QR-коди зараз всюди: від меню ресторанів до розкладу руху громадського транспорту, всі хочуть, щоб ви відсканували їх QR-код. Цією нормалізацією сканування випадкових QR-кодів користуються зловмисники, створюючи нову загрозу кібербезпеці під назвою «квішинг».
Що таке квішинг?
Квішинг (фішинг QR-кодів) означає вбудовування шкідливої URL-адреси в QR-код. Замість посилання на легальний сайт, код завантажує сторінку, яка намагається викрасти інформацію, заразити ваш пристрій шкідливим програмним забезпеченням або виконати іншу шкідливу дію.
Це звучить безглуздо, але це реальна загроза. Хоча ми всі знаємо, що не варто відвідувати недобросовісні веб-сайти або завантажувати невідомі файли, через природу QR-кодів немає жодного способу дізнатися заздалегідь, що в них закодовано. За допомогою сканування і дотику ви потрапляєте на веб-сайт, який може відображати вміст, який ви не хотіли б бачити, або перенаправляти на завантаження шкідливого файлу.
Сканування QR-коду також легко піддається обману: багато компаній покладаються на сторонні сервіси та скорочувачі URL-адрес при створенні своїх QR-кодів, а це означає, що вбудовані посилання не обов’язково ведуть безпосередньо на їхні офіційні веб-сайти. Це ускладнює виявлення того, що хтось, хто виконує квішингову атаку, втрутився в QR-код.
Чи справді квішинг є загрозою?
Так. Це вже відбувається, і це ефективно. QR-коди для паркувальних лічильників, систем оплати в ресторанах і чайових, а також для фальшивих рекламних акцій підробляють по всьому світу, часто шляхом простого розміщення наклейки з шахрайським QR-кодом поверх існуючого офіційного коду. Ці хитрі коди потім посилаються на фальшиві сторінки входу та платіжні сайти, які або змушують вас заплатити шахраю напряму, або викрадають вашу інформацію (яка може бути використана для подальшої крадіжки ваших грошей або для інших шахрайських дій).
Як захиститися від квішингу
Існує кілька ефективних кроків, які ви можете зробити, щоб захистити себе від квішингу:
- Використовуйте стандартний сканер QR-кодів, який постачається з вашим пристроєм. QR-сканери з магазинів додатків мають погану репутацію з точки зору безпеки та конфіденційності.
- Перевірте адресу, на яку намагається відправити вас QR-код, перш ніж відкривати посилання, і уникайте відкривати посилання, які використовують скорочення URL-адреси.
- Коли це можливо, уникайте використання QR-кодів для оплати, особливо якщо платіжне посилання веде на невідому адресу. Також пам’ятайте, що підроблені веб-сайти часто використовують назви, схожі за звучанням на офіційні, тому перевіряйте правопис!
- Не скануйте випадкові QR-коди в громадських місцях.
- Увімкніть захист конфіденційності та вимкніть автоматичне завантаження у вашому веб-браузері.
- Подивіться на фізичний QR-код, який ви скануєте. Якщо він явно був підроблений, тримайтеся подалі.
Створюєте QR-код для свого бізнесу? Зробіть його безпечним
Якщо ви створюєте QR-код для використання у своєму бізнесі, є кілька способів зробити так, щоб вашим клієнтам було зручно і безпечно користуватися ним. По-перше, подумайте, чи потрібен вам QR-код взагалі – змушувати людей діставати свої телефони, возитися з камерою і чекати, поки завантажиться ваш сайт, набагато менш зручно, ніж просте друковане меню.
Якщо QR-код життєво необхідний, переконайтеся, що він посилається безпосередньо на сторінку вашого офіційного веб-сайту. Скорочувачі URL-адрес маскують цільове призначення і, як відомо, вставляють рекламу або перенаправляють ваш QR-код на свої власні сторінки. Ви також повинні періодично перевіряти свої фізичні QR-коди та переконатися, що ніхто не підробляє їх, наклеюючи на них наклейки з власним кодом, щоб спробувати спіймати ваших клієнтів на квішинг-атаці.