Мошенники обманывают миллионы американцев, используя QR-коды

QR-коды когда-то были необычной новинкой, которая побуждала к веселому сканированию с помощью телефона. Вначале вы могли увидеть QR-код на экспонате в музее и отсканировать его, чтобы узнать больше о пищевых привычках шерстистого мамонта или военных стратегиях Чингисхана. Во время пандемии QR-коды стали стандартным меню ресторанов. Однако по мере того, как QR-коды стали неотъемлемой частью более важных аспектов американской жизни, от посадочных талонов до оплаты парковки, хакеры стали использовать их повсеместное распространение. «Как и многие технологические достижения, которые начинаются с благих намерений, QR-коды все чаще становятся объектами злонамеренного использования. Поскольку они повсюду — от бензоколонок и вывесок на дворах до телевизионной рекламы — они одновременно полезны и опасны», — сказал Дастин Брюэр, старший директор по проактивным услугам кибербезопасности в BlueVoyant. Брюэр говорит, что злоумышленники используют эти, казалось бы, безобидные символы, чтобы заманить людей на вредоносные веб-сайты или заставить их неосознанно поделиться личной информацией — мошенничество, которое стало известно как «квишинг». Растущая распространенность мошенничества с QR-кодами побудила Федеральную торговую комиссию в начале этого года выпустить предупреждение о нежелательных или неожиданных посылках с QR-кодом, который при сканировании «может перенаправить вас на фишинговый веб-сайт, который украдет вашу личную информацию, такую как номера кредитных карт или имена пользователей и пароли». Он также может загрузить вредоносное ПО на ваш телефон и предоставить хакерам доступ к вашему устройству». Этим летом по всей территории США были распространены предупреждения от государственных и местных органов власти, в том числе Департамент транспорта Нью-Йорка и Hawaii Electric предупредили клиентов о необходимости избегать мошенничества с QR-кодами. Привлекательность для киберпреступников заключается в относительной простоте осуществления мошенничества: достаточно наклеить поддельный QR-код на парковочный счетчик или предупреждение об оплате коммунальных услуг и рассчитывать на то, что срочность ситуации сделает все остальное. «Мошенники рассчитывают на то, что вы спешите и вам нужно что-то сделать», — сказал Гаурав Шарма, профессор кафедры электротехники и вычислительной техники Университета Рочестера. Рост популярности на фоне провала традиционного фишинга Шарма ожидает, что с распространением использования QR-кодов количество мошенничеств с QR-кодами будет расти. Еще одна причина роста популярности QR-кодов среди мошенников заключается в том, что для борьбы с традиционными фишинговыми кампаниями по электронной почте были введены дополнительные меры безопасности. Исследование, проведенное в этом году платформой кибербезопасности KeepNet Labs, показало, что 26 % всех вредоносных ссылок теперь отправляются через QR-коды. По данным компании NordVPN, занимающейся кибербезопасностью, 73 % американцев сканируют QR-коды без проверки, и более 26 миллионов уже были перенаправлены на вредоносные сайты. «Игра в кошки-мышки в области безопасности будет продолжаться, и люди будут находить решения, а мошенники либо найдут способ обойти их, либо будут искать другие места, где трава зеленее», — сказал Шарма. Шарма работает над разработкой «умного» QR-кода под названием SDMQR (Self-Authenticating Dual-Modulated QR), который имеет встроенную систему безопасности для предотвращения мошенничества. Но сначала ему нужно получить согласие Google и Microsoft, компаний, которые производят камеры и контролируют инфраструктуру камер. По его словам, размещение логотипов компаний в QR-кодах не является решением проблемы, поскольку это может создать ложное чувство безопасности, а преступники обычно могут просто скопировать логотипы. Некоторые американцы с опаской относятся к растущей зависимости от QR-кодов. «Мне за 60, и я не люблю использовать QR-коды», — говорит Дениз Джойал из Сидар-Рапидс, штат Айова. «Я определенно беспокоюсь о вопросах безопасности. Мне действительно не нравится, когда человека заставляют использовать QR-код для участия в рекламной акции, не предоставляя других способов подключения. Я не использую их для получения информации развлекательного характера». Учреждения также пытаются укрепить свои QR-коды от вторжений. Натали Пиггуш, пресс-секретарь Детского музея Индианаполиса, который принимает более миллиона посетителей в год, сказала, что их ИТ-персонал начал обновлять QR-коды пару лет назад, чтобы защитить их от угрозы, которая становится все более значительной. «В музее мы используем стилизованные QR-коды с нашим логотипом и цветами, а не стандартные монохромные коды. Мы также подробно описываем, что пользователи могут увидеть при сканировании одного из наших QR-кодов, и регулярно проверяем наши существующие QR-коды на предмет подделки или несоответствующих кодов», — сказала Пиггуш. Музеи обычно менее уязвимы, чем такие места, как вокзалы или парковки, потому что мошенники стремятся получить наличные деньги от людей, которые ожидают, что им придется за что-то заплатить. Посетитель музея вряд ли ожидает, что ему придется платить, хотя Шарма сказал, что даже в таких условиях могут быть использованы поддельные QR-коды для установки вредоносного ПО на телефон кого-либо. Доверие пользователей Apple и Android — это проблема Мошенничество с QR-кодами может затронуть как устройства Apple, так и Android, но пользователи iPhone могут быть немного более подвержены риску стать жертвами преступления, согласно исследованию, проведенному в начале этого года компанией Malwarebytes. Пользователи iPhone выразили больше доверия к своим устройствам, чем владельцы Android, и, по мнению исследователей, это может привести к тому, что они ослабят бдительность. Например, 70 % пользователей iPhone сканировали QR-код, чтобы начать или завершить покупку, по сравнению с 63 % пользователей Android, которые сделали то же самое. Исследователь Malwarebytes Дэвид Руиз написал, что доверие может иметь негативный эффект, поскольку пользователи iPhone не чувствуют необходимости менять свое поведение при совершении покупок в Интернете и менее заинтересованы (или просто не знают) в использовании дополнительных мер кибербезопасности, таких как антивирус. Пятьдесят пять процентов пользователей iPhone доверяют своему устройству в вопросах безопасности, в то время как 50 % пользователей Android выражают такое же мнение. Низкозатратная хакерская тактика с высокой доходностью QR-код более опасен, чем традиционное фишинговое письмо, поскольку пользователи обычно не могут прочитать или проверить закодированный веб-адрес. Несмотря на то, что QR-коды обычно содержат текст, понятный человеку, злоумышленники могут изменить этот текст, чтобы обманом заставить пользователей довериться ссылке и веб-сайту, на который она ведет. Лучшая защита от них — не сканировать нежелательные или неожиданные QR-коды и искать те, которые отображают URL-адрес при сканировании. Брюэр говорит, что киберпреступники также используют QR-коды для проникновения в критически важные сети. «Есть также достоверные сообщения о том, что разведывательные агентства государств использовали QR-коды для взлома учетных записей военнослужащих в мессенджерах, иногда используя такое программное обеспечение, как Signal, которое также доступно потребителям», — сказал Брюэр. Злоумышленники из государственных структур даже использовали QR-коды для распространения троянов удаленного доступа (RAT) — типа вредоносного ПО, предназначенного для работы без согласия или ведома владельца устройства, — что позволяло хакерам получить полный доступ к целевым устройствам и сетям. Тем не менее, одним из самых опасных аспектов QR-кодов является то, что они являются частью повседневной жизни, киберугрозой, скрывающейся на виду. «Особенно беспокоит то, что законные листовки, плакаты, рекламные щиты или официальные документы могут быть легко скомпрометированы. Злоумышленники могут просто напечатать свой собственный QR-код и наклеить его физически или цифровым способом поверх подлинного, что делает практически невозможным для обычного пользователя обнаружить обман», — сказал Брюэр. Роб Ли, руководитель отдела исследований, искусственного интеллекта и новых угроз в SANS Institute, специализирующемся на обучении кибербезопасности, говорит, что взлом QR-кодов — это всего лишь еще одна тактика в длинном списке подобных стратегий в арсенале киберпреступников. «QR-коды были созданы не с целью обеспечения безопасности, а для облегчения жизни, что также делает их идеальным инструментом для мошенников», — сказал Ли. «Мы уже видели эту тактику в фишинговых письмах; теперь она просто сопровождается пиксельным квадратиком со смайликом. Пока нет повода для паники, но это именно тот вид тактики, который требует минимальных усилий и приносит высокую прибыль, и который так любят использовать злоумышленники».