qr код опасность использования
QR-коды — проблемы безопасности
QR-код — хаотично расположенные маленькие черные квадраты на белом фоне — не так прост, как кажется. QR-коды более совершенны, чем одномерный штрих-код, — они имеют более высокую емкость хранилища и могут хранить различные типы символов.
По сути, эти коды похожи на физические гиперссылки, поскольку при их сканировании пользователь переходит на внешнюю ссылку или сайт. Их также часто относят к модели ведения бизнеса O2O (оффлайн-для-онлайн).
Изначально созданные в 1994 году компанией Denso Wave (дочерняя компания Toyota) для использования в японской автомобильной промышленности, QR-коды постепенно начинают использоваться разными компаниями по всему миру.
Самый популярный и самый прибыльный вариант использования QR-кодов — в индустрии платежей. Финансовые учреждения долго искали способ повысить качество обслуживания клиентов и увеличить показатель «простоты использования» своих платежных процессов. Революция смартфонов в конце 2000-х годов стимулировала развитие цифровых и мобильных платежей. Появление QR-кодов стало настоящим чудом, так как теперь любой пользователь смартфона может совершить платеж по мановению руки. В наше время, когда смартфоны широко распространены в обществе, QR-коды нашли свое место в большинстве розничных магазинов, электронной коммерции, оплате счетов и всевозможных встроенных мобильных платежах.
Китай — лидер в плане внедрения технологии QR-кодов. Alipay интегрировала платежи на основе QR-кодов в 2013 году, а WeChat последовала ее примеру в начале 2014 года. Согласно статистическим данным, приведенным Alipay на конференции Money 20/20 в Европе в апреле 2016 года, услуга мобильных платежей используется для совершения более 175 миллионов транзакций в сутки.
Индия, в свете своей безналичной трансформации после демонетизации, начала подводить рынок к стандарту QR-кодов для цифровых платежей, чтобы ускорить переход от наличных к электронным платежам. Мобильные кошельки Paytm и MobiKwik популяризировали QR-коды, а платежные приложения на основе UPI, включая BHIM, PhonePe и т.д., последовали их примеру. Правительство Индии недавно представило интерфейс для платежей с помощью QR-кодов — Bharat QR. Он направлен на стандартизацию оплаты с помощью QR-кодов по всей стране. Для этого платежные сети, включая Mastercard, American Express, Национальную платежную корпорацию Индии (NPCI) и Visa, ведут сотрудничество в целях содействия более широкому признанию метода оплаты Bharat QR.
На текущий момент, QR-коды рисуют очень радужную картину будущего безналичных платежей.
Однако не все так хорошо в этой сфере
«Когда вы сканируете QR-код, вы понятия не имеете, куда перейдете по нему. Вы вполне можете перейти на вредоносный сайт, который может попытаться установить вирус на ваш телефон», — говорит Мэтью Грин, доцент кафедры информатики Университета Джона Хопкинса в Балтиморе, штат Мэриленд.
В Китае недавно были отмечены случаи мошенничества, которые вызвали серьезные вопросы по поводу безопасности использования QR-кодов в качестве способа оплаты. Сообщается, что в Гуанчжоу (в провинции Гуандун Южно-Китайского региона) у людей было украдено около 90 миллионов юаней (14,5 миллионов долларов) путем мошеннического использования QR-кодов, которые часто сканируются для идентификации продукта и доступа к мобильной платформе.
По другой информации, некоторые мошенники теперь пользуются повальным увлечением велосипедами в Китае. Mobike — это популярный сервис совместного пользования велосипедами, предоставляющий велолюбителям инструмент для сканирования QR-кода, нарисованного на велосипеде, для внесения депозита и оплаты аренды. Наклеивая на велосипед поддельные QR-коды, мошенники могут обмануть велосипедистов и заставить их перевести 43 доллара — столько же, сколько требуется для депозита Mobike, — на их счет.
Теперь давайте проанализируем следующий сценарий
Это не редкость, когда быстро развивающуюся технологию пытаются использовать, чтобы найти ее уязвимые места. Однако в случае QR-кодов, по-видимому, существуют некоторые очевидные проблемы с точки зрения безопасности.
Прежде всего, QR-коды невозможно отличить друг от друга невооруженным глазом, поэтому очень сложно проверить их подлинность. Это основная причина, по которой пользователей QR-кодов по всему миру обманывают, заставляя регистрироваться на мошеннических сайтах, что приводит к фишингу/вредоносному ПО на их смартфонах.
Выступая на Национальном конгрессе народных представителей в Пекине в марте 2017 года, заместитель Лю Цинфэн, председатель провайдера облачного сервиса распознавания голоса iFlytek, сказал:
«В настоящее время более 23% троянских программ и вирусов передаются через QR-коды. Порог (трудности) создания QR-кодов настолько низок, что мошенники могут с легкостью внедрять троянские программы и вирусы в QR-код».
Благодаря легкости создания собственных QR-кодов и ничего не подозревающим пользователям, мошенникам очень удобно использовать невинных пользователей, передавая поддельные QR-коды в зонах с большим трафиком. Такой фишинг на основе QR-кодов, также называемый QRishing, — одна из основных причин онлайн-краж и мошенничества в Интернете в таких странах, как Китай.
В марте 2014 года Народный банк Китая временно запретил платежи, совершенные путем сканирования QR-кодов с помощью мобильных устройств через сторонних поставщиков, после того, как Alibaba и Tencent объявили о планах выпуска «виртуальных кредитных карт» — инновационного способа мобильных платежей на базе QR-кодов, рассматриваемых в качестве альтернативы традиционным кредитным картам, — ссылаясь на опасения по поводу их безопасности. Однако запрет был отменен в 2016 году.
Alipay и WeChat Pay, два основных сторонних способа оплаты в Китае, неизменно несли ответственность за все случаи мошенничества с QR-кодами. Однако эти китайские платежные магнаты работают над решением данной проблемы. Alipay имеет функцию обнаружения сайтов, которая может определить, является ли сканируемый встроенный QR-код вредоносной ссылкой. Если она обнаружит угрозу безопасности, то система выдаст предупреждение о безопасности, позволяющее пользователям решить, следует ли продолжать.
WeChatPay также представил программное обеспечение для мобильной безопасности, чтобы гарантировать пользователям мониторинг и более безопасное обслуживание.
Так как QR-коды широко признаются простым и привлекательным способом оплаты в таких странах, как Китай, перед регулирующими органами и поставщиками платежных услуг стоит важная задача предотвращения мошенничества. Наряду с шагами, предпринимаемыми для укрепления безопасности и выявления случаев мошенничества, важной задачей станет осведомленность пользователей об использовании QR-кодов мошенниками и о том, как не стать их жертвой. Однако это легче сказать, чем сделать — будущий период покажет, действительно ли QR-коды станут платежным средством следующего поколения.
«Права и свободы граждан могут ограничить»: юристы — о законности введения QR‑кодов
С 28 июня рестораны и кафе Москвы и Подмосковья стали зонами, свободными от COVID-19. Теперь посетителей пускают внутрь только при предъявлении специальных QR-кодов. Обозреватель РИАМО пообщалась с юристами и выяснила, насколько законны введенные властями Московского региона ограничения.
Свободные от COVID-19 зоны
С 28 июня в Москве посещать кафе и рестораны могут только граждане с QR-кодом, который подтверждает факт вакцинации, перенесенной болезни или получения отрицательного результата ПЦР-теста на коронавирус. А вот на летние веранды до 12 июля посетителей будут пускать свободно. Соответствующие указы ранее подписал мэр Москвы Сергей Собянин.
Аналогичные меры, направленные на предотвращение распространения коронавирусной инфекции, ввели и в Московской области. Так, с 28 июня посещать подмосковные рестораны и кафе смогут только те, кто прошел обе фазы вакцинации от COVID-19, и переболевшие граждане. На летние веранды гостей будут пускать без ограничений при условии, что на трех квадратных метрах будет находиться один посетитель. Указ об этом подписал глава региона Андрей Воробьев.
По словам заместителя председателя правительства Московской области и министра здравоохранения региона Светланы Стригунковой, посетителей с отрицательными ПЦР-тестами или медицинским отводом от прививок в подмосковные рестораны пускать не будут. Тесты на COVID-19 бывают ложноотрицательными в самом начале заболевания, а граждан с медицинскими отводами от вакцинации, по ее словам, и вовсе не более 5%.
«Рестораны должны обслуживать всех»
По словам юриста Евгения Фурина, работа ресторанов и любых заведений общепита подпадает под статью 426 Гражданского кодекса РФ «Публичный договор». «Ресторан как субъект, осуществляющий предпринимательскую деятельность, обязан заключить договор с каждым клиентом, который к нему обратится. В ресторанах должны обслуживать всех желающих, и закон запрещает ресторану самому выбрать, кого обслуживать, а кого нет», — рассказал он РИАМО.
Согласно Гражданскому кодексу, в рамках публичного договора рестораны не могут выделять определенную группу клиентов и давать ей преимущества. Другие законы могут описывать исключения из общего правила, но, по словам юриста, введенные ковидные ограничения не могут стать достаточной причиной для выделения привилегированных групп. «По закону ресторан не может ограничить в правах одних граждан, не разрешая им войти, и не ограничивать при этом других. Это является явным нарушением», — считает Фурин.
Ресторан может не обслуживать посетителя только в случае, если в заведении нет мест, нет продуктов для приготовления блюд или провести обслуживание не позволяют технические сложности.
В четвертом пункте статьи 426 ГК РФ сказано, что правительство страны и уполномоченные федеральные органы исполнительной власти в предусмотренных законом случаях могут регулировать особенности публичных договоров в некоторых сферах, однако ни правительство Москвы, ни мэр столицы таких полномочий не имеют. По словам юриста, в «мирное» время отвергнутый клиент ресторана обратился бы в Роспотребнадзор, который мог бы оштрафовать ресторан. Право обратиться и в это ведомство, и даже в суд у гражданина есть и сейчас, но получится ли добиться какого-либо результата в текущих обстоятельствах — неизвестно.
«Права и свободы граждан могут быть ограничены»
Нарушение прав и свобод человека запрещено, более того, согласно статье 45 Конституции РФ, государство гарантирует защиту прав и свобод человека и гражданина в России. Об этом РИАМО сообщила к.ю.н., доцент Департамента правового регулирования экономической деятельности Финансового университета при Правительстве РФ Оксана Васильева.
В то же время перечисленные в Конституции права и свободы граждан не отрицают и не умаляют других общепризнанных прав и свобод человека — это указано в первой части статьи 55 Конституции РФ. «Данную статью можно растолковать как меру острой необходимости: права и свободы гражданина могут быть ограничены законом в той мере, в какой это необходимо. В данном случае такая необходимость вызвана обеспечением обороны страны и безопасности государства (ч. 3 ст. 55 Конституции РФ)», — сказала она.
По словам Васильевой, государство вынуждено вводить ограничительные меры, чтобы предотвратить распространение коронавирусной инфекции и остановить рост заболеваемости и смертности в стране. Но в этом случае следует применить и международные нормы о правах человека. Они гарантируют каждому человеку право на наивысший достижимый уровень здоровья, что обязывает государство принимать различные меры для недопущения развития жизненно опасных условий, угрожающих благополучию и здоровью населения.
«Международные стандарты в области прав человека также предусматривают, что в ситуациях, угрожающих здоровью населения и жизни нации, допустимы ограничения определенных прав и свобод в случае введения таких ограничений в установленном законом порядке», — отметила Васильева.
Есть ли право выбора?
В нынешней ситуации часть граждан не сможет попасть в подмосковные рестораны — речь идет о людях с медицинским отводом. Медотвод дают в том случае, если состояние пациента не является стабильным. Но и медотвод не дает гражданину возможность полностью отказаться от вакцинации.
«По мнению врачей, медотвод говорит лишь о том, что конкретному лицу не подходит определенный препарат вакцины. То есть этот документ не позволяет отказаться от прохождения вакцинации в целом», — сказала Оксана Васильева.
Сейчас в Российской Федерации действует национальный календарь прививок. В нем определен перечень обязательных прививок для определенных категорий граждан. В настоящее время прививка от коронавируса внесена в календарь профилактических прививок, и вакцинироваться обязаны работники образования, культуры, медицины и других сфер.
«Получается, что такими антиковидными мерами государство не предоставляет право выбора лицам, осуществляющим профессиональную деятельность, выполнение которой связано с высоким риском заболевания инфекционными болезнями, и требует обязательного проведения профилактических прививок», — сказала юрист.
Увидели ошибку в тексте? Выделите ее и нажмите «Ctrl+Enter»
Эксперт объяснил, какую опасность несет покупка поддельных QR-кодов для посещения кафе
С 28 июня все кафе и рестораны Москвы перешли на «бесковидный» режим работы по QR-кодам. На фоне новых ограничений в интернете активизировались мошенники, предлагающие свои услуги для обхода требований столичных властей. Разбираемся, можно ли обмануть систему и какое наказание грозит тем, кто попытается это сделать.
Фото: Илья Питалев/РИА Новости
Взломать код
Жителям столицы с 28 июня разрешено посещать городские заведения общепита, а также массовые мероприятия с численностью не более 500 человек только при наличии специального QR-кода. Его могут получить горожане, привитые от коронавируса, недавно перенесшие COVID-19 (в течение последних шести месяцев) или сдавшие отрицательный ПЦР-тест, результаты которого действительны три дня. При этом никакие бумажные справки не принимаются – только цифровые коды.
На фоне таких нововведений в интернете начали появляться схемы для обхода требований столичных властей. В частности, мошенники создают специальные сайты, похожие на портал госуслуг, и предлагают сгенерировать для них QR-код. Чтобы воспользоваться «услугой», человеку необходимо предоставить свои данные, в том числе и паспортные.
Аферисты рассчитывают, что сотрудники заведений не заметят подмены домена и, например, пропустят посетителя на бизнес-ланч. Эксперты утверждают, что в последнее время появилось много групп и телеграм-каналов, предлагающих купить такие QR-коды. Подобные предложения специалисты обнаружили и в даркнете: в среднем поддельные QR-коды стоят 11 тысяч рублей.
Глава столичного департамента торговли и услуг Алексей Немерюк заявил, что всех мошенников ждет уголовная ответственность.
Ранее председатель комитета Совета Федерации по конституционному законодательству Андрей Клишас рассказал, что за использование поддельных QR-кодов посетителям заведений общепита может грозить до 2 лет лишения свободы. Кроме того, по словам сенатора, обманщики могут получить административный штраф в размере до 40 тысяч рублей.
Фото: Павел Бедняков/РИА Новости
Все действительно так серьезно?
Специалист в области информационной безопасности Владимир Ульянов в разговоре с Москвой 24 пояснил, что мошенническая схема может сработать, если персонал заведений общепита не будет уделять должного внимания проверке QR-кодов.
«Когда на протяжении дня сотрудник делает несколько десятков и даже сотен проверок, действие доходит до автоматизма: навел, отсканировал, перешел по ссылке. Конечно же, большинство сотрудников не будут всматриваться в текст ссылки и куда она ведет», – подчеркнул эксперт.
При этом эксперт предостерег горожан от участия в таких мошеннических схемах, поскольку существует вероятность того, что обман может вскрыться. В этом случае нарушителям правил грозит наказание, отметил специалист.
«Опасность самая что ни на есть реальная. Отличить чисто фейковый QR-код от настоящего вполне возможно. Другое дело, что и подделки могут быть тоже разного уровня», – объяснил Ульянов.
В свою очередь, юрист Василий Воробьев подтвердил Москве 24, что при покупке QR-кода может наступить два вида ответственности: уголовная и административная.
По его словам, наказанием по этой статье могут быть штраф, обязательные или исправительные работы либо арест на срок до шести месяцев. Обычно назначают штраф, а реальные сроки маловероятны, считает юрист. Также наказание может грозить по статье УК РФ «Нарушение санитарно-эпидемиологических правил», говорит он.
Административная ответственность наступает, если посетитель использовал код другого человека, продолжает эксперт. Гражданина могут наказать за несоблюдение норм законодательства в области санитарно-эпидемиологического благополучия, объясняет Воробьев.
Юрист добавил, что степень ответственности человека зависит от тяжести последствий в случае нарушения. К примеру, если он заразит других людей, а также от благосклонности суда.
Опасные QR-коды – как защитить себя и смартфон от угрозы
Эти квадратные изображения можно увидеть везде: в рекламе, журналах и на плакатах. Можно сказать, что это самый простой и дешевый способ соединения двух миров – реального и виртуального. Сфотографируйте этот QR-код своим смартфоном, а специальное приложение перенаправит Вас на соответствующую страницу, сохранит контакты, свяжется по телефону или загрузит приложение.
QR-коды (англ. quick response – быстрая реакция) могут содержать много текстовой информации и/или ссылки на интернет-источники. Это решение стало невероятно популярным уже какое-то время назад в Азии, а сегодня мы наблюдаем, как получает признание в Европе и обеих Америках.
Их можно увидеть везде: на билбордах, товарах, выставленных на прилавках, сайтах, в различных билетах и купонах. список длинный. Однако, параллельно растет и рынок мошенничества с использованием технологии QR-код. Были случаи, когда оригинальные QR-коды были замены вредоносными. Эта практика имеет много общего с уже широко известным фишингом, поэтому была названа куаришинг.
Не нужно сильно напрягать воображение, чтобы увидеть, как опасны могут быть такие фальшивые QR-коды – тем более, что они могут быть размещены в публичных местах: метро, аэропорт, железнодорожный вокзал, банк или даже банкомат. Большинство людей по-прежнему верят рекламе и не в состоянии представить себе, что в здании популярного банка может присутствовать какая-то угроза.
Когда пользователь делает снимок QR-кода, на экране устройства отображается связанная с ним ссылка. Злоумышленник может с помощью сокращающего ссылки сайта (как например bit.ly) скрыть реальный адрес сайта. Таким образом, QR-код может привести пользователя, например, на вредоносную страницу, крадущую конфиденциальные данные входа в систему.
Ситуацию дополнительно осложняет тот факт, что мобильный браузер не всегда в состоянии отображать полный URL-адрес открываемой страницы. Попытка проверки, является ли страница надежной – это истинное мучение. Что ещё хуже, мобильные устройства часто не так хорошо защищены от вредоносного программного обеспечения.
В целях минимизации угроз этого типа, помните о трёх простых принципах:
Дополнительно можно установить на смартфон защищённый сканер QR-кодов, например, Kaspersky QR Scanner. Он предназначена как для устройств с операционной системой iOS, так и Android, и в обоих случаях обеспечивает эффективное сканирование и множество функций безопасности. Приложение работает, как и большинство других инструментов для сканирования QR-кодов, однако, кроме того, использует смарт-функции: мгновенная проверка ссылок, размещенных в кодах, а также уведомления о возможных угрозах на целевой странице.
Опасные QR-коды: как защитить себя и смартфон от угрозы
Эти квадратные изображения можно увидеть везде: в рекламе, журналах, на товарах, выставленных на прилавках, сайтах, в различных билетах и купонах. список длинный. Однако параллельно появляются и способы мошенничества с использованием этой технологии. Как обезопасить себя? Давайте разбираться вместе.
Как показал опыт внедрения QR-кодов в Китае, технологию с успехом освоили не только торговцы, но и мошенники. С ее помощью киберпреступники успешно крадут средства с чужих счетов.
Проблема в том, что отличить QR-код магазина от QR-кода злоумышленника на глаз невозможно. Если торговая точка использует статический код, киберпреступник может просто заклеить его своим. И если в крупном магазине может быть сложно улучить момент, когда никто не видит, что происходит на кассе, то дождаться, пока отвлечется уличный продавец, или подменить код в автоматизированной торговой точке не так трудно.
Например, студент из китайской провинции Гуандун решил покататься на велосипеде. В пункте проката возле общежития он просканировал QR-код, не заметив, что тот наклеен поверх другого. Молодой человек, не задумываясь, провел платеж, но замок на велосипеде не открылся: деньги ушли мошенникам.
Похожий инцидент произошел и в Шанхае. Водитель обнаружил на автомобиле штрафную квитанцию за неправильную парковку и оплатил её по напечатанному на ней QR-коду. Через несколько дней он получил напоминание от полиции о все еще неуплаченном штрафе.
Помимо распространения вредоносного ПО, в фальшивом QR-коде может быть зашифрована ссылка, направляющая пользователя на фишинговый сайт, внешне напоминающий официальный веб-портал банка или другой компании. При входе в личный кабинет или вводе каких-либо персональных данных они оказываются в руках злоумышленников.
Как не попасться на удочку мошенников?
Одноразовые QR-коды выглядят более надежными, однако и ими могут злоупотребить. Например, в Китае клиент ресторана после окончания трапезы попросил счет и сгенерировал QR-код в своем смартфоне, чтобы расплатиться. Пока он рассчитывался, ему пришло уведомление о снятии средств со счета, однако получателем почему-то значилась бильярдная.
Клиент этот оказался полицейским. Он быстро поднял персонал ресторана на уши и запросил запись с камеры наблюдения. Видео прояснило ситуацию: стоявший за спиной полицейского злоумышленник просто-напросто сфотографировал QR-код на смартфоне блюстителя порядка и тут же расплатился им… с самим собой. Хитроумный мошенник заранее зарегистрировал на себя бильярдную и установил на смартфон приложение, которое работает как QR-сканер для бизнеса. Впоследствии эту программу заблокировали.