QR-коды меняют бизнес, но скрывают опасные ловушки для компаний

Растущее применение QR-кодов и связанные с ними риски

По данным Cybersecurity-Insiders, QR-коды, или, как их ещё называют, «коды быстрого доступа», стали неотъемлемой частью повседневной жизни. Их можно встретить в магазинах, на упаковке, в аэропортах, на мероприятиях, а также при просмотре телевидения. Эти двухмерные коды позволяют быстро и удобно получать информацию с помощью смартфонов, заменяя бумажные носители.

История QR-кодов уходит в 1994 год, когда компания Denso Wave, дочерняя организация Toyota Motor Corporation, разработала их для отслеживания деталей в автомобильной промышленности. С тех пор сфера применения значительно расширилась, охватив здравоохранение, производство, логистику и другие отрасли. В условиях пандемии QR-коды получили ещё большее распространение, так как стали важным инструментом для обеспечения бесконтактных взаимодействий.

Распространённые сценарии использования QR-кодов

Сегодня QR-коды активно используются в различных сферах:

• Здравоохранение: пациенты сканируют коды, чтобы получить информацию о назначениях, диагнозах или образовательных материалах.
• Производство: коды применяются для управления запасами, отслеживания активов и обслуживания оборудования.
• Розничная торговля и логистика: QR-коды заменяют печатные инструкции, помогая пользователям получить доступ к цифровым ресурсам.

Новые риски, связанные с QR-кодами

Несмотря на удобство, QR-коды могут быть использованы злоумышленниками для социальной инженерии. Такие атаки получили название quishing — это форма мошенничества, при которой пользователи перенаправляются на поддельные сайты или получают вредоносные файлы.

Среди наиболее распространённых сценариев:

• Перенаправление на фишинговые сайты, имитирующие банки или онлайн-магазины.
• Автоматическая загрузка вредоносного ПО, включая spyware, ransomware.
• Подключение к вредоносным Wi-Fi-сетям, что позволяет злоумышленникам перехватывать данные.
• Вызов звонков или отправка SMS, в результате чего пользователь может попасть в список рассылки спама.
• Выполнение цифровых платежей через такие платформы, как PayPal или Venmo.

Как снизить риски

Эксперты подчёркивают необходимость повышения осведомлённости и внедрения защитных мер. Среди рекомендаций:

• Проверять источник QR-кода. Коды на упаковке продуктов или официальных указателях могут быть более надёжными, чем те, что приходят по электронной почте или СМС.
• Использовать альтернативные способы получения информации, например, посещение официального сайта компании.
• Избегать ввода личных данных, таких как номера кредитных карт или СНИЛС, на сайтах, полученных через сканирование.
• Не использовать модифицированные устройства, так как это устраняет встроенные защитные меры.
• Установить решения для защиты мобильных устройств, способные блокировать вредоносные сайты и подозрительные соединения.

i

Создано специально для ASECTOR

Концептуальное изображение

Практические шаги для бизнеса

Для компаний, активно использующих QR-коды, важно внедрять меры, направленные на минимизацию уязвимостей. Это может включать:

• Обучение сотрудников и клиентов основам кибербезопасности.
• Использование только доверенных сервисов для генерации и размещения QR-кодов.
• Регулярную проверку кодов на наличие вредоносного содержимого.

QR-коды продолжают играть важную роль в цифровой среде, обеспечивая простоту и скорость взаимодействия. Однако их широкое распространение также создаёт новые уязвимости. Эксперты из AT&T Cybersecurity отмечают, что безопасное использование QR-кодов требует внимательности и соблюдения базовых принципов кибергигиены.

QR-коды: удобство, которое становится уязвимостью

QR-коды перестали быть только техническим решением — они стали элементом цифровой инфраструктуры, который используется в логистике, ритейле, здравоохранении и даже в государственных услугах. Однако с ростом популярности QR-кодов растут и риски их злоупотребления. Удобство, которое делает их востребованными, одновременно создает условия для кибератак. Особенно это касается сценариев, где злоумышленники используют QR-коды для социальной инженерии.

QR-код как вектор атак

QR-код — это не только способ быстро открыть ссылку. Это точка входа в цифровую систему. При этом сам код не проверяет, куда ведет ссылка. Он только открывает её. Это делает QR-коды идеальным инструментом для социальной инженерии, где ключевой задачей является манипуляция с доверием пользователя.

Важный момент: QR-код — это не контент, а указатель. Он не хранит данные, а направляет к ним. Именно это делает его таким уязвимым: отсутствует возможность встроенной проверки целостности.

В первом квартале 2025 года количество подозрительных действий на платформе Salesforce выросло в 20 раз [!]. Более четверти подозрительных файлов содержали изображения с QR-кодами, которые воспринимались как безопасные из-за доверия к платформе. Такие коды часто ведут на сайты, имитирующие известные бренды, что позволяет обманывать пользователей и получать доступ к их данным.

Как QR-коды используются в атаках

QR-коды становятся частью сложных сценариев мошенничества. Например, злоумышленники могут разместить QR-код на поддельной упаковке товара, который ведет на фишинговый сайт. Пользователь, полагая, что находится на официальной странице, может ввести личные данные. Такие атаки уже фиксируются в отчетах кибербезопасности, включая случаи, где мошенники подделывают уведомления от ФНС и используют точные данные из утекших источников [!].

Снятие наличных по QR-коду может быть расценено банком как подозрительная операция [!]. Это указывает на то, что QR-коды уже включаются в системы мониторинга рисков. Однако для злоумышленников это не преграда — наоборот, это еще один канал для маскировки действий.

Двойственная природа QR-кодов

QR-коды не только становятся вектором атак, но и могут использоваться для повышения безопасности. Например, Google предлагает внедрение QR-кодов для автоматической проверки информации в розничной торговле [!]. Такие коды позволяют хранить больше данных, включая информацию о условиях хранения товаров, сроках годности и логистике. Это снижает риски ошибок в инвентаризации и повышает точность планограмм.

Важный момент: QR-коды могут быть и инструментом защиты, и инструментом атак. Всё зависит от контекста их использования.

Что делать бизнесу?

Для компаний, активно внедряющих QR-коды, необходимо пересмотреть подход к их использованию. Это не только вопрос кибербезопасности — это вопрос доверия к бренду. Если клиент попадает на вредоносный сайт, сканируя код, который, казалось бы, должен быть безопасным, он может усомниться в надежности всей системы.

Практические меры включают:

• Проверку источника — QR-коды, размещенные на упаковке, в помещениях или на официальных указателях, имеют больший уровень доверия, чем те, что приходят через СМС или электронную почту.
• Использование проверенных сервисов — генерация кодов должна происходить на надежных платформах, где можно отслеживать изменения.
• Обучение сотрудников и клиентов — пользователь должен понимать, что не все QR-коды безопасны, и знать, как проверить, куда ведет ссылка.

Многослойная защита

Внедрение многослойной защиты для мобильных устройств становится необходимостью. Решения, способные блокировать подозрительные соединения и вредоносные сайты, особенно актуальны для компаний, где сотрудники используют QR-коды в операционных процессах. Это особенно важно в условиях роста атак, где отмечено увеличение спроса на услуги брокеров первоначального доступа на 20%. [!]

Важный момент: Защита QR-кодов требует не только технических мер, но и повышения осведомленности пользователей.

Перспективы и выводы

QR-коды продолжают играть важную роль в цифровой среде, обеспечивая простоту и скорость взаимодействия. Однако их широкое распространение также создаёт новые уязвимости. Эксперты из AT&T Cybersecurity отмечают, что безопасное использование QR-кодов требует внимательности и соблюдения базовых принципов кибергигиены.

С ростом числа атак и усложнением сценариев мошенничества, QR-коды становятся не только инструментом, а частью более широкой системы рисков. Для бизнеса важно не только использовать QR-коды, но и понимать, как они могут быть использованы против него.