Quishing, скрытые угрозы и национальная безопасность. Как Россия вербует диверсантов с помощью QR-кодов

В последние дни марта во Львове обнаружили объявления с QR-кодами в подъездах жилых домов, а затем и в общественном транспорте. Объявление сопровождалось текстом: "Не сомневайся! Переходи и осуществи свои мечты!", по которому было непонятно, о чем же идет речь в информации, спрятанной за QR-кодами. После того как жители города проверили этот призыв к действию, стало ясно, что QR-коды ведут на пророссийские Telegram-каналы с призывами к диверсиям за вознаграждение. Депутат Львовского городского совета Игорь Зинкевич призвал в случае обнаружения подобных объявлений срывать их или сообщать в соответствующие службы.

История с пропагандистскими QR-кодами во Львове касается сразу нескольких проблем, среди которых и касающиеся персональной цифровой гигиены, а еще — проблем национальной безопасности, особенно актуальных во время войны. И конечно, давние проблемы украинской зависимости от Telegram. Спецслужбы будут разбираться с тем, как так произошло, что город буквально заполонили QR-коды, ведущие на пропагандистские ресурсы, а мы разберемся с опасностью QR-кодов. Риски, связанные с ними, не только могут привести к взломам гаджетов отдельных людей, но и будут представлять существенную угрозу национальной безопасности.

Quick response: как возникли и как работают QR-коды

Название "QR-код" является сокращением от фразы "Код быстрого реагирования — quick response code". Эти всем известные квадраты, состоящие из черных маленьких квадратов на белом фоне, являются изображением, кодирующим информацию — текст, ссылку, вызов мобильного приложения.

QR-коды были изобретены в 1994 году Масахиро Хара и его коллегами, работавшими в японской компании Denso Wave, аффилированной с Toyota. Главная цель этих меток вначале была связана с отслеживанием автомобильных деталей при производстве. Раньше для этого использовались штрих-коды, но их можно было читать только в одном направлении. В то же время, QR-коды улучшили кодирование, в первую очередь из-за того, что они позволяли многонаправленное сканирование (как вертикально, так и горизонтально).

QR-коды кодируют данные в сетку из черных и белых квадратов. Каждый квадрат представляет двоичную информацию — черные квадраты означают "1", а белые — "0". При сканировании с помощью совместимого устройства кодированные данные декодируются в информацию, связанную с QR-кодом. Первоначально такой информацией было месторасположение деталей на складах.

Поэтому QR-коды первоначально были ограничены применением в промышленности. Однако с течением времени их применение значительно расширилось — в 2010-х годах благодаря интеграции QR-сканеров в камеры смартфонов. Камеры смартфонов умеют увидеть код в том месте, куда нацелена камера, распознать его и показать на экране, куда он ведет — с чем он связан. Пользователю нужно только нажать на экран и камера выполнит действие, связанное с QR-кодом: откроет страницу в браузере, запустит приложение из меню или откроет платежное приложение для доната.

Популярность QR-кодов особенно увеличилась во время пандемии COVID-19, поскольку они облегчали бесконтактное взаимодействие, например доступ к меню в ресторанах. Их универсальность позволяет сохранять до 4000 символов текста или других типов данных, а простая интеграция с камерой смартфона позволяет пользователям очень легко распознать QR-код и увидеть, с чем он связан. Использование QR-кодов, к примеру, для ссылок на сайты гораздо проще, так как в этом случае не нужно вводить адрес сайта, что, очевидно, неудобно на небольшом экране смартфона. Один клик по экрану приведет к открытию такого сайта на смартфоне пользователя.

Однако именно в этой простоте и кроется основная опасность QR-кодов – люди действительно не видят ссылки, по которым переходят. Такая же ссылка может быть как легитимной, так и опасной. Кроме того, визуально отличить поддельный QR-код от настоящего практически невозможно. И в последнее время угрозы, связанные с QR-кодами, активизировались в разных странах мира и разных контекстах.

QR-риски: quishing, подмена, опасное ПО и национальная безопасность

Основная угроза популярности QR-кодов еще называется quishing — фишинг через QR-коды (quishing). Злоумышленники создают QR-коды, которые перенаправляют пользователей на поддельные вебсайты с целью хищения личных данных. Дело в том, что удобство QR-кодов и простота открытия привязанных к ним фрагментов данных, в первую очередь сайтов, не часто сопровождается вниманием пользователей относительно того, куда же ведет этот код. Иными словами, люди просто не смотрят, куда ведет такой код. Да и ссылка на экране смартфона, отображаемая при сканировании QR-кода, содержит только его начало. Так что под ним легко скрыть ссылку на опасный или поддельный ресурс. Соответственно, пользователи часто менее осторожны при сканировании QR-кодов, считая их безопасными, а следствием этого является попадание на опасные сайты и ввод на них своих критически важных данных (логины, пароли).

Легкость сканирования QR-кодов без особого контроля делает пользователей уязвимыми к этим атакам. В 2024 году фишинговые атаки с помощью QR-кодов только увеличивались, причем злоумышленники часто подменяли поддельными кодами оригинальные, висящие в банках или в местах, где предусмотрен расчет по QR-коду. Злоумышленники наклеивали собственные QR-коды поверх оригинальных в меню ресторанов, на информационных стендах или памятниках, перенаправляя пользователей на нежелательные ресурсы.

Другой проблемой QR-кодов является распространение вредоносных программ: через QR-коды могут распространяться ссылки на вредоносные приложения или вирусы. Хотя разместить вирус непосредственно в QR-коде сложно из-за ограничения размера, ссылки могут вести на сайты, побуждающие пользователей загрузить опасное программное обеспечение.

Еще одной проблемой неизвестных QR-кодов может стать атака "человек посередине" (MITM — Man in the middle), когда злоумышленники перехватывают и изменяют передаваемую информацию. Таким образом, злоумышленники могут перехватывать данные пользователей и использовать их для своих целей.

Львовская история стала воплощением нового вида угроз, связанных с QR-кодами — распространения пропагандистских нарративов в публичном пространстве города. Потенциально заинтересованные в этой информации граждане получили простой доступ к ней. А учитывая случаи вербовок подростков и других людей для выполнения терактов по заказу российских спецслужб, массовое распространение таких QR-кодов может упростить доступ российских спецслужб к таким людям.

Опасные QR-коды во Львове и Украине – история не нова

Этот инцидент является частью более широкой проблемы использования QR-кодов для незаконной деятельности во Львове и в целом в Украине. Ранее в городе уже фиксировались случаи размещения фальшивых QR-кодов в общественном транспорте. К примеру, в ноябре 2020 года в трамваях Львова появились наклейки с QR-кодами, содержащими логотип мобильного банка Sportbank. Сканирование этих кодов предлагало установить приложение банка вместо оплаты проезда, что могло ввести пассажиров в заблуждение и повлечь штрафы за безбилетный проезд.

В январе 2021 года в троллейбусах Львова были обнаружены наклейки с QR-кодами и изображением наркотического растения. Сканирование этих кодов могло перенаправлять пользователей на ресурсы, связанные с незаконным оборотом наркотиков. Также были зафиксированы случаи размещения фальшивых QR-кодов, которые вместо оплаты проезда направляли пользователей на пранковые сайты или другие посторонние ресурсы.

Мошенники используют QR-коды не только в общественном транспорте. Недавно во Львове была обнаружена новая схема мошенничества: под видом инспекторов по парковке злоумышленники выписывали фейковые сообщения о нарушении правил дорожного движения, которые содержали QR-коды для оплаты несуществующих штрафов. Водителей призвали не переходить по таким ссылкам и сообщать о подобных случаях в соответствующие органы.

Уже в начале этого года в общественных местах Украины активизировалась новая мошенническая схема, связанная с подменой QR-кодов. Злоумышленники размещали фальшивые QR-коды на официальных информационных табличках или самостоятельно расклеивали их в местах скопления людей. Сканируя такие коды, пользователи перенаправлялись на поддельные веб-сайты, имитирующие легитимные онлайн-сервисы.

Как решить основную проблему QR-кодов

Главной проблемой использования QR-кодов является не только невидимость ссылок, но и непонимание ситуации, которая будет следствием перехода по QR-коду. Например, когда после перехода по коду откроется Telegram-канал или страница приложения для онлайн-банкинга — это понятно и очевидно. Когда же в результате таких же действий отобразится страница входа в Telegram или Instagram, где пользователя попросят ввести логин на пароль — является ли это нормальной реакцией на данные, "зашитые" в QR-коде, или все же это попытка фишинга и получения доступа злоумышленников к данным пользователей? Зачастую второе, но могут быть ситуации, когда QR-код действительно приведет на страницу с данными для входа, и это не будет попыткой мошенничества.

К сожалению, различить эти ситуации на экране смартфона практически невозможно. Единственный путь в этом случае — не переход по QR-коду, а копирование его и последующая вставка, к примеру, в заметки, чтобы можно было увидеть полностью ссылку и понять, является ли она надежной, или все же под QR-кодом скрыт фишинг. А еще лучше — после получения ссылки воспользоваться сайтом Virustotal. Это онлайн-сервис, который может проверить ссылку и дать ответ, настоящая она или мошенническая.

Несмотря на удобство и функциональность, ситуация с QR-кодами стала серьезной угрозой и персональной цифровой безопасности, и национальной безопасности воюющего государства. Ведь этот способ передачи и кодирования информации может использоваться в шпионаже, подрыве критической инфраструктуры и кибервойне. Поэтому внимание к этим фрагментам данных, а не бездумное "открывание" любого QR-кода должно стать нашим новым навыком