Удобные ссылки в QR-кодах на улицах. Что скрывается за ними?

Привет.

Нет ничего проще, чем навести телефон на QR-код, который вы видите на рекламном плакате в метро, наземном транспорте, на улице, и тут же перейти по ссылке. Простота и удобство технологии однозначно подкупают, но таят в себе и опасности. Вы никогда не знаете, что вас ждет после открытия ссылки, на какой ресурс она ведет и кто его создавал. Вполне безобидные вещи могут оказаться на поверку чем-то иным.

В Москве у памятника Иосифу Кобзону есть отсылки к его самым популярным песням, достаточно отсканировать QR-код на специальных врезках вокруг памятника, и ваш телефон начнет проигрывать музыку.

Просто, красиво и понятно. Скандал разразился, когда очередные любопытствующие открыли ссылки через QR-коды и обнаружили вовсе не песни, а подпольный магазин, который продает запрещенные вещества. Кто-то подменил QR-коды на свои, «угнал» чужой трафик на свои ресурсы.

Ровно такая же история случилась в декабре 2023 года, в Москве на паре уличных плакатов сменили QR-коды, вместо нужной странички открывался оппозиционный сайт, на котором призывали бойкотировать выборы в нашей стране. Городские власти сориентировались практически моментально, рекламные агентства получили временный запрет на размещение QR-кодов в наружной рекламе, так как не могли гарантировать, что те не будут вести куда-то не туда. Думаю, что тут злую шутку с QR-кодами сыграло то, что они нечитаемы для нас, мы никогда не можем проверить, что за ссылка зашифрована в таком коде. Для этого нам нужно ее открыть. В то время как обычные ссылки нами читаются, мы примерно представляем, насколько они могут быть реальными или поддельными.

Наш мир выстроен вокруг внимания. Любой маркетолог вам расскажет про инструменты, которые используются для наполнения воронки продаж, привлечения внимания потенциальных клиентов. И самое сложное сегодня — привлечь внимание к себе, потратить на это как можно меньше денег и усилий, получить максимальный результат. Отсюда искушение воспользоваться заменой чужого QR-кода на свой.

Якутск, небольшое городское кафе. На столе рекламный листок, на нем зачеркнут QR-код с некой бонусной программой, она описывается тут же. Спрашиваю, в чем дело. Официант флегматично объясняет: «Подростки постоянно наклеивают свои коды, там перевод пятидесяти рублей им на счет. А люди считают, что это мы собираем себе деньги». Обратная сторона простой технологии, которая не имеет никакой защиты, ее можно просто и быстро взломать.

Причем происходит такое не только в России, а фактически в разных уголках мира. Итальянские производители сыра страдают от того, что их товар подделывают все кому не лень, число подделок превышает объем оригинального сыра. И когда речь идет о пармезане, то цена вопроса вовсе не копеечная. Первоначально попытались добавлять на каждую головку сыра QR-код, в котором были зашифрованы данные о времени производства и других параметрах, открывалась ссылка в специальном приложении. В короткие сроки фальсификаторы научились подделывать такие коды, оригинальный софт стал бесполезен. Сыроделы нашли элегантное решение, они добавили в каждый код казеиновую песчинку, которую нельзя рассмотреть невооруженным глазом. Расположение песчинки уникально для каждой головки сыра, она считывается в софте. Появился второй уровень защиты для QR-кодов, эту защиту пока не смогли обойти.

У нас с вами из средств защиты только наши глаза. Когда мы открываем ссылку на экране телефона, мы видим, куда она ведет, доменное имя. Можно посмотреть полную ссылку, но этого почти никто и никогда не делает. И тут открывается простор для злоупотреблений, наша невнимательность может стоить нам разных неприятностей.

Размышлял о превратностях с QR-кодами и тут же натолкнулся на листок, который прицепили скотчем к столбу на оживленном московском бульваре. Конечно же, этот листик сорвут через какое-то время, он не будет висеть вечно. Но это ровно то самое наполнение воронки, когда любопытствующие перейдут по ссылкам. Возможно, что кто-то решил так познакомиться и не придумал ничего лучше. Возможно. Но, скорее всего, за этим стоит тот или иной злой умысел, которого мы пока не видим за рекламной листовкой, игривым сообщением.

Когда я говорю про злой умысел, я ничуть не лукавлю. В современных устройствах хватает различных уязвимостей, которые становятся воротами для взлома. Иногда достаточно открыть документ либо просто перейти по ссылке, дальше все происходит без вашего участия и в автоматическом режиме. Примерно так был взломан WhatsApp (принадлежит Meta*, признана экстремистской организацией в России) у моего знакомого. У него те же интересы, что и у меня, изучает уличное искусство, обнаружил на задворках Москвы любопытные работы. Около одной из них несколько QR-кодов, которые явно относились к самой работе, создавалось такое впечатление. Открыл ссылку, по ней файл с описанием работы и художника. Конечно же, файл загрузился. Телефон поймал вирус, который взломал WhatsApp. К вечеру весь его контакт-лист был завален просьбами срочно перевести десять тысяч рублей, так как эти деньги жизненно необходимы. И это еще не самый изощренный вариант того, что может случиться с такими кодами и переходом в полную неизвестность.

Большая часть людей никогда не сканируют QR-коды на улицах (впору спрашивать, а умеют ли люди это делать в принципе). Сделал опрос в нашем TG-канале, найти его можно вот тут.

Меня удивило, что для многих QR-код — это вещь негативная, утаивание информации, когда она не читается без телефона. То есть люди хотят видеть, что именно им предлагается, и потом уже руками вводить ссылку (это отдельная боль, я иногда забываю сайты, которые хотел запомнить, чтобы открыть потом). И для меня QR-коды — штука удобнейшая, но с одной оговоркой. Я не стремлюсь открыть коды, которые нахожу на улицах. Равно как и не использую общественный Wi-Fi в целях экономии трафика, так как зачастую это огромная дыра в безопасности моих данных. И это несмотря на то, что у меня стоит несколько уровней защиты, которые не так-то легко обойти. Тем не менее, береженого бог бережет. Открывать ссылки, найденные посреди какой-то разрухи, как-то не тянет совсем.

Мне нравится подход Space Invaders, ребята сделали приложение, чтобы сканировать их образчики пиксельного искусства. Посмотрите, какие классные работы есть в Гонконге.

Вы можете их отсканировать и запомнить в приложении, игровая механика отличная и показывает вам, куда можно пойти, чтобы увидеть новые работы. А заодно защищает вас от сканирования любого рода QR-кодов. Бывают и такие решения вопроса безопасности для уличного искусства, распространения информации. Нишевая история, но в качестве иллюстрации она вполне годится.

Демонизировать QR-коды точно не стоит, они не являются абсолютным злом. Просто следует проявлять осторожность в том, что вы сканируете и где, а главное, зачем. Порой доходит до смешного, когда QR-коды становятся средством конкурентной борьбы. Например, на Сахалине многие торговые точки заклеивают кусочек на терминале оплаты, чтобы вы не видели QR-код. Им выгоднее, чтобы платеж прошел привычным способом, местная специфика борьбы в банковском секторе.

Всегда думайте, что вы делаете, какие ссылки открываете, изучайте их. Любое сомнение должно трактоваться в пользу безопасности, лучше остаться без каких-то новых знаний, чем позволить что-то взломать на своем устройстве. Безусловно, взлом происходит не так просто, часто задействуют многоступенчатые схемы, тем не менее, это вполне возможные сценарии, которые реализуются в жизни.