QR-код — це вид штрих-коду, який надає простий і швидкий доступ до будь-якої інформації (текст, URL-адреса, оформлення покупки, підтвердження транзакції). Може зчитуватися звичайним смартфоном або планшетом. Повна назва звучить як Quick Response Code, що означає “швидкий відгук”, “миттєвий доступ”.
Що таке QR-код і де він використовується
QR-коди були винайдені ще в 1994 році, але активно ними стали користуватися лише порівняно недавно. Серед основних причин зростання популярності можна виокремити: швидкий розвиток мобільних та інтернет-технологій, бажання людей швидше та простіше отримувати доступ до інформації або проводити операції (замовлення, оплати), тривала пандемія COVID-19.
Сьогодні QR-коди можна зустріти практично у всіх сферах: кафе, ресторани, магазини, парковки, прокат техніки, транспорт, охорона здоров’я, фінанси, реклама. За даними Statista, за останні 2 роки відсоток використання QR-кодів збільшився на 26%, що свідчить про активне зростання використання цієї технології.
На сьогодні, лідерами з використання QR-кодів можна вважати країни Азії та Північної Америки. За даними ExpressVPN, у Китаї люди дуже активно використовують QR-коди в повсякденному житті: від зайняття місць у черзі та призначення дат до здійснення транзакцій за допомогою технології Scan-to-Pay. Європейські країни повільніше впроваджують QR-коди, але тенденція до активного зростання все одно спостерігається.
QR-коди значно спрощують наше життя і прискорюють багато процесів, але разом з тим і приходять певні ризики, як, наприклад, шахрайство.
Види шахрайства з QR-кодами
Зі зростанням популярності QR-кодів хакери та шахраї почали активно використовувати цю технологію у своїй практиці. Небезпека полягає в тому, що “шкідливі” коди зовні нічим не відрізняються від звичайних і на перший погляд їх неможливо розпізнати. Також відсутній механізм верифікації QR-кодів, а створити їх може будь-хто без особливих зусиль і навичок.
QR-коди можуть розкрити багато інформації про своїх користувачів, піддаючи їхню конфіденційність та особисті дані великому ризику. Відсканувавши код і перейшовши за посиланням, людина, яка нічого не підозрює, може розкрити шахраям своє місце розташування, браузер, IP-адресу, історію відвіданих вебсторінок. Зловмисники можуть легко отримати доступ до особистих даних, таких як імена, паролі, адреси, банківська інформація, кукі браузера. Всю цю інформацію шахраї можуть продати третім особам або скористатися нею для особистої вигоди.
Щоб захистити себе від подібних випадків, потрібно розуміти, як і де шахраї можуть використовувати “шкідливі” QR-коди.
Підроблені QR-коди у сфері обслуговування
Останнім часом QR-коди все частіше стали використовуватися у сфері громадського харчування: кафе, барах, ресторанах. Багато закладів почали активно впроваджувати QR-коди ще 2020 року на тлі пандемії COVID-19, що дало змогу мінімізувати контакти між людьми та продовжувати бізнесам працювати. Як з’ясувалося, QR-коди ще допомагають прискорити процес обслуговування закладу. Багато ресторанів використовують QR-коди у своїх меню, на сайтах і під час оплати замовлень. Шахраї можуть підробляти та замінювати QR-коди закладів, тим самим отримуючи персональні дані користувачів або перенаправляючи їх на фішингові сайти.
Таку саму схему можна використовувати під час використання QR-кодів у магазинах, супермаркетах, спортзалах тощо.
Ризики загальнодоступних, публічних мереж
Громадські місця нерідко стають ціллю шахраїв, через легкий доступ до загальної мережі, наприклад безплатний Wi-Fi у кафе. Таким чином зловмисники можуть зламувати меню закладів, підміняти інформацію, отримувати доступ до особистих даних підключених користувачів.
Безплатний доступ до загальнодоступного Wi-Fi за QR-кодом також можуть бути використані в шахрайських цілях. Кіберзлочинці часто створюють підроблені точки доступу Wi-Fi, до яких може під’єднатися нічого не підозрюючий користувач.
QR-коди на упаковках продукції
Останніми роками QR-коди на упаковках стають дедалі популярнішими, замінюючи керівництва користувача, реєстрацію продукту, гарантійні талони. Бренди та виробники використовують цю технологію для більш зручного відображення інформації про свою продукцію, збору зворотного зв’язку або підвищення загальної якості обслуговування клієнтів. Активне використання QR-кодів на пакуванні також привернуло увагу і шахраїв.
Зловмисники можуть надсилати користувачам фішингові електронні листи під виглядом відомих брендів, що містять звичні QR-коди. Відомі випадки, коли шахраї навіть відправляли своїм жертвам фізичні посилки або подарунки з підробленими QR-кодами, маскуючи їх під продукцію оригінальних брендів.
Фінансові транзакції за допомогою QR-кодів
QR-коди дозволили підвищити швидкість і безпеку фінансових транзакцій завдяки наскрізному шифруванню та функціям зняття готівки без PIN-коду. Однак вони також стали мішенню для шахраїв.
Злочинці використовують QR-коди для атаки на банківські рахунки користувачів кількома способами. Одним із найпоширеніших є підробка оригінальних QR-кодів, що використовуються для платежів у громадських місцях, таких як парковки, заправки, точки прокату транспорту, кафе.
Найбільша небезпека цього методу полягає не стільки в тому, що користувач, який нічого не підозрює, заплатив невелику суму за паркування шахраєві, а в тому, що платіжні дані зберігаються в зловмисника, і надалі можуть бути здійснені небажані транзакції на великі суми.
Ще одним поширеним методом шахрайства з використанням QR-кодів є операції з криптовалютою. Зловмисники можуть заманювати користувачів “безплатними роздачами” криптовалют або обіцяти вигідніші курси обміну. Але після сканування QR-коду, користувачів перенаправляють на шкідливі сайти, призначені для збору даних або повної крадіжки їхнього криптогаманця.
Основними каналами для шахрайства з криптовалютами стали соціальні мережі. Зловмисники часто видають себе за офіційних представників популярних криптобірж або відомих крипто-експертів. Вони заманюють потенційних жертв всілякими вигідними пропозиціями та часто при цьому використовують QR-коди. Так, наприклад, 2022 року Федеральна торгова комісія США з’ясувала, що 32% усіх випадків шахрайства з криптовалютою було скоєно в Instagram.
QR-код у сфері медицини та охорони здоров’я
Під час пандемії COVID-19 QR-коди зіграли важливу роль у відстеженні стану здоров’я пацієнтів і допомагали ефективніше стежити за поширенням вірусу.
Через деякий час QR-коди стали важливим інструментом для фармацевтичних компаній, надаючи інформацію про виробничий процес, вміст ліків, терміни придатності, дозування і заходи безпеки.
На жаль, сфера охорони здоров’я так само не застрахована від шахрайства. Злочинці використовують підроблені QR-коди, що пропонують медичну інформацію, щоб обманом змусити пацієнтів видати конфіденційні особисті дані.
Як безпечно використовувати QR-код
QR-коди – це зручний інструмент, який значно спрощує багато процесів, не варто боятися ними користуватися. А щоб не попастися на виверти шахраїв, достатньо дотримуватися кількох простих правил, які зібрані в керівництві ExpressVPN з QR-кодів. Ось, мабуть, найосновніші з них:
1. Скануйте і переходьте за посиланнями QR-кодів тільки з перевірених джерел. Уникайте QR-кодів, розміщених на випадкових листівках, оголошеннях, банерах, наклейках.
2. Перевіряйте візуально, чи не схожий QR-код на підроблений. Поширена практика, коли шахраї наклеюють підроблені коди поверх оригінальних. Зазвичай при візуальному огляді це помітно.
3. Перевірте URL-адресу. Під час сканування QR-кодів більшість смартфонів попередньо показують URL, куди ви збираєтеся перейти. Якщо адреса з помилкою або явно виглядає підозрілою, краще відмовитися від її відвідування. Або ви можете використовувати спеціальні онлайн-сервіси для безпечної перевірки QR-кодів, наприклад ZXing Decoder Online.
4. Регулярно оновлюйте свої пристрої. Як би банально це не звучало, але це дійсно допомагає. Розробники операційних систем і застосунків приділяють особливу увагу безпеці та вразливостям, регулярно випускають оновлення. Останні актуальні версії ОС і застосунків підвищують ваш захист.
5. Будьте особливо обережні під час проведення транзакцій через QR-коди. Уникайте сканування QR-кодів під час проведення фінансових операцій, якщо вони не здійснюються через надійне джерело, наприклад, авторитетний платіжний застосунок або застосунок вашого банку.
6. Відмовляйте в доступі неперевіреним QR-кодам. До QR-кодів, які запитують додатковий доступ до особистої інформації, як-от контакти або місце розташування, слід ставитися з особливою обережністю. Дозволяйте доступ тільки для QR-кодів із надійних перевірених джерел.
7. Ігноруйте сторонні застосунки для QR-кодів. Сучасні смартфони можуть зчитувати QR-код без додаткового стороннього софта. Проте в App Store і Google Play є безліч програм для зчитування QR-кодів, деякі навіть платні.