Привет.
Нет ничего проще, чем навести телефон на QR-код, который вы видите на рекламном плакате в метро, наземном транспорте, на улице, и тут же перейти по ссылке. Простота и удобство технологии однозначно подкупают, но таят в себе и опасности. Вы никогда не знаете, что вас ждет после открытия ссылки, на какой ресурс она ведет и кто его создавал. Вполне безобидные вещи могут оказаться на поверку чем-то иным.
В Москве у памятника Иосифу Кобзону есть отсылки к его самым популярным песням, достаточно отсканировать QR-код на специальных врезках вокруг памятника, и ваш телефон начнет проигрывать музыку.
Просто, красиво и понятно. Скандал разразился, когда очередные любопытствующие открыли ссылки через QR-коды и обнаружили вовсе не песни, а подпольный магазин, который продает запрещенные вещества. Кто-то подменил QR-коды на свои, «угнал» чужой трафик на свои ресурсы.
Ровно такая же история случилась в декабре 2023 года, в Москве на паре уличных плакатов сменили QR-коды, вместо нужной странички открывался оппозиционный сайт, на котором призывали бойкотировать выборы в нашей стране. Городские власти сориентировались практически моментально, рекламные агентства получили временный запрет на размещение QR-кодов в наружной рекламе, так как не могли гарантировать, что те не будут вести куда-то не туда. Думаю, что тут злую шутку с QR-кодами сыграло то, что они нечитаемы для нас, мы никогда не можем проверить, что за ссылка зашифрована в таком коде. Для этого нам нужно ее открыть. В то время как обычные ссылки нами читаются, мы примерно представляем, насколько они могут быть реальными или поддельными.
Наш мир выстроен вокруг внимания. Любой маркетолог вам расскажет про инструменты, которые используются для наполнения воронки продаж, привлечения внимания потенциальных клиентов. И самое сложное сегодня — привлечь внимание к себе, потратить на это как можно меньше денег и усилий, получить максимальный результат. Отсюда искушение воспользоваться заменой чужого QR-кода на свой.
Якутск, небольшое городское кафе. На столе рекламный листок, на нем зачеркнут QR-код с некой бонусной программой, она описывается тут же. Спрашиваю, в чем дело. Официант флегматично объясняет: «Подростки постоянно наклеивают свои коды, там перевод пятидесяти рублей им на счет. А люди считают, что это мы собираем себе деньги». Обратная сторона простой технологии, которая не имеет никакой защиты, ее можно просто и быстро взломать.
Причем происходит такое не только в России, а фактически в разных уголках мира. Итальянские производители сыра страдают от того, что их товар подделывают все кому не лень, число подделок превышает объем оригинального сыра. И когда речь идет о пармезане, то цена вопроса вовсе не копеечная. Первоначально попытались добавлять на каждую головку сыра QR-код, в котором были зашифрованы данные о времени производства и других параметрах, открывалась ссылка в специальном приложении. В короткие сроки фальсификаторы научились подделывать такие коды, оригинальный софт стал бесполезен. Сыроделы нашли элегантное решение, они добавили в каждый код казеиновую песчинку, которую нельзя рассмотреть невооруженным глазом. Расположение песчинки уникально для каждой головки сыра, она считывается в софте. Появился второй уровень защиты для QR-кодов, эту защиту пока не смогли обойти.
У нас с вами из средств защиты только наши глаза. Когда мы открываем ссылку на экране телефона, мы видим, куда она ведет, доменное имя. Можно посмотреть полную ссылку, но этого почти никто и никогда не делает. И тут открывается простор для злоупотреблений, наша невнимательность может стоить нам разных неприятностей.
Размышлял о превратностях с QR-кодами и тут же натолкнулся на листок, который прицепили скотчем к столбу на оживленном московском бульваре. Конечно же, этот листик сорвут через какое-то время, он не будет висеть вечно. Но это ровно то самое наполнение воронки, когда любопытствующие перейдут по ссылкам. Возможно, что кто-то решил так познакомиться и не придумал ничего лучше. Возможно. Но, скорее всего, за этим стоит тот или иной злой умысел, которого мы пока не видим за рекламной листовкой, игривым сообщением.
Когда я говорю про злой умысел, я ничуть не лукавлю. В современных устройствах хватает различных уязвимостей, которые становятся воротами для взлома. Иногда достаточно открыть документ либо просто перейти по ссылке, дальше все происходит без вашего участия и в автоматическом режиме. Примерно так был взломан WhatsApp (принадлежит Meta*, признана экстремистской организацией в России) у моего знакомого. У него те же интересы, что и у меня, изучает уличное искусство, обнаружил на задворках Москвы любопытные работы. Около одной из них несколько QR-кодов, которые явно относились к самой работе, создавалось такое впечатление. Открыл ссылку, по ней файл с описанием работы и художника. Конечно же, файл загрузился. Телефон поймал вирус, который взломал WhatsApp. К вечеру весь его контакт-лист был завален просьбами срочно перевести десять тысяч рублей, так как эти деньги жизненно необходимы. И это еще не самый изощренный вариант того, что может случиться с такими кодами и переходом в полную неизвестность.
Большая часть людей никогда не сканируют QR-коды на улицах (впору спрашивать, а умеют ли люди это делать в принципе). Сделал опрос в нашем TG-канале, найти его можно вот тут.
Меня удивило, что для многих QR-код — это вещь негативная, утаивание информации, когда она не читается без телефона. То есть люди хотят видеть, что именно им предлагается, и потом уже руками вводить ссылку (это отдельная боль, я иногда забываю сайты, которые хотел запомнить, чтобы открыть потом). И для меня QR-коды — штука удобнейшая, но с одной оговоркой. Я не стремлюсь открыть коды, которые нахожу на улицах. Равно как и не использую общественный Wi-Fi в целях экономии трафика, так как зачастую это огромная дыра в безопасности моих данных. И это несмотря на то, что у меня стоит несколько уровней защиты, которые не так-то легко обойти. Тем не менее, береженого бог бережет. Открывать ссылки, найденные посреди какой-то разрухи, как-то не тянет совсем.
Мне нравится подход Space Invaders, ребята сделали приложение, чтобы сканировать их образчики пиксельного искусства. Посмотрите, какие классные работы есть в Гонконге.
Вы можете их отсканировать и запомнить в приложении, игровая механика отличная и показывает вам, куда можно пойти, чтобы увидеть новые работы. А заодно защищает вас от сканирования любого рода QR-кодов. Бывают и такие решения вопроса безопасности для уличного искусства, распространения информации. Нишевая история, но в качестве иллюстрации она вполне годится.
Демонизировать QR-коды точно не стоит, они не являются абсолютным злом. Просто следует проявлять осторожность в том, что вы сканируете и где, а главное, зачем. Порой доходит до смешного, когда QR-коды становятся средством конкурентной борьбы. Например, на Сахалине многие торговые точки заклеивают кусочек на терминале оплаты, чтобы вы не видели QR-код. Им выгоднее, чтобы платеж прошел привычным способом, местная специфика борьбы в банковском секторе.
Всегда думайте, что вы делаете, какие ссылки открываете, изучайте их. Любое сомнение должно трактоваться в пользу безопасности, лучше остаться без каких-то новых знаний, чем позволить что-то взломать на своем устройстве. Безусловно, взлом происходит не так просто, часто задействуют многоступенчатые схемы, тем не менее, это вполне возможные сценарии, которые реализуются в жизни.
На мой взгляд это пока просто непривычная технология. Что QR-код, что стандартная подчёркнутая синяя полная ссылка или, не приведи случай, гиперссылка в тексте под словом «здесь» — одинаково таинственные вещи. Кликаем же. Увидели при переходе гадость — ушли и нажали кнопку «жалоба».Мошенники, конечно, изобретательны. Перевод же денег по поддельному QR-коду — это мошенничество вроде? Причём есть адресат. Заведение могло бы заморочиться и наказать деятелей. В идеале закинули бы им сумму для дела в особо крупном размере. Родители точно бы сделали чаду ата-та. Реклама остальным была бы отличная.В пользу новизны технологии говорит аналогия с телефонными мошенниками. Звонят и разводят уже сколько лет. Люди по чуть-чуть умнеют. И здесь поумнеют.
Mikhail Volkov, Как реакция на мошенников — люди не берут трубку.Тут та же история — будут стараться не пользоваться куркодами.Я, фактически, пользуюсь ими только в платёжках за квартиру и для перекидывания ссылок с компьютера в телефонный браузер.
QR-код вещь хрошая, особливо когда имел телефон без NFC. Какие-нибудь интересные объекты с QR-кодами на улице тоже просматриваю через камеру, проблем пока что не имел. Но я еще не очень стар, внимателен, параноидален слегка и проверяю код: впечатан в "бронзе" промспособом, впечатан на баннере-вывеске-штендере (а не просто наклейка — такие сразу нет). QR-наклейка на заборе, на стене в транспорте, на столбе или просто нанесенный из баллочика краской на такое ловятся дети или просто бездумно-любопытные. И да, всегда проверяю ссылку перед переходом, автозапуск-автопереход в браузере отключен. При этом смешное, на памятнике или артобъекте QR-код есть, но спустя полгода-год ссылка уже не работает и стоит объект онемевший, и все эти ваши хайтек-фишки (часто нанесенные на металл или гранит) превратились в тыкву 🙁
Sedze-007, 🤣👍
А "второе пространство" поможет? Т.е. захотел отсканировать код или апк-шку установить, перешел в "чистую" учетку и вперед! Или основную тоже может затронуть?
Еще вопрос. Неужели для взлома не надо ничего нажимать, устанавливать и пр? Просто перейти?А если установлен Касперский на телефон?
И последний вопрос: а айфоны тоже уязвимы от подобных атак?
Mikhail Volkov, Я считаю мошенниками всех, кто мне звонит. Если я этому человеку/организации лично ранее не давал свой номер — мощенники. Неважно, страховщики, мед. услуги, профилактика чего-то у меня дома, нынешние разводилы или еще кто-то.
Sedze-007, Как же мучительно выдавливаются из вас несмешные "шутки".
>> нечитаемы для нас, мы никогда не можем проверить, что за ссылка зашифрована в таком коде. Для этого нам нужно ее открыть. В то время как обычные ссылки нами читаются.Это не совсем правда. Или даже совсем неправда. Я немножко ретроград, поэтому по привычке открываю куркоды в приложении "Сканер штрихкодов". Прочтя в ней код, отлично вижу, что в нем зашифровано.То есть код, просто средство быстрого переноса небольших данных в устройство. Не больше. Остальное лишь наша вина. Захотели сократить всего 1 лишний тап — получите проблему.
wwwMobile1ru, точки… это… такой… вид.. заикания при… письме? … или…. с … головушкой … не … в в порядке ? …
>>>> мы никогда не можем проверить, что за ссылка зашифрована в таком коде. <<<<Странно. У меня при сканировании всегда сначала читается ссылка. И на нее нужно осознанно нажать, чтобы перейти. Сканирую, просто включив камеру.
Mikhail Volkov, >> Перевод же денег по поддельному QR-коду — это мошенничество вроде?В бюрократии важна каждая буква. Поэтому процесс легко вывести из-под этой статьи.Разместите в пояснительном тексте фразы, позволяющие однозначно идентифицировать разницу с торговой точкой, в которой куркод размещен… и уже нет мошенничества, лишь благотворительность. Просто их надо разместить так, чтобы видны были только при вдумчивом прочтении, а при беглом оказываться незаметными.
Ziks, >>>(а не просто наклейка — такие сразу нет)<<<Золотые слова! Если в общественном месте на плакате или другой печатной продукции куар-код в виде отдельной наклейки — это, как правило, палево сразу же.
Mikhail Volkov, При оплате по QR-коду кешбэк не начисляется на покупку. Не надо нам таких примитивных технологий без защиты.
"… Например, на Сахалине многие торговые точки заклеивают кусочек на терминале оплаты, чтобы вы не видели QR-код. Им выгоднее, чтобы платеж прошел привычным способом, местная специфика борьбы в банковском секторе. …."В чём борьба то не понял…Скорее тут сам банк заклеил на своём терминале, что все платежи шли по картам тут банку капают доходы от точки продажи, а если будут платитьчерез коды то точка продажи не будет отстёгивать банку от продаж ничего, только за обслуживание терминала. Как бы продавцу выгодней что бы платили кодами, а не картами, а для банка наоборот.
Demetr_Warshavskiy, Мне тоже выгоднее картой оплачивать — кешбэк начисляется.
izzzgoy, Бывает начисляют но не банк, а НСПК
Demetr_Warshavskiy, Это если акция или магазин-партнёр СБП.
Demetr_Warshavskiy, Да ладно бы кешбек, это же реально неудобно, сколько лишних телодвижений. Плюс если нет интернета, то и платёж не пройдёт.Удобней всего смартфоном через MirPay, ну или картой непосредственно.
Поручикъ Ржевскій, Айфоны неуязвимы, они показывают, на какой сайт ведет QR.
Lecron, Нормальные телефоны даже из штатного приложения "Камера" показывают, на какой домен ведет ссылка:)
GrishaTav_SE, Есть у меня подозрение, что любой телефон показывает содержимое. И только "оптимизаторы" настраивают его так, чтобы действие происходило сразу.Кстати, там не только ссылки бывают. Под стеклом авто часто есть номер телефона, мол позвони если машина мешает. Недавно видел рядом с номером куркод. Глянул, тот же телефонный номер закодирован. Интересно, как после сканирования на него звонить, в чем удобство? И как поведет себя такой код у любителей "оптимизировать"?
Demetr_Warshavskiy, Всё встает на места, если такой метод оплаты воспринимать как запасной, а не основной. Уже речь не об удобстве использования, а о "глобальном" удобстве. Например, телефон без NFC, а карту таки забыл в другой одежде.
Pavel, ,>> Я считаю мошенниками всех, кто мне звонитА вот на все сто уверены, что сами разрешения где-нибудь не дали на это? Согласились на обработку персональных данных у одной компании, а оказалось, что под этим понимается куда больше поскольку звездочку где-нибудь не заметили. А у этой компании партнерка, которая распространяется на N+ компаний. И вот купили товар в условной «Пятерочке», а вам уже названивает стоматология.
Lecron, ,>> Поэтому процесс легко вывести из-под этой статьиЯ насколько понял подростки просто свой код клеили на буклеты. Едва ли они заморачивались о пояснительном тексте.
izzzgoy, если станет популярным, то будут начислять.
Mikhail Volkov, Не знаю. Как думаете, насколько сложно организовать сбор денег посредством куркода и их снятие? Как по мне, задача нетривиальная. А там, глядишь, попутно и инфа о безопасности такого сбора попадется. Может даже это делалось под покровительством кого-то более умного, а подростки на проценте. Поэтому рассматривал класс "мошенничества" целиком, а не только в данном конкретном случае.>> И вот купили товар в условной «Пятерочке», а вам уже названивает стоматология.Так по духу, это тоже мошенничество. Даже если по букве иначе. Поэтому человек вправе считать мошенниками всех.
Lecron, ,>> насколько сложно организовать сбор денег посредством куркода и их снятие?Элементарно. Прошлым летом в Екатеринбурге гуляли по какому-то парку и захотелось купить квас. У продавщицы не было кассового аппарата, но перевод осуществлялся не по номеру телефону, а фотографированием того самого кода. Фоткаешь, автоматически выскакивает окошко Сбера о переводе суммы. Клик и все. Сумма фиксированная. Думаю, что снять их или перевести куда-то можно со скоростью набора символов на смартфоне. Ума не приложу, почему маршрутчики до сих пор вешают номера телефонов вместо такого кода. Гораздо удобнее.>> Даже если по букве иначеПусть будет хотя бы «буква». А то справедливость нынче тоже как-то разница от субъекта к субъекту.
Mikhail Volkov, Спасибо. Не сталкивался. Буду знать.А на счет справедливости… так она никогда и не была единой. Будь иначе, все конфликты мигом бы исчезли. Ведь в чем их причина? В несоответствии окружения понятию личной правильности, читай справедливости. Ну и в желании сделать правильно.
GrishaTav_SE, А если нажать и перейти?
Поручикъ Ржевскій, Если верить Эльдару, то все, хана Эпплу 🙂 Но у меня включен режим блокировки — штатный режим параноидальной безопасности. Поэтому не думаю, что произойдет что-то ужасное…
Lecron, > Глянул, тот же телефонный номер закодирован. Интересно, как после сканирования на него звонить, в чем удобство?Copy/Paste вместо набора руками, только и всего 🙂
KPL, Ожидал лучшего варианта. Типа открытия ссылки, но только call:+7 xxx xxx xx xx … [OK]Ибо копипаста смысла не вижу. Открыть сканер, навести, выделить, скопировать, открыть звонилку, вставить, [Вызов].
Mikhail Volkov, Так я не буду же проверять, получили они номер благодаря какому-то формальному соглашению или еще как-то. Главное, не от меня — значит мошенники их предложение я не приму ни при каких обстоятельствах.
Эльдар, ну как так? Что за бред с терминалами на Сахалине???Куар на терминалах обычно заклеивают когда кассовый софт не умеет нормально работать с альтернативным каналом продаж. Стоимость эквайринга куара Сбера для продавца такая же или ниже, чем карты!
Это вы еще забыли коронавирусные времена, когда этот богомерзкий куар местами нужен был чтобы сесть в транспорт или попасть в кафе.