В последние годы QR-коды прочно вошли в наш быт, став удобным инструментом для оплаты, получения информации и взаимодействия с различными сервисами. Пандемия COVID-19 ускорила их распространение: рестораны начали использовать QR-коды вместо бумажных меню, магазины – для предоставления информации о товарах, муниципалитеты внедряют их для парковок и городских услуг. Однако с ростом популярности выросли и риски, связанные с безопасностью. Одной из опасных угроз стала новая форма мошенничества, известная как «quishing» — слияние слов QR и phishing (фишинг). Quishing представляет собой кибератаку, при которой мошенники размещают поддельные QR-коды вместо настоящих или накиданы поверх них стикеры с вредоносными ссылками.
Пользователь, сканируя такой код, попадает на фальшивые сайты, созданные с целью кражи личных данных, паролей или финансовой информации. Таким образом жертва может незаметно потерять деньги или подвергнуться заражению устройства вредоносным ПО. Опасность quishing заключается в том, что QR-код скрывает ссылку от глаз пользователя. В отличие от традиционных гиперссылок, где видно URL, при сканировании кода сразу открывается браузер с конечной страницей, и без специального ПО или знания сложно распознать подмену. Мошенники легко маскируют вредоносные URL, используя хитрые приемы, например, добавляя в адрес множество пробелов или сложных символов, чтобы обмануть бдительность.
Примером стали случаи с поддельными QR-кодами, размещёнными на парковочных автоматах в таких городах, как Монреаль и Оттава. На первый взгляд коды выглядят легитимно — они связаны с официальными приложениями оплаты парковок, но при сканировании направляют на фишинговые ресурсы. Отсюда и исходят угрозы взлома банковских карт и кражи личных данных пользователей. Аналогичные случаи отмечены и в других странах, например, предупреждения Федеральной торговой комиссии США свидетельствуют о том, что quishing становится глобальной проблемой. Почему пользователи становятся жертвами таких уловок? Во-первых, привычка мгновенно сканировать QR-коды без проверки превратилась в поведенческую норму.
Во-вторых, на многих устройствах отсутствуют стандартные механизмы для предварительного просмотра URL перед переходом, из-за чего многие просто доверяют, особенно если код размещён в общественном месте. Для защиты от мошеннических QR-кодов эксперты советуют быть внимательными и соблюдать несколько простых правил. Нужно всегда изучать контекст: если код внезапно появился там, где его быть не должно, или если он приклеен поверх других знаков, стоит воздержаться от сканирования. Особенно это касается ситуаций, когда QR-код обещает что-то получить быстро и бесплатно — скидки, бонусы, билеты с ограниченным сроком действия. Такие приёмы вызывают чувство срочности, и мошенники распознают их эффективность.
Также, если возможно, лучше использовать приложения с функцией предварительного просмотра ссылок, куда ведёт код, или специальные антивирусные программы с инструментами для проверки QR-кодов. В некоторых случаях можно навести камеру смартфона без открытия ссылки — современные устройства отображают URL-адрес, давая шанс проконтролировать переход. Стоит иметь в виду, что мошенники не ограничиваются только публичными местами. Нередко вредоносные QR-коды приходят в виде вложений или изображений в электронных письмах, смс-сообщениях или даже в посылках с неожиданными товарами. Это часть так называемых смс-фишингов или «смishing» атак, которые тоже набирают обороты.
В последние годы значительную роль в усложнении подобных мошенничеств играют технологии искусственного интеллекта. С их помощью создаются высокореалистичные копии официальных сайтов, а также приложения и инструменты, которые практически невозможно отличить от легитимных сервисов. Мошенники становятся профессиональнее в маскировке своих действий, что требует от пользователей ещё большей бдительности. Эксперты советуют никогда не вводить личные данные на сайтах, до которых дошли случайным путем с помощью QR-кода, без предварительной проверки. Настороженность должна вызывать и неожиданная просьба обновить программное обеспечение, войти в личный кабинет с помощью старого пароля или предоставить конфиденциальную информацию.
Всем известные компании и государственные учреждения не запрашивают такие данные таким способом. Если пользователь подозревает, что стал жертвой «quishing», нужно немедленно сменить пароли и обратиться в банк для контроля состояния счетов. Также следует сообщить о происшествии в местные правоохранительные органы и специализированные организации по борьбе с киберпреступлениями. В Канаде, например, такой функцией занимается Канадский антимошеннический центр. На государственном уровне принимаются меры по информированию населения о рисках QR-кодов и созданию безопасной инфраструктуры.
Некоторые города внедряют защищённые каналы для продуктов с QR-кодами, а службы безопасности развивают технологии по автоматическому распознаванию и блокировке поддельных кодов. В частном секторе крупные банки и технологические компании инвестируют в развитие систем многофакторной аутентификации и обучения пользователей. QR-коды — это удобный формат доступа к цифровым сервисам и информации, адаптированный под современные реалии безконтактного взаимодействия. Однако как и любая технология, они требуют осознанного и осторожного использования. Повышение грамотности в вопросах информационной безопасности поможет пользователям не только обезопасить себя от потерь и неприятностей, но и сохранить доверие к цифровым инновациям.
