QR-коды упрощают оплату парковки, заказ еды в кафе, покупку билетов и доступ к цифровой информации. Однако именно эта повсеместность привлекает злоумышленников. Подделка QR-кодов — или «квишинг» — превращается в массовый инструмент мошенничества, и с каждым годом случаи атак становятся все более изощренными, рассказал «Газете.Ru» Дмитрий Пензов — технический директор компании-разработчика систем хранения данных ATLAS, этичный хакер.
«Чаще всего поддельные QR-коды встречаются в местах с высокой проходимостью и низким контролем», — пояснил эксперт.
Например, кафе и рестораны. Здесь привычка клиентов доверять QR-меню работает против них. Мошенник может незаметно наклеить фальшивый код поверх настоящего на столике. За один вечер он обходит десятки точек, а персонал редко успевает проверить каждый стикер.
Или аэропорты и вокзалы. Люди спешат, внимание рассеяно, а коды для оплаты услуг и информации размещены в открытом доступе. Здесь подделка особенно эффективна.
Часто встречаются поддельные QR-коды на паркоматах и остановках общественного транспорта.
«Популярность бесконтактной оплаты привела к тому, что мошенники начали массово подменять коды на уличных табличках, отправляя пользователя на поддельные страницы для оплаты», — предупредил он.
Есть риск столкнуться с ними также в магазинах и торговых центрах. Хотя здесь чаще используются официальные приложения, риск существует при размещении промокодов и рекламных QR-меток.
«Типичный сценарий физической атаки прост: злоумышленник приходит в точку как обычный посетитель и за несколько секунд наклеивает заранее подготовленный стикер поверх оригинала. Поддельный QR-код ведет на фишинговый сайт, визуально идентичный легитимной странице. Основная угроза здесь — не внешний вид страницы, а URL: почти никто его не проверяет. В итоге жертва может потерять деньги, подписаться на платные сервисы или незаметно загрузить вредоносное ПО», — объяснил эксперт.
В оффлайне злоумышленники чаще всего преследуют прямую финансовую выгоду — кражу денег или установку вредоносного ПО. В виртуальной среде QR-коды применяются для таргетированных атак на компании. Цель — не одноразовое мошенничество, а получение учетных данных сотрудника для скрытого проникновения в корпоративную сеть.
«Эти атаки особенно опасны: код сканируется с личного смартфона, на котором нет антивирусов и корпоративных политик безопасности. ИБ-службы физически не видят переходы по фишинговым ссылкам. В таких случаях даже единичная ошибка сотрудника может привести к колоссальным финансовым и репутационным потерям компании», — заявил хакер.
При этом не все места одинаково опасны.
«В транспортных узлах и на улицах с высоким трафиком риск подделки выше из-за массовости людей и минимального контроля. В кафе и ресторанах атака менее вероятна в отдельной точке, но компенсируется количеством QR-кодов. Магазины обладают средней защитой благодаря встроенным приложениям и официальным системам оплаты», — отметил он.
Обычный пользователь может заметить поддельный код по нескольким признакам: размытое изображение или наклейка поверх оригинала; неровности, стыки или следы переклеивания; подозрительный URL после сканирования; требование установить приложение или ввести пароль.
«Простейший способ защиты — использовать официальные приложения для оплаты и проверять адреса сайтов перед вводом данных», — сказал эксперт.
По прогнозу Пензова, количество атак будет расти.
«Популярность бесконтактных сервисов стимулирует злоумышленников придумывать новые схемы. Уже сегодня наблюдается применение нейросетей для генерации визуально идеальных фальшивых страниц оплаты. Также возможны взломы цифровых рекламных экранов и электронных меню с автоматической подменой QR-кодов», — считает он.
Ранее выяснилось, что мошенники маскируют QR-коды под сбор средств для ВСУ.
