Фишинг: Новый тренд — переклейка QR кодов в общественных местах


    День добрый,
    сим постом хочу предупредить русскоязычное сообщество о новой фишинг тенденции, семимильными шагами двигающейся по Европе. В настоящее время накрыло Германию. Думаю такими темпами очень быстро доберется до России и СНГ.

    Смысл в том, что QR-код на плакате в аэропорту, рекламной брошюре у врача или например на информационном стикере, висящем в банке, аккуратно заклеивается другим, который ведет соответственно на злостную страничку фишера. Иногда он даже вырезается и вклеивается новый, например изнутри банка, на плакате за стеклом на внешней стене или входной двери. Снаружи такая переклейка практически не заметна под стеклом и не вызывает никаких сомнений, что QR-код принадлежит банку.

    На такую уловку попадаются даже люди, серьезно относящиеся к безопасности своих данных, например проверяющие URL в браузерах перед оплатой PayPal и т.д. Это объясняется высоким уровнем доверия к информации, висящей например внутри крупного банка.

    Из моих знакомых имеем уже два случая:
    — У одного увели и поменяли все пароли сохраненные в браузере телефона, после посещения рекламирующего фильм сайта, с QR-кода снятого в аэропорту Франкфурта. По прилету в Гамбург уже не мог зайти никуда; (UPD) Подробности в коментарии…
    — Друга моего второго закомого накрыло серьезней. Он, увидев в банке «распродажу» новой версии StarMoney со скидкой (популярная в Германии банковская программа aka Home Banking), решил купить ее по телефону — QR с плаката и т.д. Результат — уведенный PayPal пароль и некоторое количество денежных средств, списаных PayPal-м со счета.
    Кстати, все могло закончиться для него гораздо хуже — StarMoney распростроняется download-ом. Т.е. ему могли вообще прислать левый URL на троянскую StarMoney — тогда пришел бы белый пушной зверь вообще всем его счетам.

    Так что будьте бдительны и обязательно расскажите своим домочадцам!
    Метки:
    Поделиться публикацией
    Комментарии 88
    • +12
      Уже добралось, можно сказать. На днях в московском метро видел подобное на рекламе в вагонах.
      • +3
        Читатели Хабра проводят тестирование в поле
      • +14
        Кто-то ими пользуется?
        • +8
          А для кого, как вы думаете, оно делается?
          • 0
            загляните например сюда — QR Droid (Deutsch) — миллионы скачиваний, и это только немецкая версия.
            • 0
              У меня по ссылке «QR Droid (Pусский)», просто Вы, видимо, из Германии заходите. Соответственно статистика по скачиваниям общая.
              • +4
                Честно говоря статистика эта не о чем. То что у этого приложения (а тем более у бесплатного) много скачиваний совсем не говорит о том, что много людей им пользуется.
                • 0
                  Вообще-то правда. Но таких программ десятки — и у каждой такая «статистика».
          • +11
            Охо! Ещё как! И знаете, это очень удобно! Например быстро добавить контакт или установить приложение из google play.
            • +10
              А ещё с помощью QR кода можно предоставлять доступ к WiFi сетям для телефонов на ОС Android (возможно, телефоны на других ОС так тоже умеют).
              Возможно, со временем, способов применения этих кодов будет всё больше и больше.
              • +1
                Не знал про такую возможность. Спасибо! Однозначно в мемориз!
                • 0
                  Это ж штрих код — способов и так масса. Например, как-то писал для одной фирмы приложение, где в коде «пряталась» информацию о клиенте + URL с идентификатором веб-приложения, и после распечатки оно наклеивалось на документ / папку.
                  Отсканировав его, сразу открывалась страница с картой этого гешевта/клиента.

                  Или вот недавно на хабре.
                  • 0
                    Ну все, можно пачку копий левый ключей, нацепить вредоносных брелков… и вперед расбрасывать где попало…
                    Куда эффективнее флешек наверное будет
                  • +3
                    Офигеть! Спасибо! Давно хотел как-то стилизовать пароль на домашний вайфай для гостей. Теперь это будет огромный QR-код! Правда, спасибо!
                    • 0
                      Я давно себе сделал картинку с домашнем WiFi, только для генерации я пользовался бесплатным приложением для Android: Barcode Generator / Reader
                      • 0
                        Мне мой ISP, вместе с pre-configured модемом выдал пластиковую карточку, при подключении, где пароль от точки доступа написан, и QR код, который андроид прекрасно понимает и удобно подключает — удобно одним словом :)
                  • +10
                    Это объясняется высоким уровнем доверия к информации, висящей например внутри крупного банка.

                    Мне интересно, как злоумышленник подсовывает свой QR-код на плакат внутри отделения банка. Это то есть он подходит к охранику и спрашивает: «вы бы не могли подержать стекло, пока я вам наклеечку поменяю»?
                    • –16
                      «У меня уже всё стекло, не надо мне ничего менять, вон иди на плакатах тренируйся...»
                      • +5
                        Это то есть он подходит к охранику
                        Никогда не видел охранников в банках в Германии. Может быть они и сидят где-то в подсобке за мониторами камер наблюдения, но сомневаюсь, что в каждом филиале сидит по охраннику.
                        Предбанник с банкоматами и плакатами открыт круглосуточно — можно зайти в капюшоне, чтобы лица на видеозаписи не разобрать, и наклеить бумажку с кодом.
                        • +14
                          1) В Европе банки, в большинстве своем, не охраняются. Камеры есть правда, но в основном они концентируются вокруг банковских автоматов.
                          2) Вечером, после закрытия, можно зайти в пустой банк, просто используя банковскую карточку как ключ (например чтоб снять деньги, или чтобы распечатать вытяжку со счета).
                          3) Злоумышленники умудряются навесить сканеры на банковские автоматы — а вы про стикер переклеить спрашиваете… Смешно право.
                          • 0
                            Нет, как раз как поставить сканер на банкомат я вполне представляю — закрываешь спиной или камеру жвачкой залепливаешь и делаешь, что хочешь. А доход от такой операции сразу очень приличный получается. Банки же, по идее, — это всё-таки охраняемая территория, где риск быть пойманным значительно выше, особенно если придётся снимать стекло, а сколько людей поведутся на такой фишинг — непонятно. У меня на телефоне, например, QR-ридер только считывает зашифрованный текст, и если это URL, то вбивать его в браузер приходится всё равно самому. (Хотя, возможно, я просто отстаю от прогресса :))
                            • 0
                              Да никто не снимал стекло… см. коммент ниже.
                              • +1
                                А, простите, я подумал, что со внешним стеклом — это частный случай, а в других случаях клеят и под стекло, например, на доске объявлений.
                              • 0
                                «У меня на телефоне, например, QR-ридер только считывает зашифрованный текст, и если это URL, то вбивать его в браузер приходится всё равно самому. (Хотя, возможно, я просто отстаю от прогресса :)) „

                                Всё зависит от QR-клиента.
                            • +1
                              И кстати во втором случае это было внешнее стекло (на внешней стене), т.е. стикер зеркальный, для тех кто с улицы.
                              • 0
                                В банках стекла не моют? Это конечно же не намек, а так, предположение…
                              • +3
                                Глядишь скоро на МКАДе начнут плакаты от имени банка развешивать: «Считай код и получи 1000 рублей на счет!»
                                • +23
                                  «Если кто-то считает код, то кто-то получит 1000 рублей на счет.» :)
                                  • +8
                                    А если каждому пятитысячному эту тысячу зачислять, а у остальных забирать, то можно это дело зарегистрировать как лотерею и вообще легально всё будет
                                    • 0
                                      Зарегистрировать лотерею легально — а вы как-нибудь попробуйте… (гемороя оберетесь по самые нехочу).
                                  • +1
                                    Или «Я раньше работал в компании Мегафон но меня уволили...»
                                  • 0
                                    Прикольно, но вот как бороться-то с этим? Ведь QR-код можно наклеить и просто на любой плакат, который изначально его не имел, поэтому не печатать QR-код — это не выход из проблемы. Подписывать их что ли?
                                    • 0
                                      Цветной QR-код или QR-код со внедренным логотипом компании: такие будет сложнее подделать.
                                      • +31
                                        Если злоумышленники просто наклеивают свой код поверх, то не важно с какой защитой был исходный.
                                      • 0
                                        gliffer.ru/articles/diy-ili-sdelay-sam--perevod-kak-razmestit-kartinku-vnutri-qr-koda/
                                        Что-то вроде такого, хотя бы. Правда, от целенаправленного злоумышления против конкретной компании это не спасет.
                                        • +1
                                          Убрать все плакаты в досягаемости для людей.
                                        • 0
                                          Что ж, единственный выход — защита на уровне софта. Во «взрослых» браузерах есть защита от фишинга, встроенная и в виде расширений. А как с этим в мобильных аналогах?
                                          • 0
                                            единственный выход — защита на уровне софта
                                            Да хоть на уровне харда.
                                            У меня например на отдном почтовом ящике есть защита от спама. Софтина по вашему выражению «взрослая» + SpamAssasin на сервере + защита провайдера. Все равно раз/два в день во входящие прилетает спам.
                                            Т.е. такая защита конечно лишней не будет, но далеко не панацея — ваш комменарий звучит примерно как:
                                            — На компе антивирус — ни один вирус не пройдет.
                                            — На сервере fail2ban, XSS/CSRF и со фильтры и т.д. — никто не пролезет.
                                            • 0
                                              «Единственная» в том плане, что лишь её можно применить в кратчайшие сроки. Хардварные решения внедрять гораздо дольше.

                                              А какую защиту предложите вы?
                                              • +1
                                                Дополнительно к вашему предложению:
                                                1) Вниматильность и осторожность;
                                                2) Контроль URL;
                                                3) Пользоваться браузером на котором URL не скрывается или висит вверху хотя бы несколько секунд по показу странички;
                                                4) Совсем хордкорно — централизованая выдача и/или подпись QR. (Что-то типа https сертификата).
                                                • 0
                                                  1-2. Это поможет только если URL сайта знаком.
                                                  3. Половинчатое решение.
                                                  4. Даже теоретически нереально, имхо. QR технология не для того создавалась.
                                                  • 0
                                                    QR технология это просто другой формат штрих кода…
                                                    Я вам про уровень доверия: https страница подписаная легальным сертификатом вызывает больше доверия чем https страница с самоподписаным.
                                                    И да, я представляю себе всю сложность сего действа — потому и написал что хардкорно.
                                                    • 0
                                                      Я вам про уровень доверия: https страница подписаная легальным сертификатом вызывает больше доверия чем https страница с самоподписаным.
                                                      HTTPS это HTTPS. К QR коду он отношения ведь не имеет.
                                                      • 0
                                                        Но тот же принцип может быть использован, чтобы подписывать QR, чтоб показать что оно легально. Кстати неплохой бизнес может получиться, да еще если законодательно обязать крупные фирмы делать это — (мечтательно) иду патентовать идею…
                                                        • 0
                                                          QR в описанном сценарии работает как простая ссылка на сайт фишеров.

                                                          Пусть это должна будет быть ссылка на HTTPS с нормальным сертификатом, а URL ссылки или хотя бы домен большими буквами принудительно отображается для пользователя с вопросом «вы уверены?». Это — вопрос политик безопасности мобильных браузеров, открывающих ссылки из QR-кодов.
                                                          Тогда уровень безопасности будет такой же, как в случае открытия обычной ссылки на десктопном компьютере, а может быть и выше.
                                                          • 0
                                                            Представте что Урл отличается одной буквой, а ссылка не https или сертификат поддельный — браузер тогда промолчит… дальше думаю ясно…
                                                            • 0
                                                              И что? Эта проблема не новая, она ровно в том же виде существует уже давно на десктопе. Эта проблема решается браузерами — в них есть защита от фишинга, которую можно так же встроить в мобильные браузеры.

                                                              Видимо вы не поняли сразу мысль, которую я хотел передать: следует на уровне политики безопасности браузера телефона/планшета считать QR-коды ненадёжными источниками, и предъявлять к ним повышенные требования — например, проверять адрес на фишинг, громко ругаться, если по ссылке встретились какие-то проблемы типа кривого сертификата или странной «опечатки» в имени домена.

                                                              Это означает некое обновление безопасности для всех этих мобильных браузеров. Возможно, отдельную настроку «отключить фильтр фишинга даже для адресов, полученных из QR-кодов» для любителей экономить мобильный трафик.
                                                              • +2
                                                                проверять адрес на фишинг
                                                                Вы один из тех, кто чувствует себя защищенным за антивирусом? Простите, но просто наивно как-то звучит…
                                                                Кроме того, сцена фишинга гораздо мобильнее, чем вы думаете… новые адреса появляются прежде чем в ваш blacklist успеют предпредыдущие внести. whitelist слишком хардкорно.
                                                                Насчет сертификатов, я уже писал выше — http например их не требует вовсе.
                                                                И каким интересно способом можно узнать, что сертификат левый — если он легальено подписан. Год назад был скандал (ссылку не найду), вот два года назад еще
                                                                странной «опечатки» в имени домена.
                                                                Я вам лучше просто пример приведу:
                                                                www.volkswagenbank.de?po=5
                                                                www.volkswagenbank-de.ro?...
                                                                www.volkswagenbank.ro?5
                                                                www.vw-bank.de?...
                                                                
                                                                Два из них легальны — два нет. Какие? Только я вам вместо 4, через 20 минут 444 на выбор «сгенерирую». Капчи и те ломают…

                                                                Компьютер хоть и умная скотина, но все же не человек: в шахматы играет, а вот обманывать не научили.
                                                                • 0
                                                                  Можно подписывать информацию в QR-коде. Тогда будет ясно, чей это QR, ещё до открытия браузера.
                                                                  • 0
                                                                    кэп… вам сюда
                                                                    Вся проблема не в том, чтоб подписать, а чтоб не дать это сделать злоумышленнику…
                                                                    • 0
                                                                      Представьте, что вы — злоумышленник. А подпишите ка этот комментарий закрытым ключом Гула! Удачи.
                                                                      • 0
                                                                        Ну и что мне с того, что вы подпишите этот коммет вашим ключом:
                                                                        1) Вы НЕ злоумышленник, но воспользоваться ключем Гугля тоже не сможете;
                                                                        2) Вашего открытого ключа никто не знает
                                                                        3) Ваш коммент переклеен, какая разница каким вообще ключем он был подписан.
                                                                        Капитанить, блин, не подумав, очень легко…
                                                                        • –1
                                                                          Ну, во первых, открытый ключ он на то и открытый, что бы каждый желающий мог его получить.
                                                                          Во вторых, ссылка подписывается ЗАКРЫТЫМ ключом той компании, которая размещает информацию. У любой, уважающей себя компании, есть сертификаты, выданные центами сертификаций. Подделать такую подпись нелегко. А ридер проверяет цифровую подпись, если неверна — в топку ссылку. Без подписи (фишинговую) тоже в топку.

                                                                          Для самодельных кодов (например дома настройки wifi в виде QR оформили) можно force-режим сканера использовать.

                                                                          Делов то.
                                                                          • –1
                                                                            А ридер проверяет цифровую подпись
                                                                            Дак он и проверит «легальную» подпись фишера — ведь он же не знает что под этим кодом другой. Блин, устал разжевывать, еще раз перечитайте п. 3 ответом выше. И не пишите больше вещи, о которых не имеете ни малейшего понятия.
                                                                            • –1
                                                                              Пусть переклееный код. Но данные в этом коде будут без ЭЦП. Тогда эти данные можно смело отбраковывать.
                                                                              • –1
                                                                                А у фишера даже если будет ЭЦП, она будет недействительна. Либо после нескольких жалоб просто отзовут сертификат. Вы вообще представляете себе что такое центры сертификации и для чего они нужны?
                                                                                • 0
                                                                                  Ааа, наконец то добрался до сертификатов — а теперь возми с полки пирожок, промотай эту ветку наверх, смотри п. 4, где я про них уже прошелся и мы со взрослыми дядями это уже обсудили.
                                                                        • 0
                                                                          Глубина комментариев закончилась. Не обращайте внимание.
                                                  • 0
                                                    • 0
                                                      Ну, как идея: внедрить в популярные читалки qr-кодов геопривязку и статистику. Плюс возможность отметить код как фишинговый.

                                                      Т.е., допустим, вы открываете ссылку с плаката, если ссылка новая, то на сервер отправляется скриншот (на нём же будет немного захвачена область помимо qr-кода), по нему + геопривязке можно сопоставлять коды и плакаты. Ну и отслеживать изменение кодов и соответственно реагировать.
                                                    • 0
                                                      Да уж, если код в банке под стеклом, «ошибку» в одной букве мало кто заметит.
                                                      Интересно: в случае если мошенники этим таки воспользуются, банк можно будет засудить за распространение малвари?
                                                      • 0
                                                        Думаю хлопотно очень — прокурору и вам нужно будет доказать умысел банка (которого не было), в лучшем случае холатность, я думаю.
                                                      • НЛО прилетело и опубликовало эту надпись здесь
                                                        • +1
                                                          А кто-то кроме меня полез сразу смотреть, что на QR-коде в начале статьи?
                                                          • +7
                                                            У одного увели и поменяли все пароли сохраненные в браузере телефона, после посещения рекламирующего фильм сайта, с QR-кода снятого в аэропорту Франкфурта. По прилету в Гамбург уже не мог зайти никуда;

                                                            Это что за жуткая уязвимость такая и где? Как можно отдать сохраненные в браузере пароли, просто перейдя по ссылке? Как-то плохо верится в такой ход событий.
                                                            • 0
                                                              Аэропорт, делать нечего — решил посмотреть трейлер к фильму. Так что подозрение на флэш плеер. Подробности попробую уточнить…
                                                              • +1
                                                                Уточнил: фишинговая страница была сделана на cinemaxx.de (известная немецкая сеть кинотеатров). УРЛ был вида "m[hex].[cinemaxx].de/[anything]?(swf|video)?movie=..." что там на самом деле было вместо cinemaxx выяснить не представляется возможным (а жаль), т.к. он позже с перепугу сбросил телефон на заводские установки.
                                                                Кстати, видео он так и не дождался, списав это на медленную скорость/загруженность в аэропорту. Единственный способ, как мне видится, это найти ту рекламе (QR-код). Только он не помнит точно, где он снял QR-код. А если кто был во Франкфурте — это как десять Шереметьего вместе с Домодедовыми (ну очень большой). Да и прошло уже больше месяца — рекламу уже наверно заклеили или ту дыру во флэше закрыли.
                                                                Такие дела.
                                                            • +1
                                                              А как происходит, собственно, заражение? QR-код — это ведь просто ссылка, которая открывается в браузере. Вроде бы само по себе открытие ссылки должно быть безопасным.
                                                              А если по ссылке был фишинговый сайт, то ситуация ничем не отличается от фишинговых ссылок в интрнете или спаме.
                                                              • 0
                                                                Ну в принципе вы правы, отличается только уровнем доверия: ссылку в Гугле или Яндексе вы обсмотрите пару раз, ссылке (QR) размещенной в банке, согласитесь, доверия больше — можно под лупой не разглядывать.
                                                                • +2
                                                                  Вроде бы само по себе открытие ссылки должно быть безопасным.

                                                                  Как бы не так. Есть, например, уязвимости браузера, плагинов, etc.
                                                                • +4
                                                                  Великолепно! А что, если расклеивать QR-Код с моей аватарки (та самая уязвимость в Galaxy SIII, которая обнуляла устройство)?
                                                                  • 0
                                                                    Осталось еще штрихкоды в супермаркете переклеивать, на дорогие продукты, что бы на кассе пробивать их по цене спичек. Жалко в России пока кассиры дотошные. :)
                                                                    • 0
                                                                      Это просто вы жадный. Штрихкоды нужно переклеивать не со спичек, а с той же группы товаров, но подешевле.
                                                                    • 0
                                                                      Как защититься, кроме «не пользоваться»?
                                                                      • 0
                                                                        Проверять URL перед переходом, основываясь на собственных знаниях или совету сотрудника?
                                                                        • +1
                                                                          Сам не обладаю смартфоном, но из того, что видел: адрес показывается перед загрузкой страницы, но странная любовь всяких контор регистрировать под акцию новый домен типа акция(организация, магазин)-promo.ru (к примеру, Респект от Сбербанка), которые потом ещё и через официальный сайт фиг найдёшь — всё это изначально не вызывает доверия. Особенно, когда на листовке нет русскими буквами реального адреса куда ты должен попасть по этому коду.
                                                                      • –2
                                                                        бхаха!
                                                                        • 0
                                                                          первое решение от этого фишинга, что приходит мне в голову, делать QR коды частью дизайна плаката. Ну чтобы он как-то, ну не знаю, вписывался в окружение, что ли… Переклеивать фишинговый стикер на прозрачной плёнке не получится, просто с белыми краями — будет видно, подделывать фон кода, чтобы он вписался в окружающий дизайн плаката — хлопотно.

                                                                          Но в целом да, очень жаль, что есть люди, которые порят такие отличные идеи. Как не крути, в некоторых случаях эти коды действительно делают нашу жизнь удобнее.

                                                                          Кстати, настало время пристальнее посмотреть в сторону NFC тэгов? :)
                                                                          • 0
                                                                            А их не будут подделывать?
                                                                            • 0
                                                                              я согласен, что это не панацея, но подделать их труднее, как мне кажется. Тэг можно защитить от перезаписи, а наклеить фишинговый «поверх» вряд ли получится (хотя я не пробовал). По крайней мере, обычно чип с тегом клеят под плакат и его не видно. Чтобы его заменить, нужно как-то расковырять наклееный плакат. Если он под стеклом — сделать это уже нереально.
                                                                              • 0
                                                                                Поверх стекла и старый отрывать не понадобится.
                                                                          • 0
                                                                            я тут на досуге подумал, а что если сделать из длинных узких пластин решётку и поместить её поверх кода? Таким образом, она и не позволит заменить код на фишинговый, и мешать считыванию не будет :) Ну просто как идея.
                                                                            Что-то типа того:

                                                                            Qr code protection
                                                                            • 0
                                                                              Линк сломался. Новый:

                                                                              Qr code protection
                                                                              • 0
                                                                                Злоумышленник убрает решетку, клеит свой код поверх…
                                                                                Вопрос, откуда пользователь должен знать, что оригинал был «защищен» решеткой?
                                                                                • 0
                                                                                  а если решётка на заклёпках или на каких-нить более-менее прочных декоративных замочках?

                                                                                  Другой вариант: есть такая фирма, которая специализируется на билбордах — JСDecaux, у нас в городе на остановках стоят их щиты. Так вот там плакаты вешаются за стекло, и изнутри подсвечивается лампой. Самый толковый вариант: на стекло не наклеить — будет видно сразу же. И даже если злоумышленник сможет открыть стекло, то клеить свой фишинговый код поверх плаката не имеет смысла — вечером включится подсветка изнутри и наклейка будет сразу видна.
                                                                              • +1
                                                                                Отличный кейс для создания стартапа!
                                                                                Ловите идею — хабрапиплы!
                                                                                Только костяк — мясо додумывайте сами!
                                                                                Можно написать QR читалку, которая обрабатывает только зарегистрированные у себя QR коды.
                                                                                Регулярно производит сканирование ресурсов на которые редиректит.
                                                                                Ведет рейтинг трастовости ресурсов.

                                                                                P.S.
                                                                                qrsecure.ru — ещо свободен!
                                                                                • –1
                                                                                  а вот в QR код в Беларуси qrcode.by/
                                                                                  • +1
                                                                                    А я хотел использовать этот метод ещё год назад для продвижения своего сайта расписаний фильмов (агрегатор по всем кинотеатрам города), в моём родном городе O на рекламных плакатах фильмов раньше не висело вообще никаких QR кодов.

                                                                                    Не стал, т.к. решил что это не очень честно по отношению к кинотеатрам, без их согласия. И в то же время — не очень удобно пользователю, если ссылки бы всегда были бы на главную, поэтому нужно было бы делать для каждого фильма свою наклейку с кодом, который бы вел на страницу этого фильма, что было очень накладно в плане производительности (куча времени бы на это уходило), поэтому я оставил эту идею до лучших времён)

                                                                                    Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.