Фишинг: Новый тренд — переклейка QR кодов в общественных местах


    День добрый,
    сим постом хочу предупредить русскоязычное сообщество о новой фишинг тенденции, семимильными шагами двигающейся по Европе. В настоящее время накрыло Германию. Думаю такими темпами очень быстро доберется до России и СНГ.

    Смысл в том, что QR-код на плакате в аэропорту, рекламной брошюре у врача или например на информационном стикере, висящем в банке, аккуратно заклеивается другим, который ведет соответственно на злостную страничку фишера. Иногда он даже вырезается и вклеивается новый, например изнутри банка, на плакате за стеклом на внешней стене или входной двери. Снаружи такая переклейка практически не заметна под стеклом и не вызывает никаких сомнений, что QR-код принадлежит банку.

    На такую уловку попадаются даже люди, серьезно относящиеся к безопасности своих данных, например проверяющие URL в браузерах перед оплатой PayPal и т.д. Это объясняется высоким уровнем доверия к информации, висящей например внутри крупного банка.

    Из моих знакомых имеем уже два случая:
    — У одного увели и поменяли все пароли сохраненные в браузере телефона, после посещения рекламирующего фильм сайта, с QR-кода снятого в аэропорту Франкфурта. По прилету в Гамбург уже не мог зайти никуда; (UPD) Подробности в коментарии…
    — Друга моего второго закомого накрыло серьезней. Он, увидев в банке «распродажу» новой версии StarMoney со скидкой (популярная в Германии банковская программа aka Home Banking), решил купить ее по телефону — QR с плаката и т.д. Результат — уведенный PayPal пароль и некоторое количество денежных средств, списаных PayPal-м со счета.
    Кстати, все могло закончиться для него гораздо хуже — StarMoney распростроняется download-ом. Т.е. ему могли вообще прислать левый URL на троянскую StarMoney — тогда пришел бы белый пушной зверь вообще всем его счетам.

    Так что будьте бдительны и обязательно расскажите своим домочадцам!
    Поддержать автора
    Поделиться публикацией
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 88

      +12
      Уже добралось, можно сказать. На днях в московском метро видел подобное на рекламе в вагонах.
        +3
        Читатели Хабра проводят тестирование в поле
        +14
        Кто-то ими пользуется?
          +8
          А для кого, как вы думаете, оно делается?
            0
            загляните например сюда — QR Droid (Deutsch) — миллионы скачиваний, и это только немецкая версия.
              0
              У меня по ссылке «QR Droid (Pусский)», просто Вы, видимо, из Германии заходите. Соответственно статистика по скачиваниям общая.
                +4
                Честно говоря статистика эта не о чем. То что у этого приложения (а тем более у бесплатного) много скачиваний совсем не говорит о том, что много людей им пользуется.
                  0
                  Вообще-то правда. Но таких программ десятки — и у каждой такая «статистика».
            +11
            Охо! Ещё как! И знаете, это очень удобно! Например быстро добавить контакт или установить приложение из google play.
              +10
              А ещё с помощью QR кода можно предоставлять доступ к WiFi сетям для телефонов на ОС Android (возможно, телефоны на других ОС так тоже умеют).
              Возможно, со временем, способов применения этих кодов будет всё больше и больше.
                +1
                Не знал про такую возможность. Спасибо! Однозначно в мемориз!
                  0
                  Это ж штрих код — способов и так масса. Например, как-то писал для одной фирмы приложение, где в коде «пряталась» информацию о клиенте + URL с идентификатором веб-приложения, и после распечатки оно наклеивалось на документ / папку.
                  Отсканировав его, сразу открывалась страница с картой этого гешевта/клиента.

                  Или вот недавно на хабре.
                    0
                    Ну все, можно пачку копий левый ключей, нацепить вредоносных брелков… и вперед расбрасывать где попало…
                    Куда эффективнее флешек наверное будет
                    +3
                    Офигеть! Спасибо! Давно хотел как-то стилизовать пароль на домашний вайфай для гостей. Теперь это будет огромный QR-код! Правда, спасибо!
                      0
                      Я давно себе сделал картинку с домашнем WiFi, только для генерации я пользовался бесплатным приложением для Android: Barcode Generator / Reader
                        0
                        Мне мой ISP, вместе с pre-configured модемом выдал пластиковую карточку, при подключении, где пароль от точки доступа написан, и QR код, который андроид прекрасно понимает и удобно подключает — удобно одним словом :)
                    +10
                    Это объясняется высоким уровнем доверия к информации, висящей например внутри крупного банка.

                    Мне интересно, как злоумышленник подсовывает свой QR-код на плакат внутри отделения банка. Это то есть он подходит к охранику и спрашивает: «вы бы не могли подержать стекло, пока я вам наклеечку поменяю»?
                      –16
                      «У меня уже всё стекло, не надо мне ничего менять, вон иди на плакатах тренируйся...»
                        +5
                        Это то есть он подходит к охранику
                        Никогда не видел охранников в банках в Германии. Может быть они и сидят где-то в подсобке за мониторами камер наблюдения, но сомневаюсь, что в каждом филиале сидит по охраннику.
                        Предбанник с банкоматами и плакатами открыт круглосуточно — можно зайти в капюшоне, чтобы лица на видеозаписи не разобрать, и наклеить бумажку с кодом.
                          +14
                          1) В Европе банки, в большинстве своем, не охраняются. Камеры есть правда, но в основном они концентируются вокруг банковских автоматов.
                          2) Вечером, после закрытия, можно зайти в пустой банк, просто используя банковскую карточку как ключ (например чтоб снять деньги, или чтобы распечатать вытяжку со счета).
                          3) Злоумышленники умудряются навесить сканеры на банковские автоматы — а вы про стикер переклеить спрашиваете… Смешно право.
                            0
                            Нет, как раз как поставить сканер на банкомат я вполне представляю — закрываешь спиной или камеру жвачкой залепливаешь и делаешь, что хочешь. А доход от такой операции сразу очень приличный получается. Банки же, по идее, — это всё-таки охраняемая территория, где риск быть пойманным значительно выше, особенно если придётся снимать стекло, а сколько людей поведутся на такой фишинг — непонятно. У меня на телефоне, например, QR-ридер только считывает зашифрованный текст, и если это URL, то вбивать его в браузер приходится всё равно самому. (Хотя, возможно, я просто отстаю от прогресса :))
                              0
                              Да никто не снимал стекло… см. коммент ниже.
                                +1
                                А, простите, я подумал, что со внешним стеклом — это частный случай, а в других случаях клеят и под стекло, например, на доске объявлений.
                                0
                                «У меня на телефоне, например, QR-ридер только считывает зашифрованный текст, и если это URL, то вбивать его в браузер приходится всё равно самому. (Хотя, возможно, я просто отстаю от прогресса :)) „

                                Всё зависит от QR-клиента.
                              +1
                              И кстати во втором случае это было внешнее стекло (на внешней стене), т.е. стикер зеркальный, для тех кто с улицы.
                                0
                                В банках стекла не моют? Это конечно же не намек, а так, предположение…
                                +3
                                Глядишь скоро на МКАДе начнут плакаты от имени банка развешивать: «Считай код и получи 1000 рублей на счет!»
                                  +23
                                  «Если кто-то считает код, то кто-то получит 1000 рублей на счет.» :)
                                    +8
                                    А если каждому пятитысячному эту тысячу зачислять, а у остальных забирать, то можно это дело зарегистрировать как лотерею и вообще легально всё будет
                                      0
                                      Зарегистрировать лотерею легально — а вы как-нибудь попробуйте… (гемороя оберетесь по самые нехочу).
                                    +1
                                    Или «Я раньше работал в компании Мегафон но меня уволили...»
                                    0
                                    Прикольно, но вот как бороться-то с этим? Ведь QR-код можно наклеить и просто на любой плакат, который изначально его не имел, поэтому не печатать QR-код — это не выход из проблемы. Подписывать их что ли?
                                      0
                                      Цветной QR-код или QR-код со внедренным логотипом компании: такие будет сложнее подделать.
                                        +31
                                        Если злоумышленники просто наклеивают свой код поверх, то не важно с какой защитой был исходный.
                                        0
                                        gliffer.ru/articles/diy-ili-sdelay-sam--perevod-kak-razmestit-kartinku-vnutri-qr-koda/
                                        Что-то вроде такого, хотя бы. Правда, от целенаправленного злоумышления против конкретной компании это не спасет.
                                          +1
                                          Убрать все плакаты в досягаемости для людей.
                                          0
                                          Что ж, единственный выход — защита на уровне софта. Во «взрослых» браузерах есть защита от фишинга, встроенная и в виде расширений. А как с этим в мобильных аналогах?
                                            0
                                            единственный выход — защита на уровне софта
                                            Да хоть на уровне харда.
                                            У меня например на отдном почтовом ящике есть защита от спама. Софтина по вашему выражению «взрослая» + SpamAssasin на сервере + защита провайдера. Все равно раз/два в день во входящие прилетает спам.
                                            Т.е. такая защита конечно лишней не будет, но далеко не панацея — ваш комменарий звучит примерно как:
                                            — На компе антивирус — ни один вирус не пройдет.
                                            — На сервере fail2ban, XSS/CSRF и со фильтры и т.д. — никто не пролезет.
                                              0
                                              «Единственная» в том плане, что лишь её можно применить в кратчайшие сроки. Хардварные решения внедрять гораздо дольше.

                                              А какую защиту предложите вы?
                                                +1
                                                Дополнительно к вашему предложению:
                                                1) Вниматильность и осторожность;
                                                2) Контроль URL;
                                                3) Пользоваться браузером на котором URL не скрывается или висит вверху хотя бы несколько секунд по показу странички;
                                                4) Совсем хордкорно — централизованая выдача и/или подпись QR. (Что-то типа https сертификата).
                                                  0
                                                  1-2. Это поможет только если URL сайта знаком.
                                                  3. Половинчатое решение.
                                                  4. Даже теоретически нереально, имхо. QR технология не для того создавалась.
                                                    0
                                                    QR технология это просто другой формат штрих кода…
                                                    Я вам про уровень доверия: https страница подписаная легальным сертификатом вызывает больше доверия чем https страница с самоподписаным.
                                                    И да, я представляю себе всю сложность сего действа — потому и написал что хардкорно.
                                                      0
                                                      Я вам про уровень доверия: https страница подписаная легальным сертификатом вызывает больше доверия чем https страница с самоподписаным.
                                                      HTTPS это HTTPS. К QR коду он отношения ведь не имеет.
                                                        0
                                                        Но тот же принцип может быть использован, чтобы подписывать QR, чтоб показать что оно легально. Кстати неплохой бизнес может получиться, да еще если законодательно обязать крупные фирмы делать это — (мечтательно) иду патентовать идею…
                                                          0
                                                          QR в описанном сценарии работает как простая ссылка на сайт фишеров.

                                                          Пусть это должна будет быть ссылка на HTTPS с нормальным сертификатом, а URL ссылки или хотя бы домен большими буквами принудительно отображается для пользователя с вопросом «вы уверены?». Это — вопрос политик безопасности мобильных браузеров, открывающих ссылки из QR-кодов.
                                                          Тогда уровень безопасности будет такой же, как в случае открытия обычной ссылки на десктопном компьютере, а может быть и выше.
                                                            0
                                                            Представте что Урл отличается одной буквой, а ссылка не https или сертификат поддельный — браузер тогда промолчит… дальше думаю ясно…
                                                              0
                                                              И что? Эта проблема не новая, она ровно в том же виде существует уже давно на десктопе. Эта проблема решается браузерами — в них есть защита от фишинга, которую можно так же встроить в мобильные браузеры.

                                                              Видимо вы не поняли сразу мысль, которую я хотел передать: следует на уровне политики безопасности браузера телефона/планшета считать QR-коды ненадёжными источниками, и предъявлять к ним повышенные требования — например, проверять адрес на фишинг, громко ругаться, если по ссылке встретились какие-то проблемы типа кривого сертификата или странной «опечатки» в имени домена.

                                                              Это означает некое обновление безопасности для всех этих мобильных браузеров. Возможно, отдельную настроку «отключить фильтр фишинга даже для адресов, полученных из QR-кодов» для любителей экономить мобильный трафик.
                                                                +2
                                                                проверять адрес на фишинг
                                                                Вы один из тех, кто чувствует себя защищенным за антивирусом? Простите, но просто наивно как-то звучит…
                                                                Кроме того, сцена фишинга гораздо мобильнее, чем вы думаете… новые адреса появляются прежде чем в ваш blacklist успеют предпредыдущие внести. whitelist слишком хардкорно.
                                                                Насчет сертификатов, я уже писал выше — http например их не требует вовсе.
                                                                И каким интересно способом можно узнать, что сертификат левый — если он легальено подписан. Год назад был скандал (ссылку не найду), вот два года назад еще
                                                                странной «опечатки» в имени домена.
                                                                Я вам лучше просто пример приведу:
                                                                www.volkswagenbank.de?po=5
                                                                www.volkswagenbank-de.ro?...
                                                                www.volkswagenbank.ro?5
                                                                www.vw-bank.de?...
                                                                
                                                                Два из них легальны — два нет. Какие? Только я вам вместо 4, через 20 минут 444 на выбор «сгенерирую». Капчи и те ломают…

                                                                Компьютер хоть и умная скотина, но все же не человек: в шахматы играет, а вот обманывать не научили.
                                                                  0
                                                                  Можно подписывать информацию в QR-коде. Тогда будет ясно, чей это QR, ещё до открытия браузера.
                                                                    0
                                                                    кэп… вам сюда
                                                                    Вся проблема не в том, чтоб подписать, а чтоб не дать это сделать злоумышленнику…
                                                                      0
                                                                      Представьте, что вы — злоумышленник. А подпишите ка этот комментарий закрытым ключом Гула! Удачи.
                                                                        0
                                                                        Ну и что мне с того, что вы подпишите этот коммет вашим ключом:
                                                                        1) Вы НЕ злоумышленник, но воспользоваться ключем Гугля тоже не сможете;
                                                                        2) Вашего открытого ключа никто не знает
                                                                        3) Ваш коммент переклеен, какая разница каким вообще ключем он был подписан.
                                                                        Капитанить, блин, не подумав, очень легко…
                                                                          –1
                                                                          Ну, во первых, открытый ключ он на то и открытый, что бы каждый желающий мог его получить.
                                                                          Во вторых, ссылка подписывается ЗАКРЫТЫМ ключом той компании, которая размещает информацию. У любой, уважающей себя компании, есть сертификаты, выданные центами сертификаций. Подделать такую подпись нелегко. А ридер проверяет цифровую подпись, если неверна — в топку ссылку. Без подписи (фишинговую) тоже в топку.

                                                                          Для самодельных кодов (например дома настройки wifi в виде QR оформили) можно force-режим сканера использовать.

                                                                          Делов то.
                                                                            –1
                                                                            А ридер проверяет цифровую подпись
                                                                            Дак он и проверит «легальную» подпись фишера — ведь он же не знает что под этим кодом другой. Блин, устал разжевывать, еще раз перечитайте п. 3 ответом выше. И не пишите больше вещи, о которых не имеете ни малейшего понятия.
                                                                              –1
                                                                              Пусть переклееный код. Но данные в этом коде будут без ЭЦП. Тогда эти данные можно смело отбраковывать.
                                                                                –1
                                                                                А у фишера даже если будет ЭЦП, она будет недействительна. Либо после нескольких жалоб просто отзовут сертификат. Вы вообще представляете себе что такое центры сертификации и для чего они нужны?
                                                                                  0
                                                                                  Ааа, наконец то добрался до сертификатов — а теперь возми с полки пирожок, промотай эту ветку наверх, смотри п. 4, где я про них уже прошелся и мы со взрослыми дядями это уже обсудили.
                                                                          0
                                                                          Глубина комментариев закончилась. Не обращайте внимание.
                                                    0
                                                      0
                                                      Ну, как идея: внедрить в популярные читалки qr-кодов геопривязку и статистику. Плюс возможность отметить код как фишинговый.

                                                      Т.е., допустим, вы открываете ссылку с плаката, если ссылка новая, то на сервер отправляется скриншот (на нём же будет немного захвачена область помимо qr-кода), по нему + геопривязке можно сопоставлять коды и плакаты. Ну и отслеживать изменение кодов и соответственно реагировать.
                                                      0
                                                      Да уж, если код в банке под стеклом, «ошибку» в одной букве мало кто заметит.
                                                      Интересно: в случае если мошенники этим таки воспользуются, банк можно будет засудить за распространение малвари?
                                                        0
                                                        Думаю хлопотно очень — прокурору и вам нужно будет доказать умысел банка (которого не было), в лучшем случае холатность, я думаю.
                                                      • НЛО прилетело и опубликовало эту надпись здесь
                                                          +1
                                                          А кто-то кроме меня полез сразу смотреть, что на QR-коде в начале статьи?
                                                            +7
                                                            У одного увели и поменяли все пароли сохраненные в браузере телефона, после посещения рекламирующего фильм сайта, с QR-кода снятого в аэропорту Франкфурта. По прилету в Гамбург уже не мог зайти никуда;

                                                            Это что за жуткая уязвимость такая и где? Как можно отдать сохраненные в браузере пароли, просто перейдя по ссылке? Как-то плохо верится в такой ход событий.
                                                              0
                                                              Аэропорт, делать нечего — решил посмотреть трейлер к фильму. Так что подозрение на флэш плеер. Подробности попробую уточнить…
                                                                +1
                                                                Уточнил: фишинговая страница была сделана на cinemaxx.de (известная немецкая сеть кинотеатров). УРЛ был вида "m[hex].[cinemaxx].de/[anything]?(swf|video)?movie=..." что там на самом деле было вместо cinemaxx выяснить не представляется возможным (а жаль), т.к. он позже с перепугу сбросил телефон на заводские установки.
                                                                Кстати, видео он так и не дождался, списав это на медленную скорость/загруженность в аэропорту. Единственный способ, как мне видится, это найти ту рекламе (QR-код). Только он не помнит точно, где он снял QR-код. А если кто был во Франкфурте — это как десять Шереметьего вместе с Домодедовыми (ну очень большой). Да и прошло уже больше месяца — рекламу уже наверно заклеили или ту дыру во флэше закрыли.
                                                                Такие дела.
                                                              +1
                                                              А как происходит, собственно, заражение? QR-код — это ведь просто ссылка, которая открывается в браузере. Вроде бы само по себе открытие ссылки должно быть безопасным.
                                                              А если по ссылке был фишинговый сайт, то ситуация ничем не отличается от фишинговых ссылок в интрнете или спаме.
                                                                0
                                                                Ну в принципе вы правы, отличается только уровнем доверия: ссылку в Гугле или Яндексе вы обсмотрите пару раз, ссылке (QR) размещенной в банке, согласитесь, доверия больше — можно под лупой не разглядывать.
                                                                  +2
                                                                  Вроде бы само по себе открытие ссылки должно быть безопасным.

                                                                  Как бы не так. Есть, например, уязвимости браузера, плагинов, etc.
                                                                  +4
                                                                  Великолепно! А что, если расклеивать QR-Код с моей аватарки (та самая уязвимость в Galaxy SIII, которая обнуляла устройство)?
                                                                    0
                                                                    Осталось еще штрихкоды в супермаркете переклеивать, на дорогие продукты, что бы на кассе пробивать их по цене спичек. Жалко в России пока кассиры дотошные. :)
                                                                      0
                                                                      Это просто вы жадный. Штрихкоды нужно переклеивать не со спичек, а с той же группы товаров, но подешевле.
                                                                      0
                                                                      Как защититься, кроме «не пользоваться»?
                                                                        0
                                                                        Проверять URL перед переходом, основываясь на собственных знаниях или совету сотрудника?
                                                                          +1
                                                                          Сам не обладаю смартфоном, но из того, что видел: адрес показывается перед загрузкой страницы, но странная любовь всяких контор регистрировать под акцию новый домен типа акция(организация, магазин)-promo.ru (к примеру, Респект от Сбербанка), которые потом ещё и через официальный сайт фиг найдёшь — всё это изначально не вызывает доверия. Особенно, когда на листовке нет русскими буквами реального адреса куда ты должен попасть по этому коду.
                                                                        –2
                                                                        бхаха!
                                                                          0
                                                                          первое решение от этого фишинга, что приходит мне в голову, делать QR коды частью дизайна плаката. Ну чтобы он как-то, ну не знаю, вписывался в окружение, что ли… Переклеивать фишинговый стикер на прозрачной плёнке не получится, просто с белыми краями — будет видно, подделывать фон кода, чтобы он вписался в окружающий дизайн плаката — хлопотно.

                                                                          Но в целом да, очень жаль, что есть люди, которые порят такие отличные идеи. Как не крути, в некоторых случаях эти коды действительно делают нашу жизнь удобнее.

                                                                          Кстати, настало время пристальнее посмотреть в сторону NFC тэгов? :)
                                                                            0
                                                                            А их не будут подделывать?
                                                                              0
                                                                              я согласен, что это не панацея, но подделать их труднее, как мне кажется. Тэг можно защитить от перезаписи, а наклеить фишинговый «поверх» вряд ли получится (хотя я не пробовал). По крайней мере, обычно чип с тегом клеят под плакат и его не видно. Чтобы его заменить, нужно как-то расковырять наклееный плакат. Если он под стеклом — сделать это уже нереально.
                                                                                0
                                                                                Поверх стекла и старый отрывать не понадобится.
                                                                            0
                                                                            я тут на досуге подумал, а что если сделать из длинных узких пластин решётку и поместить её поверх кода? Таким образом, она и не позволит заменить код на фишинговый, и мешать считыванию не будет :) Ну просто как идея.
                                                                            Что-то типа того:

                                                                            Qr code protection
                                                                              0
                                                                              Линк сломался. Новый:

                                                                              Qr code protection
                                                                                0
                                                                                Злоумышленник убрает решетку, клеит свой код поверх…
                                                                                Вопрос, откуда пользователь должен знать, что оригинал был «защищен» решеткой?
                                                                                  0
                                                                                  а если решётка на заклёпках или на каких-нить более-менее прочных декоративных замочках?

                                                                                  Другой вариант: есть такая фирма, которая специализируется на билбордах — JСDecaux, у нас в городе на остановках стоят их щиты. Так вот там плакаты вешаются за стекло, и изнутри подсвечивается лампой. Самый толковый вариант: на стекло не наклеить — будет видно сразу же. И даже если злоумышленник сможет открыть стекло, то клеить свой фишинговый код поверх плаката не имеет смысла — вечером включится подсветка изнутри и наклейка будет сразу видна.
                                                                                +1
                                                                                Отличный кейс для создания стартапа!
                                                                                Ловите идею — хабрапиплы!
                                                                                Только костяк — мясо додумывайте сами!
                                                                                Можно написать QR читалку, которая обрабатывает только зарегистрированные у себя QR коды.
                                                                                Регулярно производит сканирование ресурсов на которые редиректит.
                                                                                Ведет рейтинг трастовости ресурсов.

                                                                                P.S.
                                                                                qrsecure.ru — ещо свободен!
                                                                                  –1
                                                                                  а вот в QR код в Беларуси qrcode.by/
                                                                                    +1
                                                                                    А я хотел использовать этот метод ещё год назад для продвижения своего сайта расписаний фильмов (агрегатор по всем кинотеатрам города), в моём родном городе O на рекламных плакатах фильмов раньше не висело вообще никаких QR кодов.

                                                                                    Не стал, т.к. решил что это не очень честно по отношению к кинотеатрам, без их согласия. И в то же время — не очень удобно пользователю, если ссылки бы всегда были бы на главную, поэтому нужно было бы делать для каждого фильма свою наклейку с кодом, который бы вел на страницу этого фильма, что было очень накладно в плане производительности (куча времени бы на это уходило), поэтому я оставил эту идею до лучших времён)

                                                                                    Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                                                    Самое читаемое