Senior software developer
0,1
рейтинг
11 января 2013 в 18:46

Разработка → Фишинг: Новый тренд — переклейка QR кодов в общественных местах


День добрый,
сим постом хочу предупредить русскоязычное сообщество о новой фишинг тенденции, семимильными шагами двигающейся по Европе. В настоящее время накрыло Германию. Думаю такими темпами очень быстро доберется до России и СНГ.

Смысл в том, что QR-код на плакате в аэропорту, рекламной брошюре у врача или например на информационном стикере, висящем в банке, аккуратно заклеивается другим, который ведет соответственно на злостную страничку фишера. Иногда он даже вырезается и вклеивается новый, например изнутри банка, на плакате за стеклом на внешней стене или входной двери. Снаружи такая переклейка практически не заметна под стеклом и не вызывает никаких сомнений, что QR-код принадлежит банку.

На такую уловку попадаются даже люди, серьезно относящиеся к безопасности своих данных, например проверяющие URL в браузерах перед оплатой PayPal и т.д. Это объясняется высоким уровнем доверия к информации, висящей например внутри крупного банка.

Из моих знакомых имеем уже два случая:
— У одного увели и поменяли все пароли сохраненные в браузере телефона, после посещения рекламирующего фильм сайта, с QR-кода снятого в аэропорту Франкфурта. По прилету в Гамбург уже не мог зайти никуда; (UPD) Подробности в коментарии…
— Друга моего второго закомого накрыло серьезней. Он, увидев в банке «распродажу» новой версии StarMoney со скидкой (популярная в Германии банковская программа aka Home Banking), решил купить ее по телефону — QR с плаката и т.д. Результат — уведенный PayPal пароль и некоторое количество денежных средств, списаных PayPal-м со счета.
Кстати, все могло закончиться для него гораздо хуже — StarMoney распростроняется download-ом. Т.е. ему могли вообще прислать левый URL на троянскую StarMoney — тогда пришел бы белый пушной зверь вообще всем его счетам.

Так что будьте бдительны и обязательно расскажите своим домочадцам!
Serg G. Brester @sebres
карма
124,5
рейтинг 0,1
Senior software developer
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Реклама

Самое читаемое Разработка

Комментарии (88)

  • +12
    Уже добралось, можно сказать. На днях в московском метро видел подобное на рекламе в вагонах.
    • +3
      Читатели Хабра проводят тестирование в поле
  • +14
    Кто-то ими пользуется?
    • +8
      А для кого, как вы думаете, оно делается?
      • 0
        загляните например сюда — QR Droid (Deutsch) — миллионы скачиваний, и это только немецкая версия.
        • 0
          У меня по ссылке «QR Droid (Pусский)», просто Вы, видимо, из Германии заходите. Соответственно статистика по скачиваниям общая.
          • +4
            Честно говоря статистика эта не о чем. То что у этого приложения (а тем более у бесплатного) много скачиваний совсем не говорит о том, что много людей им пользуется.
            • 0
              Вообще-то правда. Но таких программ десятки — и у каждой такая «статистика».
    • +11
      Охо! Ещё как! И знаете, это очень удобно! Например быстро добавить контакт или установить приложение из google play.
      • +10
        А ещё с помощью QR кода можно предоставлять доступ к WiFi сетям для телефонов на ОС Android (возможно, телефоны на других ОС так тоже умеют).
        Возможно, со временем, способов применения этих кодов будет всё больше и больше.
        • +1
          Не знал про такую возможность. Спасибо! Однозначно в мемориз!
        • 0
          Это ж штрих код — способов и так масса. Например, как-то писал для одной фирмы приложение, где в коде «пряталась» информацию о клиенте + URL с идентификатором веб-приложения, и после распечатки оно наклеивалось на документ / папку.
          Отсканировав его, сразу открывалась страница с картой этого гешевта/клиента.

          Или вот недавно на хабре.
          • 0
            Ну все, можно пачку копий левый ключей, нацепить вредоносных брелков… и вперед расбрасывать где попало…
            Куда эффективнее флешек наверное будет
        • +3
          Офигеть! Спасибо! Давно хотел как-то стилизовать пароль на домашний вайфай для гостей. Теперь это будет огромный QR-код! Правда, спасибо!
        • 0
          Я давно себе сделал картинку с домашнем WiFi, только для генерации я пользовался бесплатным приложением для Android: Barcode Generator / Reader
        • 0
          Мне мой ISP, вместе с pre-configured модемом выдал пластиковую карточку, при подключении, где пароль от точки доступа написан, и QR код, который андроид прекрасно понимает и удобно подключает — удобно одним словом :)
  • +10
    Это объясняется высоким уровнем доверия к информации, висящей например внутри крупного банка.

    Мне интересно, как злоумышленник подсовывает свой QR-код на плакат внутри отделения банка. Это то есть он подходит к охранику и спрашивает: «вы бы не могли подержать стекло, пока я вам наклеечку поменяю»?
    • –16
      «У меня уже всё стекло, не надо мне ничего менять, вон иди на плакатах тренируйся...»
    • +5
      Это то есть он подходит к охранику
      Никогда не видел охранников в банках в Германии. Может быть они и сидят где-то в подсобке за мониторами камер наблюдения, но сомневаюсь, что в каждом филиале сидит по охраннику.
      Предбанник с банкоматами и плакатами открыт круглосуточно — можно зайти в капюшоне, чтобы лица на видеозаписи не разобрать, и наклеить бумажку с кодом.
    • +14
      1) В Европе банки, в большинстве своем, не охраняются. Камеры есть правда, но в основном они концентируются вокруг банковских автоматов.
      2) Вечером, после закрытия, можно зайти в пустой банк, просто используя банковскую карточку как ключ (например чтоб снять деньги, или чтобы распечатать вытяжку со счета).
      3) Злоумышленники умудряются навесить сканеры на банковские автоматы — а вы про стикер переклеить спрашиваете… Смешно право.
      • 0
        Нет, как раз как поставить сканер на банкомат я вполне представляю — закрываешь спиной или камеру жвачкой залепливаешь и делаешь, что хочешь. А доход от такой операции сразу очень приличный получается. Банки же, по идее, — это всё-таки охраняемая территория, где риск быть пойманным значительно выше, особенно если придётся снимать стекло, а сколько людей поведутся на такой фишинг — непонятно. У меня на телефоне, например, QR-ридер только считывает зашифрованный текст, и если это URL, то вбивать его в браузер приходится всё равно самому. (Хотя, возможно, я просто отстаю от прогресса :))
        • 0
          Да никто не снимал стекло… см. коммент ниже.
          • +1
            А, простите, я подумал, что со внешним стеклом — это частный случай, а в других случаях клеят и под стекло, например, на доске объявлений.
        • 0
          «У меня на телефоне, например, QR-ридер только считывает зашифрованный текст, и если это URL, то вбивать его в браузер приходится всё равно самому. (Хотя, возможно, я просто отстаю от прогресса :)) „

          Всё зависит от QR-клиента.
    • +1
      И кстати во втором случае это было внешнее стекло (на внешней стене), т.е. стикер зеркальный, для тех кто с улицы.
    • 0
      В банках стекла не моют? Это конечно же не намек, а так, предположение…
  • +3
    Глядишь скоро на МКАДе начнут плакаты от имени банка развешивать: «Считай код и получи 1000 рублей на счет!»
    • +23
      «Если кто-то считает код, то кто-то получит 1000 рублей на счет.» :)
      • +8
        А если каждому пятитысячному эту тысячу зачислять, а у остальных забирать, то можно это дело зарегистрировать как лотерею и вообще легально всё будет
        • 0
          Зарегистрировать лотерею легально — а вы как-нибудь попробуйте… (гемороя оберетесь по самые нехочу).
    • +1
      Или «Я раньше работал в компании Мегафон но меня уволили...»
  • 0
    Прикольно, но вот как бороться-то с этим? Ведь QR-код можно наклеить и просто на любой плакат, который изначально его не имел, поэтому не печатать QR-код — это не выход из проблемы. Подписывать их что ли?
    • 0
      Цветной QR-код или QR-код со внедренным логотипом компании: такие будет сложнее подделать.
      • +31
        Если злоумышленники просто наклеивают свой код поверх, то не важно с какой защитой был исходный.
    • 0
      gliffer.ru/articles/diy-ili-sdelay-sam--perevod-kak-razmestit-kartinku-vnutri-qr-koda/
      Что-то вроде такого, хотя бы. Правда, от целенаправленного злоумышления против конкретной компании это не спасет.
    • +1
      Убрать все плакаты в досягаемости для людей.
  • 0
    Что ж, единственный выход — защита на уровне софта. Во «взрослых» браузерах есть защита от фишинга, встроенная и в виде расширений. А как с этим в мобильных аналогах?
    • 0
      единственный выход — защита на уровне софта
      Да хоть на уровне харда.
      У меня например на отдном почтовом ящике есть защита от спама. Софтина по вашему выражению «взрослая» + SpamAssasin на сервере + защита провайдера. Все равно раз/два в день во входящие прилетает спам.
      Т.е. такая защита конечно лишней не будет, но далеко не панацея — ваш комменарий звучит примерно как:
      — На компе антивирус — ни один вирус не пройдет.
      — На сервере fail2ban, XSS/CSRF и со фильтры и т.д. — никто не пролезет.
      • 0
        «Единственная» в том плане, что лишь её можно применить в кратчайшие сроки. Хардварные решения внедрять гораздо дольше.

        А какую защиту предложите вы?
        • +1
          Дополнительно к вашему предложению:
          1) Вниматильность и осторожность;
          2) Контроль URL;
          3) Пользоваться браузером на котором URL не скрывается или висит вверху хотя бы несколько секунд по показу странички;
          4) Совсем хордкорно — централизованая выдача и/или подпись QR. (Что-то типа https сертификата).
          • 0
            1-2. Это поможет только если URL сайта знаком.
            3. Половинчатое решение.
            4. Даже теоретически нереально, имхо. QR технология не для того создавалась.
            • 0
              QR технология это просто другой формат штрих кода…
              Я вам про уровень доверия: https страница подписаная легальным сертификатом вызывает больше доверия чем https страница с самоподписаным.
              И да, я представляю себе всю сложность сего действа — потому и написал что хардкорно.
              • 0
                Я вам про уровень доверия: https страница подписаная легальным сертификатом вызывает больше доверия чем https страница с самоподписаным.
                HTTPS это HTTPS. К QR коду он отношения ведь не имеет.
                • 0
                  Но тот же принцип может быть использован, чтобы подписывать QR, чтоб показать что оно легально. Кстати неплохой бизнес может получиться, да еще если законодательно обязать крупные фирмы делать это — (мечтательно) иду патентовать идею…
                  • 0
                    QR в описанном сценарии работает как простая ссылка на сайт фишеров.

                    Пусть это должна будет быть ссылка на HTTPS с нормальным сертификатом, а URL ссылки или хотя бы домен большими буквами принудительно отображается для пользователя с вопросом «вы уверены?». Это — вопрос политик безопасности мобильных браузеров, открывающих ссылки из QR-кодов.
                    Тогда уровень безопасности будет такой же, как в случае открытия обычной ссылки на десктопном компьютере, а может быть и выше.
                    • 0
                      Представте что Урл отличается одной буквой, а ссылка не https или сертификат поддельный — браузер тогда промолчит… дальше думаю ясно…
                      • 0
                        И что? Эта проблема не новая, она ровно в том же виде существует уже давно на десктопе. Эта проблема решается браузерами — в них есть защита от фишинга, которую можно так же встроить в мобильные браузеры.

                        Видимо вы не поняли сразу мысль, которую я хотел передать: следует на уровне политики безопасности браузера телефона/планшета считать QR-коды ненадёжными источниками, и предъявлять к ним повышенные требования — например, проверять адрес на фишинг, громко ругаться, если по ссылке встретились какие-то проблемы типа кривого сертификата или странной «опечатки» в имени домена.

                        Это означает некое обновление безопасности для всех этих мобильных браузеров. Возможно, отдельную настроку «отключить фильтр фишинга даже для адресов, полученных из QR-кодов» для любителей экономить мобильный трафик.
                        • +2
                          проверять адрес на фишинг
                          Вы один из тех, кто чувствует себя защищенным за антивирусом? Простите, но просто наивно как-то звучит…
                          Кроме того, сцена фишинга гораздо мобильнее, чем вы думаете… новые адреса появляются прежде чем в ваш blacklist успеют предпредыдущие внести. whitelist слишком хардкорно.
                          Насчет сертификатов, я уже писал выше — http например их не требует вовсе.
                          И каким интересно способом можно узнать, что сертификат левый — если он легальено подписан. Год назад был скандал (ссылку не найду), вот два года назад еще
                          странной «опечатки» в имени домена.
                          Я вам лучше просто пример приведу:
                          www.volkswagenbank.de?po=5
                          www.volkswagenbank-de.ro?...
                          www.volkswagenbank.ro?5
                          www.vw-bank.de?...
                          
                          Два из них легальны — два нет. Какие? Только я вам вместо 4, через 20 минут 444 на выбор «сгенерирую». Капчи и те ломают…

                          Компьютер хоть и умная скотина, но все же не человек: в шахматы играет, а вот обманывать не научили.
                        • 0
                          Можно подписывать информацию в QR-коде. Тогда будет ясно, чей это QR, ещё до открытия браузера.
                          • 0
                            кэп… вам сюда
                            Вся проблема не в том, чтоб подписать, а чтоб не дать это сделать злоумышленнику…
                            • 0
                              Представьте, что вы — злоумышленник. А подпишите ка этот комментарий закрытым ключом Гула! Удачи.
                              • 0
                                Ну и что мне с того, что вы подпишите этот коммет вашим ключом:
                                1) Вы НЕ злоумышленник, но воспользоваться ключем Гугля тоже не сможете;
                                2) Вашего открытого ключа никто не знает
                                3) Ваш коммент переклеен, какая разница каким вообще ключем он был подписан.
                                Капитанить, блин, не подумав, очень легко…
                                • –1
                                  Ну, во первых, открытый ключ он на то и открытый, что бы каждый желающий мог его получить.
                                  Во вторых, ссылка подписывается ЗАКРЫТЫМ ключом той компании, которая размещает информацию. У любой, уважающей себя компании, есть сертификаты, выданные центами сертификаций. Подделать такую подпись нелегко. А ридер проверяет цифровую подпись, если неверна — в топку ссылку. Без подписи (фишинговую) тоже в топку.

                                  Для самодельных кодов (например дома настройки wifi в виде QR оформили) можно force-режим сканера использовать.

                                  Делов то.
                                  • –1
                                    А ридер проверяет цифровую подпись
                                    Дак он и проверит «легальную» подпись фишера — ведь он же не знает что под этим кодом другой. Блин, устал разжевывать, еще раз перечитайте п. 3 ответом выше. И не пишите больше вещи, о которых не имеете ни малейшего понятия.
                                    • –1
                                      Пусть переклееный код. Но данные в этом коде будут без ЭЦП. Тогда эти данные можно смело отбраковывать.
                                    • –1
                                      А у фишера даже если будет ЭЦП, она будет недействительна. Либо после нескольких жалоб просто отзовут сертификат. Вы вообще представляете себе что такое центры сертификации и для чего они нужны?
                                      • 0
                                        Ааа, наконец то добрался до сертификатов — а теперь возми с полки пирожок, промотай эту ветку наверх, смотри п. 4, где я про них уже прошелся и мы со взрослыми дядями это уже обсудили.
                            • 0
                              Глубина комментариев закончилась. Не обращайте внимание.
    • 0
    • 0
      Ну, как идея: внедрить в популярные читалки qr-кодов геопривязку и статистику. Плюс возможность отметить код как фишинговый.

      Т.е., допустим, вы открываете ссылку с плаката, если ссылка новая, то на сервер отправляется скриншот (на нём же будет немного захвачена область помимо qr-кода), по нему + геопривязке можно сопоставлять коды и плакаты. Ну и отслеживать изменение кодов и соответственно реагировать.
  • 0
    Да уж, если код в банке под стеклом, «ошибку» в одной букве мало кто заметит.
    Интересно: в случае если мошенники этим таки воспользуются, банк можно будет засудить за распространение малвари?
    • 0
      Думаю хлопотно очень — прокурору и вам нужно будет доказать умысел банка (которого не было), в лучшем случае холатность, я думаю.
  • НЛО прилетело и опубликовало эту надпись здесь
  • +1
    А кто-то кроме меня полез сразу смотреть, что на QR-коде в начале статьи?
  • +7
    У одного увели и поменяли все пароли сохраненные в браузере телефона, после посещения рекламирующего фильм сайта, с QR-кода снятого в аэропорту Франкфурта. По прилету в Гамбург уже не мог зайти никуда;

    Это что за жуткая уязвимость такая и где? Как можно отдать сохраненные в браузере пароли, просто перейдя по ссылке? Как-то плохо верится в такой ход событий.
    • 0
      Аэропорт, делать нечего — решил посмотреть трейлер к фильму. Так что подозрение на флэш плеер. Подробности попробую уточнить…
      • +1
        Уточнил: фишинговая страница была сделана на cinemaxx.de (известная немецкая сеть кинотеатров). УРЛ был вида "m[hex].[cinemaxx].de/[anything]?(swf|video)?movie=..." что там на самом деле было вместо cinemaxx выяснить не представляется возможным (а жаль), т.к. он позже с перепугу сбросил телефон на заводские установки.
        Кстати, видео он так и не дождался, списав это на медленную скорость/загруженность в аэропорту. Единственный способ, как мне видится, это найти ту рекламе (QR-код). Только он не помнит точно, где он снял QR-код. А если кто был во Франкфурте — это как десять Шереметьего вместе с Домодедовыми (ну очень большой). Да и прошло уже больше месяца — рекламу уже наверно заклеили или ту дыру во флэше закрыли.
        Такие дела.
  • +1
    А как происходит, собственно, заражение? QR-код — это ведь просто ссылка, которая открывается в браузере. Вроде бы само по себе открытие ссылки должно быть безопасным.
    А если по ссылке был фишинговый сайт, то ситуация ничем не отличается от фишинговых ссылок в интрнете или спаме.
    • 0
      Ну в принципе вы правы, отличается только уровнем доверия: ссылку в Гугле или Яндексе вы обсмотрите пару раз, ссылке (QR) размещенной в банке, согласитесь, доверия больше — можно под лупой не разглядывать.
    • +2
      Вроде бы само по себе открытие ссылки должно быть безопасным.

      Как бы не так. Есть, например, уязвимости браузера, плагинов, etc.
  • +4
    Великолепно! А что, если расклеивать QR-Код с моей аватарки (та самая уязвимость в Galaxy SIII, которая обнуляла устройство)?
  • 0
    Осталось еще штрихкоды в супермаркете переклеивать, на дорогие продукты, что бы на кассе пробивать их по цене спичек. Жалко в России пока кассиры дотошные. :)
    • 0
      Это просто вы жадный. Штрихкоды нужно переклеивать не со спичек, а с той же группы товаров, но подешевле.
  • 0
    Как защититься, кроме «не пользоваться»?
    • 0
      Проверять URL перед переходом, основываясь на собственных знаниях или совету сотрудника?
      • +1
        Сам не обладаю смартфоном, но из того, что видел: адрес показывается перед загрузкой страницы, но странная любовь всяких контор регистрировать под акцию новый домен типа акция(организация, магазин)-promo.ru (к примеру, Респект от Сбербанка), которые потом ещё и через официальный сайт фиг найдёшь — всё это изначально не вызывает доверия. Особенно, когда на листовке нет русскими буквами реального адреса куда ты должен попасть по этому коду.
  • –2
    бхаха!
  • 0
    первое решение от этого фишинга, что приходит мне в голову, делать QR коды частью дизайна плаката. Ну чтобы он как-то, ну не знаю, вписывался в окружение, что ли… Переклеивать фишинговый стикер на прозрачной плёнке не получится, просто с белыми краями — будет видно, подделывать фон кода, чтобы он вписался в окружающий дизайн плаката — хлопотно.

    Но в целом да, очень жаль, что есть люди, которые порят такие отличные идеи. Как не крути, в некоторых случаях эти коды действительно делают нашу жизнь удобнее.

    Кстати, настало время пристальнее посмотреть в сторону NFC тэгов? :)
    • 0
      А их не будут подделывать?
      • 0
        я согласен, что это не панацея, но подделать их труднее, как мне кажется. Тэг можно защитить от перезаписи, а наклеить фишинговый «поверх» вряд ли получится (хотя я не пробовал). По крайней мере, обычно чип с тегом клеят под плакат и его не видно. Чтобы его заменить, нужно как-то расковырять наклееный плакат. Если он под стеклом — сделать это уже нереально.
        • 0
          Поверх стекла и старый отрывать не понадобится.
  • 0
    я тут на досуге подумал, а что если сделать из длинных узких пластин решётку и поместить её поверх кода? Таким образом, она и не позволит заменить код на фишинговый, и мешать считыванию не будет :) Ну просто как идея.
    Что-то типа того:

    Qr code protection
    • 0
      Линк сломался. Новый:

      Qr code protection
    • 0
      Злоумышленник убрает решетку, клеит свой код поверх…
      Вопрос, откуда пользователь должен знать, что оригинал был «защищен» решеткой?
      • 0
        а если решётка на заклёпках или на каких-нить более-менее прочных декоративных замочках?

        Другой вариант: есть такая фирма, которая специализируется на билбордах — JСDecaux, у нас в городе на остановках стоят их щиты. Так вот там плакаты вешаются за стекло, и изнутри подсвечивается лампой. Самый толковый вариант: на стекло не наклеить — будет видно сразу же. И даже если злоумышленник сможет открыть стекло, то клеить свой фишинговый код поверх плаката не имеет смысла — вечером включится подсветка изнутри и наклейка будет сразу видна.
  • +1
    Отличный кейс для создания стартапа!
    Ловите идею — хабрапиплы!
    Только костяк — мясо додумывайте сами!
    Можно написать QR читалку, которая обрабатывает только зарегистрированные у себя QR коды.
    Регулярно производит сканирование ресурсов на которые редиректит.
    Ведет рейтинг трастовости ресурсов.

    P.S.
    qrsecure.ru — ещо свободен!
  • –1
    а вот в QR код в Беларуси qrcode.by/
  • +1
    А я хотел использовать этот метод ещё год назад для продвижения своего сайта расписаний фильмов (агрегатор по всем кинотеатрам города), в моём родном городе O на рекламных плакатах фильмов раньше не висело вообще никаких QR кодов.

    Не стал, т.к. решил что это не очень честно по отношению к кинотеатрам, без их согласия. И в то же время — не очень удобно пользователю, если ссылки бы всегда были бы на главную, поэтому нужно было бы делать для каждого фильма свою наклейку с кодом, который бы вел на страницу этого фильма, что было очень накладно в плане производительности (куча времени бы на это уходило), поэтому я оставил эту идею до лучших времён)

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.