QR-коды – удобные и опасные

Обновлено 30 января 2015.

Характерные квадратные картинки, напечатанные на рекламе, в журналах и на объявлениях, оказались самым простым и дешевым способом связать реальный и виртуальный мир – достаточно сфотографировать QR-код камерой телефона, чтобы перейти на веб-сайт с информацией, сохранить контактный телефон или загрузить приложение. Эта простота понравилась не только маркетологам, но и хакерам всех мастей, поэтому, наводя камеру на QR-код, надо быть весьма осторожным.

QR-код (от английского «Quick Response» – «быстрый отклик») может содержать любую текстовую информацию и ссылки на интернет-источники. Он давно популярен в странах Азии и только теперь обретает широкую известность в странах Европы и Америке. Его можно встретить повсеместно: на рекламных плакатах, на продуктах в магазинах, на веб-сайтах для компьютеров, на купонах, билетах – список бесконечен. Одновременно становятся популярны и мошеннические схемы, связанные с ним. Например, все чаще находятся умельцы, аккуратно  наклеивающие свой вредоносный QR-код поверх официального. Это явление получило название QRishing по аналогии с phishing.

QR-коды можно украшать, обычно это не мешает их распознаванию смартфоном.

Легко представить, как опасен такой QR-код, наклеенный в общественном месте – в метро, аэропорту, на вокзале или же в здании банка, например на банкомате. Жертва испытывает к рекламе доверие, поэтому обычно спокойно переходит по отсканированной ссылке. Ведь трудно вообразить, что в здании крупного банка может подстерегать опасность.

Итак, ссылка сначала выводится на экран смартфона, но злоумышленники используют сервисы сокращения ссылок (bit.ly и другие), чтобы замаскировать конечный адрес, сохраненный в QR-коде. А он может вести на страницу с вредоносным ПО, ворующим все логины и пароли, сохраненные в браузере, или же на фишинговый cайт. Дело осложняется еще тем, что в мобильном браузере не всегда можно увидеть полную адресную строку открытой страницы, что существенно затрудняет выявление обмана. А мобильные устройства зачастую хуже защищены от вирусов.

Чтобы избежать подобной угрозы, следуйте трем простым советам:

1. Будьте внимательны – перед сканированием QR-кода проверьте, что он не наклеен поверх другого. В случае сомнений не сканируйте.
2. После открытия магазина приложений или веб-сайта в браузере убедитесь, что QR-код привел вас  туда, куда вы ожидали. Проверьте, что приложение (если речь идет об установке) действительно создано компанией, рекламу или информацию которой вы видели. Проверьте рейтинг приложения и отзывы пользователей. Если их мало или нет вообще, лучше не торопиться с установкой. Если код приводит на веб-сайт, проверьте его адрес до самого конца, чтобы не стать жертвой фишинга. Особенно тщательно проверяйте адрес, если на странице требуется ввести свои учетные данные, например от почты или интернет-банкинга.
3. Если ваш смартфон допускает установку защитных приложений, проверяющих сайты на вредоносное содержимое, а загруженные программы – на вирусы, обязательно установите такое приложение. Особенно актуален этот совет для Android-смартфонов, для которых написаны уже тысячи вирусов.

В конце января 2015 года появился более простой и удобный способ уберечься от вредоносных ссылок в QR-кодах — для этого достаточно установить на смартфон приложение Kaspersky QR Scanner.

Работает оно точно так же, как любое другое приложение для считывания QR-кодов. С той лишь разницей, что Kaspersky QR Scanner проверяет все содержащиеся в QR-кодах ссылки и обязательно предупредит вас, если переход по ссылке грозит опасностями.