Первое правило безопасности не сканируй qr code
Самое слабое место всех динамических QR-кодов - это возможность изменить их внутреннее содержимое, взломав систему. Представьте, Вы настроили QR-код, дали рекламу и запустили компанию. В ходе компании Вы вдруг узнаёте, что Ваш QR-код ведёт не на ту страничку, на которую Вам нужно, а, например, на сайт для взрослых. Это ужасно. И любой QR-код уязвим перед этим!
Теперь Вы можете не беспокоиться об этом, мы решили эту проблему.
Мы приняли все меры, чтобы Ваши QR-коды работали надежно.
Защита Системы Dewiar осуществляется комплексом мероприятий. Это касается как хранения информации, так и её анализа. Все сохраняемые данные приводятся к их типам и проверяются на возможные SQL инъекции. Система проверяет и сверяет различные данные клиента, такие как IP, Cookie, подпись (представление) пользовательского браузера и т.д. Анализируется также скорость и интервалы обращений к Системе для определения того, человек пользуется Системой или же специализированная программа (бот).
В организации пользовательских сессий мы используем SHA-256 - безопасный алгоритм хеширования, входящий в семейство криптографических алгоритмов - однонаправленных хеш-функций. Данный алгоритм хеширования разработан и рекомендован Агенством национальной безопасности США и опубликован Национальным институтом стандартов и технологий в федеральном стандарте обработки информации (FIPS PUB). Этим же алгоритмом хеширования шифруются операции такой известной криптовалюты как БИТКОЙН.
Для защиты от DDOS атак на базу данных мы используем перераспределение нагрузки в дублирующую файловую систему формата json, разгружая тем самым БД от чрезмерного количества запросов.
При регистрации в Системе Вы получаете данные от личного кабинета (логин и пароль высылаются Вам на e-mail при регистрации). В личном кабинете Вы управляете всеми созданными QR-кодами одновременно, групповое управление - это удобно для большинства ситуаций.
Однако каждый из созданных QR-кодов имеет и свой собственный кабинет управления, с отдельным логином и паролем. Это очень удобно в том случае, когда нужно разделить управление между несколькими людьми. В этом случае Вы выдаете логин и пароль конкретному человеку от конкретного QR-кода, и только им он может управлять, не имея доступа к Вашим остальным QR-кодам.
В разделе МОИ QR-КОДЫ Вы можете видеть все созданные Вами QR-коды, пиктограмма с изображением ключика содержит данные доступа к конкретному QR-коду.
Мы обсудили общие методы защиты и контроля управления. Теперь расскажем о том, какие дополнительные, очень удобные функции защиты у нас имеются к каждому конкретному QR-коду. Все эти функции активируются в настройках конкретного QR-кода.
Зайдя в настройки, нажмите значок щита/ключика, после нажатия откроются функции, о которых мы расскажем ниже.
Наши QR-коды можно защитить вводом дополнительного ПИН-КОДА на просмотр. Это можно сделать в настройках каждого конкретного QR-кода.
Если Вы добавили эту функцию, содержимое QR-кода можно будет просмотреть только после ввода правильного ПИН. Пользователю дается 3 попытки, после их использования страница для данного пользователя блокируется.
Эта мера позволит Вам добиться приватности содержимого QR-кода. Надежная защита данных от случайных глаз.
Если Вы хотите, чтобы страничка, закрепленная за QR-кодом, открывалась только после сканирования QR-кода, но не иначе (например, чтобы нельзя было эту страничку открыть из истории браузера), Вы должны включить QR-КАСАНИЯ.
Как только эта функция будет активирована, просмотр странички будет возможен только в течение 5 минут с момента сканирования QR-кода. Без сканирования открыть эту страничку будет нельзя. Это особенно удобно там, где нужно жестко контролировать работу именно QR-кодов, где важно иметь четкую статистику сканирований и точный анализ данных. Данная опция увеличивает защиту от манипуляции странички.
Иногда нужно дать возможность сканировать конкретный QR-код конкретному человеку. При этом нужно, чтобы остальные не смогли видеть то, что предназначено для конкретного человека. Это могут быть конфиденциальные данные, платежные данные и другая личная информация. В этом случае отлично подходит функция персонализации QR-кодов. При активации Вы просто вносите идентификаторы пользователей, для которых доступ будет разрешен, для всех остальных доступ будет заблокирован.
О каждом входе в Систему с Вашими данными Вы можете узнать на специальной страничке ИСТОРИЯ АВТОРИЗАЦИЙ. Здесь зеленым цветом будет обозначено Ваше текущее устройство, также будут подсвечены авторизации на других устройствах с текущим Вашим IP адресом. Если зеленая подсветка отсутствует, значит Вам нужно подумать, Вы ли заходили и с Вашего ли устройства это было сделано. Здесь есть возможность выйти на всех устройствах (имеется специальная кнопочка для этого). Это Вас обезопасит.
На Вашей страничке конфиденциальности доступны и другие возможности, такие как смена пароля, автосинхронизация устройств, блокировка пользователей и т.д.
Каждый свой QR-код Вы можете защитить, поставив его на "виртуальную сигнализацию". Для этого нажмите на кнопку ПИН-КОД в настройках нужного QR-кода. Вам предложит ввести любой простой код, который Вам нужно будет записать или запомнить.
Защита ПИН-КОДОМ особенно актуальна в ситуации, когда Вы работали на чужом компьютере и забыли выйти из аккаунта, дав возможность злоумышленнику войти в Ваш аккаунт. Это актуально, если нужно поработать кому-то в Вашем личном кабинете, и при этом Вы хотите иметь гарантию того, что этот кто-то не сможет случайно или специально изменить то, что он изменять не должен. Это также актуально при появлении вирусов на устройстве, ведь вирусы сегодня могут самостоятельно менять настройки без Вашего ведома прямо с Вашего компьютера. Теперь эти риски полностью нивелированы.
Резюмируя все вышеописанное, можем Вас уверить, что наши QR-коды одни из самых безопасных и защищенных в мире. Мы постоянно добавляем все новые и новые защитные механизмы, параллельно совершенствуя все описанное выше.
СВЯЗЬ С АДМИНИСТРАЦИЕЙ
Чтобы бесплатно получить технологичные QR-коды от Dewiar пройдите 30 секундную регистрацию в Системе
БЕСПЛАТНАЯ РЕГИСТРАЦИЯ
Если у Вас есть идея, или Вы хотите приступить к работе с сервисом - НАПИШИТЕ АДМИНИСТРАЦИИ.
Если Вам нужна дополнительная информация, ознакомьтесь с разделами:
| Используя Сервис Вы соглашаетесь с ПОЛИТИКОЙ КОНФИДЕНЦИАЛЬНОСТИ и использованием Cookie!
ЧАТ С ТЕХПОДДЕРЖКОЙ
QR-код — хаотично расположенные маленькие черные квадраты на белом фоне — не так прост, как кажется. QR-коды более совершенны, чем одномерный штрих-код, — они имеют более высокую емкость хранилища и могут хранить различные типы символов. По сути, эти коды похожи на физические гиперссылки, поскольку при их сканировании пользователь переходит на внешнюю ссылку или сайт. Их также часто относят к модели ведения бизнеса O2O (оффлайн-для-онлайн).
Изначально созданные в 1994 году компанией Denso Wave (дочерняя компания Toyota) для использования в японской автомобильной промышленности, QR-коды постепенно начинают использоваться разными компаниями по всему миру.
Самый популярный и самый прибыльный вариант использования QR-кодов — в индустрии платежей. Финансовые учреждения долго искали способ повысить качество обслуживания клиентов и увеличить показатель «простоты использования» своих платежных процессов. Революция смартфонов в конце 2000-х годов стимулировала развитие цифровых и мобильных платежей. Появление QR-кодов стало настоящим чудом, так как теперь любой пользователь смартфона может совершить платеж по мановению руки. В наше время, когда смартфоны широко распространены в обществе, QR-коды нашли свое место в большинстве розничных магазинов, электронной коммерции, оплате счетов и всевозможных встроенных мобильных платежах.
Китай — лидер в плане внедрения технологии QR-кодов. Alipay интегрировала платежи на основе QR-кодов в 2013 году, а WeChat последовала ее примеру в начале 2014 года. Согласно статистическим данным, приведенным Alipay на конференции Money 20/20 в Европе в апреле 2016 года, услуга мобильных платежей используется для совершения более 175 миллионов транзакций в сутки.
Индия, в свете своей безналичной трансформации после демонетизации, начала подводить рынок к стандарту QR-кодов для цифровых платежей, чтобы ускорить переход от наличных к электронным платежам. Мобильные кошельки Paytm и MobiKwik популяризировали QR-коды, а платежные приложения на основе UPI, включая BHIM, PhonePe и т.д., последовали их примеру. Правительство Индии недавно представило интерфейс для платежей с помощью QR-кодов — Bharat QR. Он направлен на стандартизацию оплаты с помощью QR-кодов по всей стране. Для этого платежные сети, включая Mastercard, American Express, Национальную платежную корпорацию Индии (NPCI) и Visa, ведут сотрудничество в целях содействия более широкому признанию метода оплаты Bharat QR.
На текущий момент, QR-коды рисуют очень радужную картину будущего безналичных платежей.
Как киберпреступники маскируют QR-коды
Безусловно, для того чтобы злоумышленники вам навредили, им нужно, чтобы вы отсканировали именно их QR-коды. И для этого у них есть пара любимых приемов.
Мошеннические источники QR-кодов. Чаще всего к этому способу прибегают, чтобы убедить жертву скачать зловредное приложение. Его создатели могут разместить QR-код со ссылкой на свое детище на сайте, в баннере, электронном письме или даже на бумажном объявлении. Часто рядом для большей достоверности размещают логотипы Google Play или App Store.
Подмена QR-кода. Нередко злоумышленники пользуются чужим трудом и репутацией и просто заклеивают настоящий QR-код на плакате или табличке подложным.
Кстати, подменой QR-кодов в последнее время стали пользоваться не только киберпреступники, но и беспринципные активисты общественных течений — для распространения своих идей. В Австралии недавно был арестован мужчина, который переклеил несколько QR-кодов на табличках службы по контролю за COVID-19, чтобы вместо сервиса для записи посетителей общественных мест люди попадали на сайт с агитацией антипрививочников.
QR-код, в который запакованы банковские реквизиты, можно подменить при его отправке будущему плательщику — например, распечатав и разложив по почтовым ящикам фальшивые квитанции на оплату коммунальных услуг. Вместо настоящего получателя деньги придут на счет злоумышленника.
7. Заключение
В заключении хочется пофантазировать на тему того, как можно улучшить процесс и обеспечить его большую безопасность. Первое что можно сделать – это дать возможность пользователю сгенерировать новую версию QR-кода, сделав невалидной предыдущую, таким образом, воспользоваться чужим QR-кодом будет сложнее, дополнительно можно ограничить срок действия QR-кода определенным периодом, например, месяцем, по прошествии которого осуществлять генерацию нового QR-кода автоматически.
Как мне кажетcя, в идеальном мире, который безусловно когда-нибудь наступит, QR-код должен быть привязан не к сертификату о вакцинации, а к паспорту, тогда необходимость предъявления сертификата будет отсутствовать, любую информацию, в том числе о вакцинации, можно будет проверить отправив идентификатор паспорта в соответствующую систему. Уверен, что введение цифровых паспортов нас неминуемо ждет в скором будущем.
Хочется пожелать всем здоровья в это непростое время, а чиновникам – здравомыслия, ведь ограничить перемещение социально-незащищенных групп людей и деятельность малых предприятий гораздо проще, нежели договориться о приостановке работы на время локдауна с крупным бизнесом, аэропортами, авиакомпаниями и религиозными учреждениями, где, как нам всем известно, несмотря на массовое скопление людей, нет ни ограничений, ни проверок сертификатов о вакцинации.
UPD:
Развивая тему, разработал TELEGRAM-бота @QRVisorBot для чтения и генерации QR-кодов, так что, если вы по каким-то причинам не привились, то с легкостью можете сгенерировать код, содержащий произвольную информацию, не думаю, что он позволит вам обойти существующие ковидные ограничения, но им вполне можно повеселить проверяющего, кроме того, бот можно использовать для чтения кодов, в том числе с сайтов или из галереи телефона.
Если вас интересует тема разработки TELEGRAM-ботов на JAVA, то можете почитать мою новую статью Разработка Telegram-бота на JAVA для генерации и считывания QR-кодов.
В России активно внедряются платежи по QR-кодам. Рассказываем, чем это удобно и о каких опасностях стоит помнить.
Оплата покупок одним касанием банковской карточки или смартфона уже стала обычным делом. Однако в небольших магазинах и киосках часто все равно требуют наличку — не всем по карману POS-терминалы. Впрочем, скоро современные технологии дойдут и до малого бизнеса: систему оплаты по QR-кодам, не требующую специального оборудования, в нашей стране запускают сразу три крупных организации — Центробанк, Сбербанк и Visa. Рассказываем, как работает эта система, в чем ее удобство и о каких опасностях стоит помнить.
Как не попасть в беду с QR-кодом
Чтобы не стать жертвой киберпреступников, при использовании QR-кодов соблюдайте несколько простых правил:
- Не пользуйтесь QR-кодами, полученными из очевидно подозрительных источников.
- Обращайте внимание на ссылки, которые отображаются при сканировании кода. Будьте особенно осторожны, если внешний вид URL изменили при помощи сервиса сокращения ссылок, — в случае с QR-кодами для этого нет веских причин. Лучше найдите интересующий вас сайт поиском в Интернете, а приложение — через официальный магазин.
- Прежде чем сканировать QR-коды с рекламных плакатов и вывесок, убедитесь, что оригинальное изображение не заклеено картинкой с подложным кодом.
- Используйте программы проверки QR-кодов. Например, QR Scanner «Лаборатории Касперского» (есть версия и для Android, и для iOS) проверяет код на наличие вредоносного содержимого и предупреждает пользователя об опасности.
Также стоит помнить о еще одной опасности, связанной с QR-кодами: злоумышленники могут воровать коды, в которые зашита какая-то ценная информация — например, номер электронного билета. Поэтому не стоит публиковать в соцсетях документы с QR-кодами или их фотографии.
Угон QR-кода из-под носа покупателя
Одноразовые QR-коды выглядят более надежными, однако и ими могут злоупотребить. Например, в Китае клиент ресторана после окончания трапезы попросил счет и сгенерировал QR-код в своем смартфоне, чтобы расплатиться. Пока он рассчитывался, ему пришло уведомление о снятии средств со счета, однако получателем почему-то значилась бильярдная.
Клиент этот оказался полицейским. Он быстро поднял персонал ресторана на уши и запросил запись с камеры наблюдения. Видео прояснило ситуацию: стоявший за спиной полицейского злоумышленник просто-напросто сфотографировал QR-код на смартфоне блюстителя порядка и тут же расплатился им… с самим собой. Хитроумный мошенник заранее зарегистрировал на себя бильярдную и установил на смартфон приложение, которое работает как QR-сканер для бизнеса. Впоследствии эту программу заблокировали.
Что такое QR-коды и как ими пользоваться
В наше время смартфон есть уже почти у всех. Во многих современных моделях есть встроенный QR-сканер. На остальные можно скачать приложение — для чтения всех кодов вообще или какое-нибудь специализированное, например — разработанное музеем.
Если включить QR-сканер и навести камеру телефона на код, запустится некий процесс. Чаще всего смартфон предложит вам перейти на тот или иной сайт или откроет страницу определенного приложения в магазине. Есть и другие варианты, о них — чуть позже.
Специализированные сканеры отличаются от собратьев тем, что лучше «работают в паре» со «своими» QR-кодами. Допустим, вы видите табличку перед выдающимся деревом в парке, и на ней есть квадрат QR. Если вы загрузили себе официальное приложение этого парка, QR-коды на таких табличках превратятся для вас в цельную экскурсию, а стандартный сканер, распознав их, просто предложит перейти на сайт парка и прочесть описание каждого экспоната на отдельной странице.
Кроме того, некоторые приложения могут создавать QR-коды, чтобы передать тому, кто их отсканирует, какую-то вашу информацию — например, имя и пароль вашей сети Wi-Fi или даже платежные реквизиты счета в банке.
Воровство с помощью QR-кодов
Как показал опыт внедрения QR-кодов в Китае, технологию с успехом освоили не только торговцы, но и мошенники. С ее помощью киберпреступники успешно крадут средства с чужих счетов.
Проблема в том, что отличить QR-код магазина от QR-кода злоумышленника на глаз невозможно. Если торговая точка использует статический код, киберпреступник может просто заклеить его своим. Создать QR-код с личным счетом — не проблема: приложения-генераторы можно бесплатно скачать на смартфон или найти онлайн. И если в крупном магазине может быть сложно улучить момент, когда никто не видит, что происходит на кассе, то дождаться, пока отвлечется уличный продавец, или подменить код в автоматизированной торговой точке не так трудно.
Например, студент из китайской провинции Гуандун решил покататься на велосипеде. В пункте проката возле общежития он просканировал QR-код, не заметив, что тот наклеен поверх другого. Молодой человек, не задумываясь, провел платеж, но замок на велосипеде не открылся: деньги ушли мошенникам.
Похожий инцидент произошел и в Шанхае. Водитель обнаружил на автомобиле штрафную квитанцию за неправильную парковку и оплатил ее по напечатанному на ней QR-коду. Через несколько дней он получил напоминание от полиции о все еще неуплаченном штрафе.
6. Проверка QR-кодов в общественном транспорте и торговых центрах – утопия
В последнее время в различных регионах вводится или же планируется ввод проверки QR-кодов в общественном транспорте и торговых центрах. Я могу предположить, что данная идея абсолютно не продумана, ибо, если проверять QR-коды как положено, то данная проверка попросту парализует деятельность общественного транспорта и торговых центров, а в случае, если создавать лишь видимость проверки, то теряется всякий смысл данной инициативы. Лицам, принимающим такие решения, могу порекомендовать перед тем, как внедрять подобные бизнес-процессы в жизнь, для начала разобраться в сути вопроса, провести хронометраж на тестовом маршруте, проверить пропускную способность и прочие значимые характеристики процесса, только потом предпринимать решительные действия. В любом случае стоит помнить, что проверка QR-кодов возможна только при наличии интернет-соединения, соответствующего программно-аппаратного обеспечения и обязательной сверке паспортных данных.
Фальшивые ссылки
Так, созданный преступниками QR-код может привести вас на фишинговый сайт, имитирующий, например, страницу входа в социальную сеть или личный кабинет в банке, чтобы вы ввели там свои данные на радость преступникам. Обычно мы советуем смотреть на ссылку, прежде чем переходить по ней, — но в самом QR-коде шанса заметить странные символы нет, а для пущей надежности злоумышленники часто используют короткие ссылки — так сложнее распознать подделку, когда смартфон просит подтвердить переход.
Похожая схема существует и с QR-кодами для быстрой загрузки приложений. Вместо игры или полезного сервиса, которые вы ожидаете получить при взгляде на рекламный плакат, есть шанс скачать зловред, который позже, например, украдет ваши пароли или начнет рассылать что-нибудь непотребное вашим контактам.
4. Как проверить QR-код сертификата вакцинации?
Чтобы убедиться в достоверности QR-кода и в том, что вам предъявляют удостоверения о вакцинации, а не код от куриной грудки из отдела продуктов, или же и вовсе какую-нибудь зашифрованную матерную частушку, необходимо:
1. осуществить сканирование с помощью официального приложения «STOP COVID-19» (Google market, App store);
2. сверить паспортные данные с полученным результатом проверки.
Почему данную проверку необходимо осуществлять так и только так? Об этом далее.
1. Что за зверь QR-код?
QR-код (Quick Response code — код быстрого реагирования) – тип матричных штрихкодов (или двумерных штрихкодов). QR-код состоит из чёрных квадратов, расположенных в квадратной сетке на белом фоне, которые могут считываться с помощью устройств обработки изображений, таких как камера.
Не буду перегружать описанием алгоритмов кодирования и прочей технической информацией, если требуются подробности, то их можно найти в ГОСТ Р ИСО/МЭК 18004-2015.
Важно знать, что QR-код может содержать текстовую информацию, URL-адреса web-страниц, визитные карточки и даже изображения (к вопросу о печати сами знаете кого). В зависимости от размера QR-коды могут содержать от 21x21 до 177x177 модулей (версии от 1 до 40 с шагом четыре модуля для каждой стороны), при этом закодировано может быть до 4296 алфавитно-цифровых знаков.
3. Что из себя представляет QR-код сертификата вакцинации?
Сертификат вакцинации будет доступен в личном кабинете портала госуслуг, его можно скачать в формате pdf и распечатать, либо сохранить в память телефона. Считать информацию о QR-коде можно с помощью специального программно-аппаратного устройства (сканера), либо с помощью смартфона с установленным программным обеспечением для считывания QR-кодов, функционал распознания QR-кодов может быть встроен в приложение «Камера» многих современных смартфонов. Отсканировав QR-код, можно увидеть, что он содержит ссылку на портал Госуслуг, например:
- «9710000025717304» – номер сертификата;
- «lang=ru» – язык, на котором будет возвращен результат проверки;
- «ck=f2ab62b1a16724942b19e836a83c5258» – некая уникальная HASH-сумма, рассчитанная для конкретного сертификата.
Если открыть ссылку, которая содержится в QR-коде сертификата, то попадём на страницу с результатом проверки. Как мы видим, результат проверки не содержит личной информации – это плюс. Главный минус заключатся в том, что проверить QR-код без интернет-соединения или же при недоступном портале Госуслуг – невозможно!
Учитывая сложность HASH-кода, сгенерировать корректную ссылку на чужой код вакцинации теоретически возможно, но для этого нужно быть либо феноменально везучим, либо иметь в пользовании квантовый компьютер, на практике это весьма маловероятно.
QR-коды — от Японии до России
QR-код — по сути тот же штрихкод, только может хранить больше информации и при этом легко распознается считывающим оборудованием. Его изобрели в Японии четверть века назад, когда выяснилось, что существующие виды штрихкодов не отвечают потребностям местной промышленности.
Изначально QR-кодами пользовались автопроизводители для оптимизации рабочих процессов. Однако с развитием Интернета и мобильных гаджетов эта технология нашла куда более широкое применение: с ее помощью обмениваются ссылками и контактами, отправляют SMS, скачивают приложения и так далее. А еще — оплачивают покупки.
Небывалую популярность платежи с помощью QR-кодов приобрели в Китае. Жители Поднебесной пользуются этой технологией везде — от транспорта до уличных палаток с едой. В стране действует несколько платежных систем, которые ее поддерживают: Alipay, WeChat Pay, UnionPay.
Своя система QR-платежей существует в Индии, хотя и не применяется так широко. Постепенно квадратные коды завоевывают рынок и в других азиатских странах, например в Южной Корее. Кроме того, эту технологию поддерживают некоторые крупные международные платежные системы вроде PayPal.
В России тоже уже переводят деньги с помощью QR-кодов. Так, в некоторых регионах их можно встретить на квитанциях для оплаты коммунальных услуг, а клиенты банка ВТБ могут рассчитываться между собой, создавая и сканируя такие коды. С февраля 2019 года QR-платежи принимают также в российских ресторанах сети Burger King.
В ближайшее время квадратные штрихкоды займут куда более заметное место на отечественном рынке. В конце прошлого года Сбербанк начал внедрять в разных регионах России систему «Плати QR». В этом году поддержку QR-кодов на территории страны вводит Visa. Также эту технологию как часть «Системы быстрых платежей» протестирует Центробанк РФ.
Закодированные в QR-коде команды
Но и это не все: QR-код может служить не только ссылкой на сайт, но и командой для выполнения определенных действий. Вот лишь неполный их список:
Но эти же возможности делают QR-код эффективным средством для незаметных манипуляций. Например, мошенники могут внести в адресную книгу свой номер под именем «Банк», чтобы придать вес звонку с попыткой выманить ваши деньги. Или, например, позвонить на платный номер за ваш счет. Или узнать, где вы находитесь… Малоприятные перспективы.
Бережем счет
В Китае проблему воровства через QR-коды решают радикально: власти ввели ограничение на транзакции с ними. Граждане страны могут потратить таким образом не больше 500 юаней (чуть меньше 5000 рублей) с одного аккаунта в день. Однако мы не можем сейчас сказать, какие меры безопасности примут отечественные банки. Кроме того, лимит на покупки через QR-код не защитит вас от потерь в пределах этого лимита.
Рассказываем, как не попасться на удочку киберпреступников при сканировании QR-кодов.
QR-коды есть на йогурте и музейной табличке, квитанции за коммунальные услуги и лотерейном билете. С их помощью открывают сайты, скачивают приложения, копят бонусы в программах лояльности, отправляют денежные переводы и даже просят милостыню. Эта доступная и практичная технология понравилась многим — и, как это часто бывает, киберпреступникам тоже: они уже вовсю применяют QR-коды в своих схемах. Рассказываем, что может пойти не так с черно-белыми квадратами и как их использовать без вреда для себя.
Теперь давайте проанализируем следующий сценарий
Это не редкость, когда быстро развивающуюся технологию пытаются использовать, чтобы найти ее уязвимые места. Однако в случае QR-кодов, по-видимому, существуют некоторые очевидные проблемы с точки зрения безопасности.
Прежде всего, QR-коды невозможно отличить друг от друга невооруженным глазом, поэтому очень сложно проверить их подлинность. Это основная причина, по которой пользователей QR-кодов по всему миру обманывают, заставляя регистрироваться на мошеннических сайтах, что приводит к фишингу/вредоносному ПО на их смартфонах.
Выступая на Национальном конгрессе народных представителей в Пекине в марте 2017 года, заместитель Лю Цинфэн, председатель провайдера облачного сервиса распознавания голоса iFlytek, сказал:
«В настоящее время более 23% троянских программ и вирусов передаются через QR-коды. Порог (трудности) создания QR-кодов настолько низок, что мошенники могут с легкостью внедрять троянские программы и вирусы в QR-код».
Благодаря легкости создания собственных QR-кодов и ничего не подозревающим пользователям, мошенникам очень удобно использовать невинных пользователей, передавая поддельные QR-коды в зонах с большим трафиком. Такой фишинг на основе QR-кодов, также называемый QRishing, — одна из основных причин онлайн-краж и мошенничества в Интернете в таких странах, как Китай.
В марте 2014 года Народный банк Китая временно запретил платежи, совершенные путем сканирования QR-кодов с помощью мобильных устройств через сторонних поставщиков, после того, как Alibaba и Tencent объявили о планах выпуска «виртуальных кредитных карт» — инновационного способа мобильных платежей на базе QR-кодов, рассматриваемых в качестве альтернативы традиционным кредитным картам, — ссылаясь на опасения по поводу их безопасности. Однако запрет был отменен в 2016 году.
Alipay и WeChat Pay, два основных сторонних способа оплаты в Китае, неизменно несли ответственность за все случаи мошенничества с QR-кодами. Однако эти китайские платежные магнаты работают над решением данной проблемы. Alipay имеет функцию обнаружения сайтов, которая может определить, является ли сканируемый встроенный QR-код вредоносной ссылкой. Если она обнаружит угрозу безопасности, то система выдаст предупреждение о безопасности, позволяющее пользователям решить, следует ли продолжать.
WeChatPay также представил программное обеспечение для мобильной безопасности, чтобы гарантировать пользователям мониторинг и более безопасное обслуживание.
Так как QR-коды широко признаются простым и привлекательным способом оплаты в таких странах, как Китай, перед регулирующими органами и поставщиками платежных услуг стоит важная задача предотвращения мошенничества. Наряду с шагами, предпринимаемыми для укрепления безопасности и выявления случаев мошенничества, важной задачей станет осведомленность пользователей об использовании QR-кодов мошенниками и о том, как не стать их жертвой. Однако это легче сказать, чем сделать — будущий период покажет, действительно ли QR-коды станут платежным средством следующего поколения.
Друзья, это моя первая публикация, если что-то не так, не судите строго, конструктивную критику оставляйте в комментариях, постараюсь реагировать и улучшать контент.
Пост раскроет информацию о том, чем является QR-код сертификата вакцинации, может ли он содержать печать сатаны, как его правильно проверить, сведения о плюсах, минусах, существующих ограничениях и особенностях применения. Материал для общего понимания, не содержит сложных технических подробностей, все данные взяты из открытых источников, персональные сведения в нём отсутствуют.
Как работают QR-платежи
Существует два способа оплатить покупку с помощью QR-кода.
Вариант 1. QR-код создает продавец. Это может быть статический код, содержащий информацию о его счете, или динамический — с информацией о транзакции.
Статический код можно распечатать на бумаге и вывесить или установить на кассе. Покупатель сканирует этот код при помощи платежного приложения — на экране смартфона отображается получатель перевода, — вводит сумму покупки и подтверждает оплату.
Динамический код продавец формирует «на ходу» и выводит его, например, на экран кассы или планшета. В этом случае сумма покупки уже содержится в коде, так что клиент только сканирует его и подтверждает оплату.
Вариант 2.QR-код создает покупатель при помощи платежного приложения. В таком случае код всегда одноразовый. Продавец сканирует его с помощью специального устройства и со счета покупателя списывается нужная сумма.
Конкретные торговые точки и платежные приложения могут поддерживать как оба варианта оплаты, так и только один из них.
2. Как получить QR-код сертификата вакцинации?
Легально получить сертификат и заветный QR-код можно завершив полный курс вакцинации (действителен 1 год), либо получив отрицательный результат ПЦР-теста (действителен 72 часа). На мой взгляд, с точки зрения скорости получения и продолжительности действия, наиболее оптимальным способом получения сертификата является вакцинация препаратом «Спутник Лайт», в данном случае сертификат с QR-кодом должен быть доступен уже через 3 дня после вакцинации, срок действия – 1 год.
Однако не все так хорошо в этой сфере
«Когда вы сканируете QR-код, вы понятия не имеете, куда перейдете по нему. Вы вполне можете перейти на вредоносный сайт, который может попытаться установить вирус на ваш телефон», — говорит Мэтью Грин, доцент кафедры информатики Университета Джона Хопкинса в Балтиморе, штат Мэриленд.
В Китае недавно были отмечены случаи мошенничества, которые вызвали серьезные вопросы по поводу безопасности использования QR-кодов в качестве способа оплаты. Сообщается, что в Гуанчжоу (в провинции Гуандун Южно-Китайского региона) у людей было украдено около 90 миллионов юаней (14,5 миллионов долларов) путем мошеннического использования QR-кодов, которые часто сканируются для идентификации продукта и доступа к мобильной платформе.
По другой информации, некоторые мошенники теперь пользуются повальным увлечением велосипедами в Китае. Mobike — это популярный сервис совместного пользования велосипедами, предоставляющий велолюбителям инструмент для сканирования QR-кода, нарисованного на велосипеде, для внесения депозита и оплаты аренды. Наклеивая на велосипед поддельные QR-коды, мошенники могут обмануть велосипедистов и заставить их перевести 43 доллара — столько же, сколько требуется для депозита Mobike, — на их счет.
Однако не все так хорошо в этой сфере
«Когда вы сканируете QR-код, вы понятия не имеете, куда перейдете по нему. Вы вполне можете перейти на вредоносный сайт, который может попытаться установить вирус на ваш телефон», — говорит Мэтью Грин, доцент кафедры информатики Университета Джона Хопкинса в Балтиморе, штат Мэриленд.
В Китае недавно были отмечены случаи мошенничества, которые вызвали серьезные вопросы по поводу безопасности использования QR-кодов в качестве способа оплаты. Сообщается, что в Гуанчжоу (в провинции Гуандун Южно-Китайского региона) у людей было украдено около 90 миллионов юаней (14,5 миллионов долларов) путем мошеннического использования QR-кодов, которые часто сканируются для идентификации продукта и доступа к мобильной платформе.
По другой информации, некоторые мошенники теперь пользуются повальным увлечением велосипедами в Китае. Mobike — это популярный сервис совместного пользования велосипедами, предоставляющий велолюбителям инструмент для сканирования QR-кода, нарисованного на велосипеде, для внесения депозита и оплаты аренды. Наклеивая на велосипед поддельные QR-коды, мошенники могут обмануть велосипедистов и заставить их перевести 43 доллара — столько же, сколько требуется для депозита Mobike, — на их счет.
Чем удобны QR-коды?
QR-платежи имеют несколько преимуществ перед другими способами оплаты покупок. В первую очередь, они позволяют не носить с собой наличные деньги и банковские карты. Все необходимые для проведения транзакции данные доступны из платежного приложения.
При этом в отличие от систем на основе технологии NFC, таких как Apple Pay или Google Pay, в случае QR-платежей нет никаких особых требований к устройству вроде наличия NFC-чипа. Установить платежное приложение, поддерживающее QR-коды, вы сможете практически на любой смартфон под управлением iOS или Android. Главное — чтобы программа была совместима с вашей версией операционной системы.
Привлекательны QR-платежи и для предпринимателей. Малый бизнес сможет сэкономить на приобретении банковского терминала: даже сканер созданных покупателем QR-кодов стоит в разы дешевле. Если же компания предпочитает использовать собственный код, ей достаточно напечатать его на обычном листе бумаги.
Кроме того, QR-коды могут снизить расходы предпринимателей на комиссию банков за прием безналичных платежей. Так, Центробанк планирует установить предельное значение комиссии на уровне 0,4–0,5%, тогда как владельцы POS-терминалов, работающих с пластиковыми картами, отчисляют финансовым организациям 1,5–2,5% от суммы транзакции.
Как киберпреступники используют QR-коды
Что может пойти не так, спросите вы? Очень и очень многое. Поскольку содержимое QR-кода обычному человеку не понять, фактически мы полагаемся на честность тех, кто загружает в них информацию. Мы не можем заранее проверить, что произойдет, когда мы отсканируем заветный квадрат, — или что именно на самом деле записало туда приложение, в котором мы создавали свой квадрат. Это открывает массу возможностей для злоупотребления.
5. Безопасность
Сгенерированный код хоть и не повторяет в точности изображение исходного кода сертификата, но содержит полностью валидную, идентичную исходной, информацию.
Таким образом, к проверке может быть предъявлен чужой сертификат, а данные вашего личного сертификата становятся доступным осуществляющему проверку лицу. Именно по этой причине необходима сверка паспортных данных!
Друг автора данного материала утверждает, что после введения QR-кодов он некоторое время ходил с QR-кодом от куриной грудки, затем и вовсе сгенерировал поддельную web-страничку и абсолютно везде, где он предъявлял данные QR-коды, они проходили проверку. Думаю, про банальную копию существующего QR-кода и вовсе говорить не нужно, разве Вы где-то видели, чтобы проверяющие сверяли паспортные данные? Лично я – нет.
Читайте также: