Квишинг: какие опасности могут скрывать QR-коды

Увеличение популярности и распространения QR-кодов не могло не привлечь внимание злоумышленников, которые используют любые средства для своих целей. В 2023 году участились случаи мошенничества с использованием QR-кодов. Этот вид киберпреступлений называют квишингом.

Что такое квишинг

Квишинг (от QR-кода и англ. phishing) — это новая разновидность фишинга, где вместо обычных ссылок используются QR-коды. Злоумышленники используют методы социальной инженерии, чтобы получить доступ к конфиденциальным данным пользователя, занести вредонос на устройство или выманить деньги.

Андрей Слободчиков

Директор по ИБ в ИТ-компании Proscom

Используя QR-коды, на мобильных устройствах можно инициировать различные действия, которые могут быть эксплуатированы злоумышленниками: например, добавление нового контакта или открытие приложения с предопределенными действиями (если приложения нет на устройстве, то переадресовать на страницу скачивания).

Мошенники располагают QR-код в электронной рассылке или в публичных местах. Ничего не подозревающая жертва сканирует код и переходит по ссылке, которую вшили злоумышленники. Например, попадает на поддельную страницу магазина или банка, где вводит свои данные и остается без денег.

Опасность QR-кода

QR-коды получили распространение относительно недавно, но их можно встретить везде: на рекламных баннерах, спинках в автобусах, банках, остановках общественного транспорта, кинотеатрах, в меню кафе и салонах красоты.

Максим Грязев

Эксперт сервиса аналитики и оценки цифровых угроз ETHIC компании Infosecurity a Softline company

Мошенники могут использовать различные схемы квишинга, но наиболее распространенными являются подделка QR-кодов и атаки на банковские приложения. В первом случае мошенники создают фальшивые QR-коды, которые направляют пользователей на вредоносные сайты или сервисы. Во втором случае мошенники создают QR-коды, которые при сканировании перенаправляют пользователей на фальшивые аккаунты или страницы, где они просят предоставить личные данные или банковскую информацию. В результате пользователи могут стать жертвами финансовых мошенников и потерять свои деньги или личную информацию. Поэтому важно быть осторожным при сканировании QR-кодов и проверять их подлинность перед использованием.

Одни пользователи редко пользуются сканером кодов или не используют их совсем. Другие — быстро привыкли и уже не задумываясь сканируют коды в общественных местах, чтобы расплатиться в магазине, оставить чаевые, получить дополнительную информацию об услуге или товаре и многое другое. Но мало кто вспоминает о правилах кибергигиены и задумывается о возможных угрозах. Злоумышленники знают об этом и активно пользуются.

Сергей Полунин

Руководитель группы защиты инфраструктурных ИТ-решений компании «Газинформсервис»

По большому счету каких-то специализированных фишек у квишинга нет. В QR-коде зашифрована та же самая ссылка, поэтому для злоумышленника процесс выглядит примерно так же, как и раньше. Нужно убедить потенциальную жертву отсканировать QR-код и перейти по ссылке, которая в нем содержится. Для пользователя здесь добавляется «магия» того, что ссылки как таковой нет, а все взаимодействие «защищено» QR-кодом. Но в реальности это вопрос удобства и только.

Если для борьбы с обычным фишингом уже существует много технических средств, то с квишингом ситуация сложнее. Ведь письмо не содержит вредоносного файла или подозрительную ссылку, которую можно было бы быстро обнаружить и проверить.

Кай Михайлов

Руководитель направления информационной безопасности iTPROTECT

Единственное серьезное отличие квишинга от других схем – само наличие QR-кода, содержащего ссылку на вредоносный контент. Сам по себе код – просто другой вид отображения ссылки, но опасность его в том, что такой тип контента современные антиспам-системы пока не умеют распознавать, а популярность кодов в повседневной жизни граждан притупляет бдительность у конечных пользователей, ведь QR-код сканируют охотнее, чем открывают неизвестные ссылки.

Использование QR-кода, в первую очередь, это один из новейших способов пройти антифишинг. Ранее для этого применяли сервисы укорачивания ссылок, маскировавшие реальные домены, или всплывающие подсказки. При этом риск успешной реализации такой атаки на ПК более высок, чем на мобильных устройствах, ведь там адрес ссылки при наведении сканера видно изначально, и внимательный пользователь может распознать попытку фишинга. Для обхода этого методики квишинга и укорачивания ссылок обычно комбинируются.

Еще одна уловка, которую используют злоумышленники, — поддельная ссылка, похожая на настоящую. При сканировании QR-кода, пользователь видит «знакомый» адрес и переходит по нему, не задумываясь об опасности.

Павел Коваленко

Директор центра противодействия мошенничеству компании «Информзащита»

Среди схем квишинга, которые активно применяют преступники, можно выделить следующие: фишинговые письма с встроенным QR-кодом, которые «нужно срочно отсканировать»; скрытие QR-кодов во вложениях электронной почты в формате PDF или JPEG; перенаправление доменов (вредоносный домен кажется законным с помощью методов тайпсквоттинга (при тайпсквоттинге злоумышленники регистрируют доменные имена, которые по написанию похожи на те, что используют известные бренды)).

Кроме того, иногда человек просто не ожидает увидеть в привычном месте ловушку мошенников. Если о кибермошенничестве в интернете люди хотя бы слышали, то вредоносные ссылки на улицах города для многих все еще в новинку. Так, в декабре прошлого года московские власти запретили использование QR-кодов в наружной рекламе: на билбордах, остановках и других конструкциях. 

Алексей Исаев

Руководитель направления по техническому сопровождению продаж NGR Softlab

Подделывать QR-коды довольно просто. Достаточно наклеить новый поверх, если код расположен в общедоступном месте, например, в подъезде дома. В поддельном QR-коде может содержаться переход на фишинговый сайт, имитирующий услуги управляющей компании – о подобном случае в Петербурге вы уже писали.

В динамических версиях QR-кодов есть возможность менять содержимое или действие по переходу в режиме реального времени. То есть если злоумышленник получил доступ к администрированию чужого сайта или страницы в соцсетях, то фальшивый QR-код становится грозным оружием для похищения денег, персональных данных или перехвата управления устройством. 

Распространители рекламы ранее столкнулись с хакерскими атаками и попытками взлома систем, в ходе которых злоумышленники переадресовывали и фальсифицировали QR-коды на уже размещенных макетах на цифровых носителях.

Какие схемы квишинга распространены

Злоумышленники могут использовать квишинг с разными целями. Вот основные:

1. Переадресация на фишинговый сайт для получения доступа к вашим данным.  Злоумышленники создают сайт, по внешнему виду похожий на страницу известного банка, маркетплейса или сервиса. Здесь вам предлагают ввести свои данные: почту, телефон, номер карты, CVC-код и т.д. Таким образом, злоумышленники получают доступ к личной информации и вашему кошельку.
2. Заражение устройства вредоносным ПО. После сканирования QR-кода на устройство могут быть загружены вредоносные ПО, вирус-вымогатель или троян. С их помощью киберпреступники смогут отслеживать действия на вашем устройстве, украсть данные, загружать приложения и программы.
3. Кража аккаунта в социальных сетях или почты. Доступ к вашему аккаунту позволит мошенникам рассылать от вашего имени письма списку контактов, а также попросить выкуп за возвращение аккаунта у вас.

Алексей Исаев

Руководитель направления по техническому сопровождению продаж NGR Softlab

Злоумышленникам интересен весь функционал при использовании QR- кодов: совершение платежей, загрузка файлов, переход на веб-сайты, сохранение контактов, подключение к Wi-Fi. Любое из перечисленных действий может стать точкой входа для вредоносного ПО.

Одна из распространенных схем социальной инженерии с использованием QR-кодов – захват личного аккаунта в мессенджере. С пользователем связывается якобы служба поддержи и просит в целях безопасности перейти по коду для аутентификации сеанса. Но вместо доступа к аккаунту жертва сканирует вредоносный QR.

В мае 2023 года мошенники попытались использовать квишинг, чтобы обмануть пользователей сервиса кикшеринга Woosh. На нескольких самокатах обнаружились поддельные QR-коды, которые злоумышленники наклеили поверх настоящих. Сервисная команда кикшеринга удалила фейковые QR-коды сразу после обнаружения.  

Как защититься от квишинга

Чтобы не попасться на уловку мошенников, нужно сохранять бдительность и соблюдать простые правила кибергигиены. Самое простое, как и в случае с фишингом — не переходить по неизвестным или подозрительным ссылкам и не сканировать QR-коды, присланные неизвестными вам отправителями.

Алексей Исаев

Руководитель направления по техническому сопровождению продаж NGR Softlab

Чтобы не стать жертвой мошенничества с использованием QR-кода, необходимо соблюдать несколько простых правил:

1. Не сканировать все подряд. В общественных местах проверять, не наклейка ли это поверх оригинала.
2. Прежде чем перейти по ссылке, на которую ведет код, проверьте URL на безопасное соединение – это значок замка в адресной строке браузера. Также проверьте корректность написания URL, чтобы вместо портала «gosuslugi» ссылка не вела на «gossuslugi».
3. Перед отправкой платежа незнакомому магазину или ИП по QR сперва потратьте пару минут и поищите информацию о продавце. Если это мошенник, на него уже могли написать отрицательный отзыв.
4. Используйте проверенные приложения для сканирования QR. Хороший рейтинг и множество отзывов – ориентиры для выбора подходящего приложения. 

5. В настройках смартфона или планшета можно отключить функцию автоматических действий при считывании QR.

Необходимо помнить, что QR-коды могут также содержать конфиденциальную информацию о нас. Например, банковские приложения формируют код для сканирования, где содержаться реквизиты пользователя. QR-коды с личными данными граждан передают государственные структуры, медицинские учреждения, службы доставки и т.д. Поэтому если вас просят поделиться QR-кодами с личными данными, сперва убедитесь в надежности источника, с которым вы общаетесь.

Специалистам ИБ-компаний стоит провести дополнительный тренинг с сотрудниками и напомнить о мерах безопасности.

Заключение

Схемы квишинга схожи с фишинговым мошенничеством — для своих целей киберпреступники также используют методы социальной инженерии. И случаи квишинга, по мнению ИБ-специалистов будут учащаться с распространением QR-кодов.

Андрей Ефимов

Инженер департамента информационной безопасности ИМБА ИТ

Квишинг продолжит эволюционировать, используя более изощренные методы обмана через QR-коды, а также усовершенствование техник социальной инженерии для привлечения пользователей к сканированию вредоносных QR-кодов. С распространением биометрической аутентификации, мошенники могут попытаться использовать поддельные QR-коды для сбора биометрических данных.

Технических средств защиты, позволяющих обнаруживать в рассылке QR-код с опасной ссылкой пока нет. Однако, уже созданы мобильные приложения — безопасные сканеры QR-кодов, которые проверяют каждый отсканированный код и предупреждают об опасных ссылках. Но основной мерой защиты все равно остается — соблюдение кибергигиены.

Александр Зубриков

Генеральный директор ITGLOBAL.COM Security

Квишинг, как и другие методы фишинга — «сезонная» вещь и зависит от популярности технологии: чем больше спрос на QR-коды, чем больше их в нашей жизни — тем больше вариаций и возможностей у мошенников. Пока ИТ-сообщество не придумает более удобный и безопасный способ обмена короткой информацией, этот способ будет актуальным. А с учетом zero-click уязвимостей, когда пользователю достаточно просто просканировать код, даже ничего не открывая, такие атаки могут быть очень опасными и от них тяжело защититься.

Специалисты по кибербезопасности сходятся во мнении, что пока квишинг будет развиваться, а злоумышленники будут искать новые способы эксплуатации уязвимостей.