходимых данных», — резюмировал эксперт.
Ранее россиянам объяснили, почему опасно сканировать QR-коды камерой телефона.