Із розвитком технологій QR-коди стають все більш поширеними, але вони також можуть бути використані зловмисниками. Давайте розглянемо, як захистити себе від цього ризику у нашій рубриці новини смартфонів.
Для будь-якої форми комунікації – від електронної пошти до повідомлень і дзвінків – завжди є ризик використання шахрайами та хакерами. Ця загроза також поширюється на QR-коди.
Раніше цього року ми стали свідками спроби використання QR-коду в обмані для атаки на велику енергетичну компанію у США, і аналітики безпеки попереджають про зростання так званих атак “quishing”. Термін “quishing” походить від поєднання слів “QR-код” і “фішінг” – коли злоумисники “ловлять” особисту інформацію, переважно через електронну пошту.
Як працюють зломи через QR-код
Зараз всі ми маємо знати QR-коди: сітка чорно-білих квадратів, які діють як свого роду ієрогліф, який може бути перекладений камерою вашого телефону чи іншого пристрою. Зазвичай QR-коди перекладаються в URL-адреси веб-сайтів, але також можуть вказувати на звичайний текст, оголошення додатків, адреси на мапах і так далі.
Тут може потрапити підступність – QR-коди можуть вказувати на шахрайські веб-сайти так само легко, як на справжні, і вам не завжди відомо, на який саме веб-сайт ви перейдете. Скануючи QR-код, ви зазвичай отримуєте URL, за яким ви можете перейти, але на перший погляд рідко буває ясно, наскільки цей веб-сайт є безпечним.
Тепер QR-коди можна знайти всюди.
І вам не потрібно нічого особливого, щоб створити QR-код. Інструменти широко доступні і прості в користуванні, і створення власного QR-коду не набагато важче, ніж сканування. Якщо ви хочете створити QR-код, який вказуватиме на веб-сайт зловмисників, це займе всього кілька хвилин. Після цього QR-код можна приклеїти на стіну, додати до електронного листа або роздрукувати на документі, готовому до сканування.
Цільові веб-сайти мають ті ж самі цілі, що й завжди: змусити вас завантажити щось, що підірве безпеку вашого облікового запису чи пристроїв, або змусити вас ввести логін і пароль, які потім будуть передані хакерам (найімовірніше через підроблений сайт, створений для вигляду справжнім і надійним). Замахування можуть бути однакові, але метод отримання туди різний.
Уникання зламів через QR-код
Ті ж заходи безпеки, які ви вже, ймовірно, використовуєте, будуть ефективні і проти взлому через QR-код. Так само, як ви робили б з електронною поштою чи миттєвими повідомленнями, не довіряйте QR-кодам, якщо ви не впевнені, звідки вони. Наприклад, якщо вони додаються до сумнівних електронних листів чи на веб-сайтах, які ви не можете перевірити. QR-код в меню вашого місцевого ресторану, навпаки, вельми ймовірно, не був створений хакерами.
Звісно, завжди є ймовірність, що облікові записи ваших друзів, родини та колег можуть бути скомпрометовані, тому ви ніколи не можете бути на 100 відсотків впевненими, що повідомлення із QR-кодом – це справжнє. Шахрайські схеми зазвичай намагаються надати вам відчуття терміновості та тривоги: Скануйте цей QR-код, щоб підтвердити свою особу або запобігти видаленню вашого облікового запису, або скористайтеся обмеженою пропозицією, дією якої обмежено в часі.
Ви повинні мати попередній перегляд посилання, на яке ви переходите за допомогою QR-коду.
Як завжди, ваші цифрові облікові записи повинні бути якнайбільш надійно захищені, щоб у разі взлому через QR-код були встановлені страхові мережі. Увімкніть двофакторну аутентифікацію для кожного облікового запису, який це пропонує, переконайтеся, що ваші особисті дані оновлені (такі як резервні електронні адреси та номери телефонів, які можна використовувати для відновлення вашого облікового запису), і вийдіть з пристроїв, які вам більше не використовуються (ви також повинні видаляти старі облікові записи, які вам більше не потрібні).
Зрештою, тримайте ваше програмне забезпечення оновленим – щось, що тепер є дуже простим. Останні версії популярних мобільних веб-браузерів вже мають вбудовану технологію для виявлення шахрайських посилань: ці інтегровані захисти не є бездоганними, але чим свіжіша ваша версія браузера та мобільної операційної системи, тим вища ймовірність отримати попередження на екрані, якщо ви збираєтеся відвідати небезпечне місце в Інтернеті.
Джерело: https://www.wired.com/story/how-to-qr-code-hacks-avoid/