Опубликовано 31 марта 2014

В последние годы двумерные (матричные) QR-коды (от английского Quick Response, то есть «быстрый отклик») получили самое широкое распространение: их нередко используют в рекламе, в различных вывесках и музейных табличках, на плакатах и в журналах. Это произошло в значительной степени благодаря популярности смартфонов и планшетов, способных после установки небольшого приложения безошибочно распознавать такие коды. Чаще всего в QR-кодах зашифрованы ссылки на страницы в интернете, сведения о сети Wi-Fi, СМС с номером и сообщением, текст или географические координаты объекта, но теоретически в них могут скрываться какие угодно данные.

Однако популярность любой технологии, особенно значительно упрощающей какие-то не слишком удобные действия, неизбежно вызывает повышенный интерес злоумышленников, пытающихся использовать её для извлечения незаконной выгоды. И QR-коды не стали исключением из правила, хотя на первый взгляд совершенно непонятно, как их можно использовать, к примеру, для кражи личной информации или денежных средств.

По уже весьма устаревшим какой-либоданным ComScore за июнь 2011 года, только за один тот месяц в США более 14 миллионов человек старше 13 лет просканировали QR-код своим мобильным телефоном: около 39% сделали это в магазинах, примерно 20% — на работе, а приблизительно 58% — у себя дома. И это данные, касающиеся исключительно территории США!  

Большая часть из тех, кто воспользовался QR-кодами, — мужчины (60,5%), более половины любителей инноваций (53,4%) приходится на возраст от 18 до 34 лет, около трети (36%) — от 25 до 34, при этом годовой доход семей 36,1% пользователей (более чем одного из трёх) превышал $100 000! Молодые состоятельные мужчины — лакомый кусочек для любых мошенников.

Между тем приёмы взломщиков применительно к QR-кодам остаются теми же самыми, что используются при взломе любых других электронных систем: это, как всегда, сочетание чисто технических средств с элементами социального инжиниринга. Цели тоже остаются неизменными: похищение cookies и личных данных, фишинг, взлом виртуальных магазинов и даже Google Glass.

Чтобы приобрести что-нибудь в интернет-магазине, какие-токакой-товиртуальном магазине либо через рекламу на улице, в журнале или в интернете с помощью QR-кода, нужно просто просканировать этот код камерой смартфона или планшета, после чего вы будете перенаправлены на веб-страницу с дополнительной информацией о товаре и способах оплаты и доставки. При этом вы отправляете в интернет ваши личные данные, в том числе и реквизиты оплаты для карточной или другой платёжной системы.

Вот самая элементарная схема мошенничества с QR-кодами, расположенными в публичных местах. Возьмём для примера виртуальные магазины, которые представляют собой просто большие стенды с фотографиями товаров, их ценами и соответствующими QR-кодами. Обычно в таких магазинах есть три варианты доставки после оплаты: скачивание (для музыки, видео или программного обеспечения), распечатка (для билетов или флаерсов) или собственно доставка (для каких-то физических предметов).

Чтобы перехватить личные данные и, если повезёт, одновременно и денежные средства жертвы, достаточно просто подменить QR-код, который отправлял бы на сфальсифицированную страницу и заставлял покупателя перечислить деньги на подставной счёт. Программ для генерирования такого кода существует множество, в том числе и совершенно бесплатных. В результате злоумышленник может получить практически полный пакет данных: имя и адрес покупателя и номер его платёжной карты.