Quishing, приховані загрози та національна безпека. Як Росія вербує диверсантів за допомогою QR-кодів

В останні дні березня у Львові виявили оголошення із QR-кодами в під'їздах житлових будинків, а згодом і в громадському транспорті. Оголошення супроводжувалось текстом "Не сумнівайся! Переходь та здійсни свої мрії!", по якому було не зрозуміло, про що ж йдеться у інформації, схованій за QR-кодами. Після того, як жителі міста перевірили цей заклик до дії, стало зрозуміло, що QR-коди ведуть на проросійські Telegram-канали із закликами до диверсій за винагороду. Депутат Львівської міської ради Ігор Зінкевич закликав, у разі виявлення подібних оголошень, зривати їх або повідомляти відповідні служби.

Історія із пропагандистськими QR-кодами у Львові стосується відразу декількох проблем, серед яких й ті, що стосуються персональної цифрової гігієни, а іще – проблем національної безпеки, особливо актуальних в часи війни. І, звісно, давні проблеми української залежності від Telegram. Спецслужби будуть розбиратися з тим, як так сталося, що місто буквально заполонили QR-коди, що ведуть на пропагандистські ресурси, а ми розберемося із небезпекою QR-кодів. Ризики, пов’язані з ними, не лише можуть призвести до зламів гаджетів окремих людей, але й становитимуть суттєву загрозу національній безпеці.

Quick response: як виникли та як працюють QR-коди

Назва "QR-код" є скороченням від фрази "Код швидкого реагування — quick response code". Ці всім відомі квадрати, що складаються із чорних маленьких квадратів на білому фоні, є зображенням, яке кодує інформацію – текст, посилання, виклик мобільного застосунку.

QR-коди були винайдені в 1994 році Масахіро Хара та його колегами, що працювали в японській компанії Denso Wave, афілійованій з Toyota. Головна мета цих позначок на початку була пов’язана із відстеженням автомобільних деталей під час виробництва. Раніше для цього використовувалися штрих-коди, але їх можна було читати лише в одному напрямку. Натомість QR-коди покращили кодування, в першу чергу того, що вони дозволяли багатонаправлене сканування (як вертикально, так і горизонтально).

QR-коди кодують дані в сітку з чорних і білих квадратів. Кожен квадрат представляє двійкову інформацію — чорні квадрати означають "1", а білі — "0". Під час сканування за допомогою сумісного пристрою закодовані дані декодуються в інформацію, пов’язану із QR-кодом. Спочатку такою інформацією було місцерозташування деталей на складах.

То ж QR-коди спочатку були обмежені застосуванням у промисловості. Проте з часом їх застосування значно розширилося в 2010-х роках завдяки інтеграції QR-сканерів у камери смартфонів. Камери смартфонів уміють "побачити" код в тому місці, куди націлена камера, розпізнати його та показати на екрані, куди він веде – з чим він пов’язаний. Користувачу потрібно лише натиснути на екран і камера виконає дію, яка пов’язана із QR-кодом – відкриє сторінку в браузері, запустить додаток із меню чи відкриє платіжний додаток для донату.

Популярність QR-кодів особливо збільшилась під час пандемії COVID-19, оскільки вони полегшували безконтактну взаємодію, наприклад доступ до меню в ресторанах. Адже їхня універсальність дозволяє зберігати до 4000 символів тексту або інших типів даних, а проста інтеграція з камерою смартфону дозволяє користувачам дуже просто розпізнати QR-код та побачити, з чим він пов’язаний. Використання QR-кодів, до прикладу, для посилань на сайти, набагато простіше, адже в цьому випадку не потрібно вводити адресу сайту, що, вочевидь, не зручно на невеликому екрані смартфону. Натомість один клік по екрану приведе до відкриття такого сайту на смартфоні юзера.

Проте саме в цій простоті і криється основна небезпека QR-кодів – люди насправді не бачать посилання, за яким переходять. То ж таке посилання може бути як легітимне, так і небезпечне. Окрім того, візуально відрізнити підроблений QR-код від справжнього практично неможливо. І останнім часом загрози, пов’язані із QR-кодами, активізувалися в різних країнах світу та різних контекстах.

QR-ризики: quishing, підміна, небезпечне ПЗ та національна безпека

Основна загроза популярності QR-кодів ще називається quishing — фішинг через QR-коди (quishing). Зловмисники створюють QR-коди, які перенаправляють користувачів на підроблені вебсайти з метою викрадення особистих даних. Справа в тому, що зручність QR-кодів та простота відкриття прив’язаних до них фрагментів даних, в першу чергу, сайтів, не часто супроводжується увагою користувачів щодо того, а куди ж веде цей код. Іншими словами, люди просто не дивляться, куди ж веде такий код. Та й посилання на екрані смартфону, яке відображається при скануванні QR-коду, містить лише його початок. То ж під ним легко приховати лінк на небезпечний чи підробний ресурс. Відповідно, користувачі часто менш обережні при скануванні QR-кодів, вважаючи їх безпечними, а наслідком цього є потрапляння на небезпечні сайти та введення на них своїх критично важливих даних (логіни, паролі).

Легкість сканування QR-кодів без особливого контролю робить користувачів вразливими до цих атак. У 2024 році фішингові атаки за допомогою QR-кодів лише збільшувались, причому зловмисники часто підміняли підробними кодами оригінальні, які висять у банках чи в місцях, де передбачений розрахунок за QR-кодом. Зловмисники наклеювали власні QR-коди поверх оригінальних у меню ресторанів, на інформаційних стендах або пам'ятниках, перенаправляючи користувачів на небажані ресурси.

Іншою проблемою QR-кодів є розповсюдження шкідливих програм: через QR-коди можуть поширюватися посилання на шкідливі додатки або віруси. Хоча розмістити вірус безпосередньо в QR-коді складно через обмеження розміру, посилання можуть вести на сайти, що спонукають користувачів завантажити небезпечне програмне забезпечення.

Іще однією проблемою невідомих QR-кодів може стати атака "людина посередині" (MITM — Man in the middle), коли зловмисники перехоплюють і змінюють інформацію, що передається. Таким чином зловмисники можуть перехоплювати дані користувачів та використовувати їх на свою користь.

Львівська історія стала втіленням нового виду загроз, пов’язаних із QR-кодами – поширенням пропагандистських наративів в публічному просторі міста. Потенційно зацікавлені в такій інформації громадяни отримали простий доступ до неї. А враховуючи випадки вербувань підлітків та інших людей для виконання терактів на замовлення російських спецслужб, масове поширення таких QR-кодів може спростити доступ російських спецслужб до таких людей.

Небезпечні QR-коди у Львові та в Україні – історія не нова

Цей інцидент є частиною ширшої проблеми використання QR-кодів для незаконної діяльності у Львові та й загалом в Україні. Раніше в місті вже фіксували випадки розміщення фальшивих QR-кодів у громадському транспорті. Наприклад, у листопаді 2020 року в трамваях Львова з'явилися наліпки з QR-кодами, які містили логотип мобільного банку Sportbank. Сканування цих кодів пропонувало встановити додаток банку замість оплати проїзду, що могло ввести пасажирів в оману та спричинити штрафи за безквитковий проїзд.

У січні 2021 року в тролейбусах Львова були виявлені наліпки з QR-кодами та зображенням наркотичної рослини. Сканування цих кодів могло перенаправляти користувачів на ресурси, пов'язані з незаконним обігом наркотиків. Також були зафіксовані випадки розміщення фальшивих QR-кодів, які замість оплати проїзду скеровували користувачів на пранкові сайти або інші сторонні ресурси.

Шахраї використовують QR-коди не лише в громадському транспорті. Нещодавно у Львові було виявлено нову схему шахрайства: під виглядом інспекторів з паркування зловмисники виписували фейкові повідомлення про порушення правил дорожнього руху, які містили QR-коди для оплати неіснуючих штрафів. Водіїв закликали не переходити за такими посиланнями та повідомляти про подібні випадки відповідні органи.

Уже на початку цього року в громадських місцях України активізувалася нова шахрайська схема, пов'язана з підміною QR-кодів. Зловмисники розміщували фальшиві QR-коди на офіційних інформаційних табличках або самостійно розклеювали їх у місцях скупчення людей. Скануючи такі коди, користувачі перенаправлялися на підроблені вебсайти, що імітували легітимні онлайн-сервіси.

Як вирішити основну проблему QR-кодів

Головною проблемою використання QR-кодів є не лише невидимість посилань, але й не розуміння ситуації, яка буде наслідком переходу по QR -коду. До прикладу, коли після переходу за кодом відкриється Telegram-канал чи сторінка додатку для онлайн-банкінгу — це зрозуміло та очевидно. Коли ж в результаті таких самих дій відобразиться сторінка входу в Telegram чи Instagram, де користувача попросять ввести логін на пароль — чи це є нормальною реакцією на дані, "зашиті" в QR -коді, чи все ж це спроба фішингу та отримання доступу зловмисників до даних користувачів? Найчастіше друге, але можуть бути ситуації, коли дійсно QR-код приведе на сторінку із даними для входу і це не буде спробою шахрайства.

На жаль, розрізнити ці ситуації на екрані смартфону практично неможливо. Єдиним шляхом в цьому випадку не перехід по QR-коду, а копіювання його та наступна вставка, до прикладу, в примітки, аби можна було побачити повністю посилання і зрозуміти, чи лінк є надійним, чи все ж під QR-кодом прихований фішинг. А іще краще – після отримання посилання скористатись сайтом Virustotal. Це онлайн-сервіс, який може перевірити посилання та дати відповідь, чи воно справжнє, чи шахрайське.

Попри зручність та функціональність ситуація із QR-кодами стала серйозною загрозою і персональній цифровій безпеці, і національній безпеці воюючої держави. Адже цей спосіб передачі та кодування інформації може використовуватися у шпигунстві, підриві критичної інфраструктури та кібервійні. Тому увага до цих фрагментів даних, а не бездумне "відкриття" будь-якого QR-коду повинно стати нашою новою навичкою