Компания Mobileiron, разработчик решений в области кибербезопасности, опубликовала результаты исследования об отношении пользователей к QR-кодам ^[1], которые представляются весьма любопытными. Популярность QR-кодов растет, 54% респондентов заметили увеличение количества QR-кодов с начала пандемии, 46% респондентов отсканировали QR-код за последнюю неделю; 72% - за последний месяц; 86% - в прошлом году. Две трети респондентов (67%) считают, что QR-коды облегчают жизнь в бесконтактном мире (и только 8% не согласны с этим утверждением). Более половины (58%) респондентов хотят, чтобы в будущем QR-коды использовались более широко; и только 11% тех, кто против этого.

При этом далеко не каждый знает, для чего могут быть использованы QR-коды, а следовательно какие угрозы они в себе несут:

• автоматически создать новый список контактов на телефоне, который в свою очередь может содержать вредоносную информацию;
• инициировать звонок на определенный номер, тем самым раскрывая злоумышленнику номер телефона вызывающего абонента;
• автоматически создать новый список контактов на телефоне, который в свою очередь может содержать вредоносную информацию;
• создать текстовое сообщение для конкретного получателя, в случае отправки которого пользователь становится уязвимым перед злоумышленниками;
• составить черновик электронного письма, указав получателя и тему - отправитель письма рискует стать объектом фишинговой атаки;
• произвести оплату в течение нескольких секунд. Если при этом QR-код является вредоносным, хакеры могут перехватить платеж, завладеть личной информацией или данными учетной записи плательщика;
• отправить геолокационную информацию;
• направить веб-браузер на заранее определенный URL. Если этот URL-адрес является вредоносным, устройство может быть подвержено эксплойту или загрузке нежелательного контента;
• создать запись о встрече в календаре - это может привести к появлению уязвимости в приложении «Календарь» и сделать его содержимое доступным для хакеров;
• подписать аккаунт в соцсетях на заранее определенную страницу - это грозит раскрытием личной информации пользователя;
• с помощью запрограммированных учетных данных автоматически подключиться и авторизоваться в сети - это может привести к попаданию в список избранных вредоносной или взломанной сети. ^[2]

То есть по сути QR-код - это программа, запуская которую, мы не всегда можем контролировать ее действия.

Усугубляет ситуацию то, что QR-коды считываются в основном через мобильные устройства, и злоумышленники используют это в своих целях.

Такие устройства в целом являются привлекательной мишенью для хакеров, потому что мобильный интерфейс побуждает пользователей к быстрым действиям и способствует снижению их бдительности.

Согласно исследованию ^[3], 71% респондентов не могут отличить подлинный QR-код от вредоносного, тогда как 67% могут распознать вредоносный URL.

Только 19% респондентов знают, что сканирование QR-кода может помочь составить черновик сообщения электронной почты; 20% осведомлены, что с помощью QR-кода можно начать телефонный звонок; и 24% понимают, что сканирование QR-кода может инициировать отправку текстового сообщения.

51% респондентов обеспокоены конфиденциальностью, безопасностью, финансовыми или другими рисками при сканировании QR-кодов, но все равно пользуются ими; а 34% и вовсе не беспокоятся об использовании QR-кодов. 40% респондентов не уверены, могут ли хакеры атаковать жертв с помощью QR-кода.

Специфика QR-кодов и их использования сама по себе является привлекательной и удобной для злоумышленников.

Мы часто встречаем QR-коды на бумажных носителях: на страницах газет и журналов, на квитанциях, на наклейках на арендуемом городском транспорте, на дверях учреждений сферы услуг, и т.д. - мошенникам достаточно заменить бумажный носитель или наклеить поверх оригинального QR-кода вредоносный. В спешке пользователи не думают о том, чтобы проверить бумажный носитель с QR-кодом на подлинность.

Визуально, отличить безобидный QR-код от вредоносного практически невозможно, также как понять, какая информация за ним скрывается.

QR-коды могут быть замаскированы в городской среде обилием наружной рекламы или дизайнерскими решениями в печатной продукции. Можно не заметить, как камера смартфона отсканирует код с билборда или с тротуара.

Тем не менее, при использовании QR-кодов можно себя обезопасить, если придерживаться ряда рекомендаций.

• Прежде всего необходимо убедиться, что QR-код, особенно на печатном носителе, является оригинальным и не наклеен поверх другого.
• Сканируйте коды только от доверенных лиц и из надежных источников.
• Обратите внимание на ссылку, которая появляется после сканирования кода, если веб-адрес вызывает подозрение, не переходите по ссылке.
• Перед подтверждением оплаты через QR-код проверяйте сумму перевода и данные получателя.
• Если вы регулярно используете QR-коды, установите специальные приложения, распознающие вредоносный контент.
• Также немаловажно обезопасить устройство, которое используется для сканирования QR-кодов, с помощью антивирусных средств защиты.

В современном бесконтактном мире, QR-коды могут стать действительно удобным инструментом для ежедневных дел и операций, но, как и в случае с рядовыми ссылками, требуется время и принятие мер для повышения осведомленности пользователей, чтобы этот инструмент стал еще и безопасным.