15.10.2024
1 хв
1221
У сучасному цифровому світі QR-коди стали невід’ємною частиною повсякденного життя — від меню в ресторанах до оплати паркування. Проте, зростання їх популярності привернуло увагу кіберзлочинців, які використовують цю технологію для фішингу та крадіжки особистих даних. У статті детально аналізуємо реальні випадки шахрайства з QR-кодами, розкриває технічні аспекти підробок та надає практичні поради щодо захисту.
До 2025 року QR-коди стали справжнім інструментом масового шахрайства. Один необережний скан — і ви ризикуєте втратити гроші, піддати свій смартфон зараженню шкідливим ПЗ або передати особисті дані зловмисникам. Давайте з’ясуємо, як QR-коди з корисного інструменту перетворилися на серйозну загрозу, як технічно організовані такі атаки та що говорить статистика про їх поширення. Наприкінці розглянемо практичні поради, які допоможуть розпізнати підроблені коди серед справжніх.
QR-коди вже давно стали повсякденною частиною нашого життя – як Wi-Fi чи кава на виніс. Вони зручні? Без сумніву. Але чи безпечні? Тут криється справжня проблема. Зручний інструмент для швидкого доступу до інформації перетворився на улюблену зброю шахраїв. Розглянемо найпоширеніші схеми, за допомогою яких зловмисники використовують підроблені QR-коди для викрадення ваших грошей або особистих даних.
Ну ось, ви приїхали до центру міста, знайшли парковку та радісно скануєте QR-код на паркоматі. Зручно — жодних черг, все через телефон. Але знаєте, що? Цей код може виявитися не таким легальним. Шахраї вже давно взяли на озброєння фішинг через паркомати.
У Європі із цим прямо біда. Ось вам приклад: у Нідерландах поліція буквально кричить (ну, майже) про підроблені QR-коди з логотипом Easy Park. При скануванні такого коду користувач потрапляє на сайт, який просить платіжні дані.
Аналогічна ситуація спостерігається в Люксембурзі, де шахраї клеять стікери з фальшивими QR-кодами на паркувальні автомати. Ці коди перенаправляють користувачів на шахрайські сайти, що імітують офіційні сервіси. Муніципалітет рекомендує використовувати тільки офіційний додаток Indigo Neo для оплати паркування, щоб уникнути проблем.
А в Дубліні одна жінка втратила 1000 євро, відсканувавши підроблений QR-код на паркувальному автоматі. Такі випадки показують, як легко можна стати жертвою шахраїв, якщо не перевіряти джерело QR-коду. Особливо небезпечно, що ці фальшиві коди часто розміщуються у місцях із високою прохідністю, де люди поспішають і менше уваги звертають на деталі.
QR-коди у ресторанах – це справді зручно. Жодних старих і брудних меню: навів камеру – і перед вами сучасний список страв. Проте й сюди вже дісталися шахраї. Так-так, ті самі, що клеять свої підроблені коди просто на столики або двері закладу.
Кіберзлочинці створюють фальшиві QR-коди, які перенаправляють користувачів на підроблені сайти або програми, що виглядають як офіційні ресурси ресторану. На таких шахрайських платформах відвідувачів можуть попросити ввести особисту інформацію, дані банківських карток або навіть встановити шкідливе програмне забезпечення на смартфон.
Дослідження показало, що більше половини ресторанів у США перейшли на QR-коди для меню, але багато хто з них не поінформований про небезпеки, пов’язані з їх використанням. Це створює ідеальні умови для шахраїв, які можуть замінити легітимні коди на власні.
Аналітики Abnormal Security Corp. виявили, що керівники вищої ланки отримують фішингові атаки через QR-коди в 42 рази частіше, ніж пересічні співробітники.
Крім того, шахраї навчилися інтегрувати QR-коди в різнокольорові фони або вбудовувати їх у електронні листи та файли Excel з підтримкою макросів. Такий підхід ускладнює виявлення загроз антивірусними програмами. Зловмисники постійно вдосконалюють свої методи, роблячи атаки все більш витонченими.
Один із популярних сценаріїв — використання QR-кодів, що перенаправляють користувачів на сайти, де пропонується встановити нібито оновлення для браузера або операційної системи. Насправді ж такі “оновлення” містять шкідливе програмне забезпечення, яке може викрадати дані або надавати зловмисникам доступ до пристрою користувача.
Дослідники з Barracuda виявили нові методи квішингу (від англ. phishing through QR codes), які дозволяють оминати традиційні системи безпеки. Одна з таких технік полягає у створенні QR-кодів із текстових символів ASCII/Unicode замість стандартних статичних зображень. Це ускладнює виявлення шкідливих посилань за допомогою оптичного розпізнавання символів (OCR).
Ще одна тривожна тенденція – використання універсальних ідентифікаторів двійкових великих об’єктів (Blob URI). Ці URI дозволяють веб-розробникам працювати з бінарними даними, наприклад, зображеннями чи відео, безпосередньо у браузері, минаючи надсилання або отримання з зовнішнього сервера.
Завдяки цьому шахраї можуть створювати фішингові сторінки, які повністю автономні та не залишають слідів на сторонніх серверах. Це значно ускладнює їх виявлення за допомогою традиційних методів безпеки. Таким чином, фішингові атаки стають ще більш прихованими та небезпечними.
Особливо витонченою стала схема під назвою Quishing 2.0. Вона включає два QR-коди:
Перший (поганий) веде на легітимну сторінку SharePoint, пов’язану зі зламаним обліковим записом. Ця сторінка потім перенаправляє користувача на сторінку фішингу.
Другий («чистий») веде на онлайн-сервіс сканування QR-кодів (наприклад, me-qr.com), де відображається реклама, а потім користувач перенаправляється ту ж сторінку SharePoint.
Така багатошарова схема обходить більшість систем безпеки, оскільки «чистий» QR-код веде на легітимний сервіс, а сторінка фішинга маскується під довірений ресурс. Це робить атаки ще більш небезпечними та важковиявленими.
Команда Egress встановила, що 12% всіх атак фішингу з січня по серпень 2024 року включали QR-коди, що на 1 400% більше, ніж у 2021 році. До 2025 року глобальні витрати з використанням QR-кодів перевищать 5,3 трильйона доларів. Це створює величезне поле для зловмисників, котрі постійно вдосконалюють свої методи.
У 2024 році спостерігалося значне зростання фішингових атак з використанням QR-кодів, збільшившись більш ніж на 270% на місяць. Ці цифри говорять про те, що QR-коди стають більш привабливою метою для шахраїв, а користувачі частіше стають жертвами.
Коли мова заходить про захист від QR-коди, багато користувачів покладаються на традиційні антивіруси та системи безпеки. Однак ці методи часто виявляються безсилими перед новими загрозами.
Однією з ключових проблем є те, що традиційні антивірусні програми не аналізують URL-адреси, на які ведуть QR-коди, до їх сканування. Зазвичай антивіруси працюють на основі сигнатур або аналізу поведінки, що дозволяє їм виявляти шкідливі файли чи програми безпосередньо на пристрої. Проте, коли справа доходить до QR-кодів, антивірус залишається “сліпим” до того моменту, поки користувач не перейде за посиланням.
За даними фахівців компанії Check Point у 2024 році, близько 70% користувачів навіть не підозрюють про можливі загрози під час сканування QR-кодів. Це пов’язано з тим, що антивірусні програми не можуть попередити про потенційну небезпеку до моменту відкриття посилання. Таким чином, користувач може опинитися на фішинговому сайті або завантажити шкідливий додаток, перш ніж система безпеки встигне відреагувати.
Ця вразливість особливо небезпечна через те, що зловмисники постійно вдосконалюють методи маскування своїх атак. Навіть якщо антивірус зреагує пізніше, шкода вже може бути завдана, і користувачі часто виявляють проблему лише постфактум.
Сучасні кіберзлочинці навчилися майстерно маскувати свої шкідливі сайти під легітимні ресурси, що робить їх виявлення складним навіть для досвідчених користувачів.
Використання HTTPS. Багато фішингових сайтів сьогодні використовують протокол HTTPS, що створює оманливе відчуття безпеки у користувачів. Браузер відображає зелений замок поруч із URL-адресою, змушуючи думати, що сайт безпечний. Проте, за даними компанії PhishLabs, у 2024 році понад 30% фішингових сайтів використовували HTTPS, вводячи користувачів в оману.
Приховування реального URL. Поширений метод маскування — використання URL-скорочувачів, таких як bit.ly або tinyurl.com. Це дозволяє приховати фактичну адресу сайту, показуючи коротке та нібито безпечне посилання. Користувач переходить за таким лінком і потрапляє на шкідливий ресурс. Згідно з дослідженням Barracuda Networks, у 2024 році 40% фішингових атак використовували скорочені URL.
Імітація відомих брендів. Кіберзлочинці часто створюють фішингові сторінки, що виглядають як сайти популярних брендів чи сервісів, зокрема банків або інтернет-магазинів. Вони копіюють дизайн та структуру оригіналу, щоб обдурити користувачів і змусити їх ввести конфіденційні дані. Наприклад, під час атаки на одного з великих європейських банків було створено понад 100 підроблених сайтів з ідентичним дизайном та функціоналом, що ускладнювало їх розпізнавання.
Кіберзлочинці створюють сайти, які імітують сторінки відомих брендів чи сервісів, таких як банки чи популярні інтернет-магазини. Вони копіюють дизайн та контент легітимних сайтів, щоб обдурити користувачів та змусити їх ввести свої особисті дані. Наприклад, під час атаки на клієнтів одного з великих банків у Європі було створено понад 100 підроблених сайтів з ідентичним дизайном та функціоналом. Таке маскування робить фішингові сайти практично невідмінними від справжніх, особливо недосвідчених користувачів.
Ще однією причиною неефективності традиційних методів захисту є недостатня обізнаність користувачів щодо ризиків використання QR-кодів. Більшість обивателів не знають про можливі загрози під час використання QR-кодів і не розуміють важливості перевірки джерел перед скануванням. Дослідження Cybersecurity & Infrastructure Security Agency (CISA) показало, що лише 25% респондентів знають про ризики використання QR-кодів.
Крім того, користувачі часто сканують QR-коди без належної перевірки чи роздумів про те, куди вони можуть привести. Це створює сприятливе середовище для зловмисників, які легко маніпулювати довірливими людьми. Наприклад, багато людей сканують коди на вуличних оголошеннях, не замислюючись над тим, хто їх розмістив і які наслідки це може мати.
Єдиний спосіб повністю захистити себе від шахрайства – не використовувати QR-коди. Але ми розуміємо, що це майже неможливо, адже вони стали невід’ємною частиною сучасного життя. Тому варто задуматися про додаткові заходи цифрової гігієни.
Якщо QR-код надходить від невідомого відправника або розміщений у громадському місці без чіткого контексту, краще його проігнорувати. Наприклад, підроблені коди на паркувальних автоматах, у метро або на рекламних плакатах можуть виглядати абсолютно нешкідливо, але насправді перенаправляти на сторінки, де ваші дані опиняться під загрозою. Хоча за розміщенням оголошень та реклами в громадських місцях зазвичай стежать певні служби, наприклад, на рекламних плакатах можуть бути наклейки з унікальним номером, це не гарантує безпеки.
Краще не довіряти кодам, які здаються підозрілими: наприклад, якщо вони розміщені в місцях з високою прохідністю або наклеєні поверх оригінальних елементів. Якщо щось викликає сумнів, краще утриматися від сканування.
Сучасні смартфони мають інструменти для безпечного сканування QR-кодів. Наприклад, Google Lens дозволяє спершу переглянути вміст коду перед відкриттям посилання. Він розпізнає код та надає інформацію про нього, що дозволяє уникнути переходу на потенційно небезпечний сайт. Якщо URL містить підозрілі символи або незнайомий домен, Google Lens попередить про це. Це простий, але ефективний спосіб убезпечити себе від шахрайства.
На пристроях Apple вбудована функція безпечного перегляду автоматично перевіряє URL-адресу на наявність загроз. Якщо ви використовуєте Safari, система попередить вас про небезпечні сайти, перш ніж ви потрапите на них. Це особливо корисно, якщо ви випадково скануєте підроблений QR-код. Це простий спосіб захисту від фішингових сайтів та інших загроз.
При наведенні камери айфона на QR-код ви побачите посилання. Це теж не панацея, особливо якщо врахувати, що багато хто взагалі не дивиться на посилання, а просто натискають на неї. Принаймні скорочені посилання повинні наводити на певні сумніви щодо безпеки переходу по них.
Багато сучасних додатків після сканування QR-коду надають попередній перегляд посилання. Це корисна функція, адже вона дозволяє оцінити адресу перед переходом. Завжди звертайте увагу на орфографічні помилки або незвичні доменні імена. Наприклад, якщо ви бачите адресу на кшталт bank-safety.com замість офіційного bank.com, це явна ознака шахрайства.
Якщо виникають сумніви щодо безпеки посилання, використовуйте онлайн-сканери, такі як VirusTotal або URLVoid. Ці сервіси дозволяють проаналізувати посилання на наявність шкідливого контенту та попереджають про можливі загрози. Виділити декілька хвилин на перевірку значно безпечніше, ніж ризикувати втратити конфіденційні дані чи гроші.
Закінчуємо статтю маленьким експериментом! Подивіться на ці два QR-коди нижче. Один із них веде на офіційний сайт Selectel, а інший створений для демонстрації потенційних загроз. Але не поспішайте їх сканувати!
Коли ми бачимо два QR-коди поруч, можна помітити певні візуальні відмінності. Але на зображенні можна лише приблизно оцінити довжину посилання, що робить таку перевірку ненадійною. Саме через це шахраї так успішно використовують QR-коди – вони здаються цілком безпечними, поки не стане надто пізно.
Спробуйте самостійно перевірити ці коди за допомогою описаних вище методів. Або ж ви можете ризикнути та сканувати той, який здається більш надійним.
Проте пам’ятайте: у реальному житті такий підхід може призвести до серйозних наслідків. Завжди залишайтеся пильними, адже обережність – ваш найкращий захист від кіберзагроз.
QR-коди, які колись були зручним інструментом для швидкого доступу до інформації, сьогодні перетворилися на потужну зброю в руках кіберзлочинців. Шахраї використовують їх для викрадення даних, зараження пристроїв шкідливим ПЗ та обману користувачів, створюючи фальшиві сайти та замінюючи легітимні коди на підроблені.
Основною проблемою є те, що більшість користувачів не усвідомлюють потенційної небезпеки під час сканування QR-кодів. Сучасні методи шахрайства настільки витончені, що навіть досвідчені користувачі можуть стати їх жертвами. HTTPS, скорочені посилання та імітація відомих брендів – все це робить фішингові атаки ще більш непомітними.
Щоб убезпечити себе, важливо дотримуватися цифрової гігієни: перевіряти URL-адреси перед переходом, використовувати програми з попереднім переглядом посилань та бути обережним із QR-кодами в публічних місцях. Не покладайтеся лише на антивіруси, адже вони не завжди можуть виявити небезпеку на етапі сканування.
Головне правило – критично ставитися до будь-якого QR-коду, особливо якщо його походження викликає сумніви. Уважність і обачність – ваші найкращі союзники у боротьбі з кіберзлочинцями.
