Штрих коды для вируса

Обновлено: 24.04.2024

Рассказываем о том, как работают QR-коды вакцинации и какая информация в них содержится.

В этом году многие государства мира начали вводить QR-коды вакцинации, которые стали удобным способом идентифицировать привитых людей. В России мы уже познакомились с этой технологией — например, летом 2021 года в Москве QR-коды были нужны для посещения кафе, ресторанов и массовых мероприятий.

Сейчас в Госдуму внесены два законопроекта о введении QR-кодов для посещения общественных мест и для поездок на самолетах и поездах — теперь уже по всей стране. Самое время разобраться, как работают QR-коды вакцинации, какая информация в них содержится и зачем они вообще нужны.

Какая информация содержится в QR-коде вакцинации?

Начать следует с того, что сами по себе QR-коды вакцинации не содержат никакой личной информации. Все, что в них закодировано — это уникальная ссылка на портал Госуслуг. Информация о владельце кода отобразится лишь при переходе по этой ссылке.

Разберемся с механизмом работы QR-кода более подробно. Вот как устроен процесс вакцинации с точки зрения документов. После получения второй прививки в личном кабинете на портале Госуслуг появляется сертификат. Выглядит он примерно так:

В сертификате вакцинации от COVID-19 содержится достаточно много персональных данных

В сертификате вакцинации от COVID-19 содержится достаточно много персональных данных

В сертификате содержится довольно много информации о вакцинированном человеке, причем в открытом виде:

  • Номер сертификата вакцинации.
  • Полные фамилия, имя и отчество.
  • Дата рождения.
  • Серия и номер паспорта.
  • Место и дата получения первой и второй прививки, а также информация об использованной вакцине.
  • Собственно QR-код вакцинации.

Согласитесь, показывать все это охраннику в магазине не очень хочется. Кроме того, в таком сертификате и самому охраннику будет нелегко разобраться — вряд ли его интересует полное наименование вакцины и точное название разработавшей ее организации. Все, что ему нужно знать — это то, что вы вакцинированы.

Именно для этого и разработали QR-коды. Во-первых, чтобы не делиться своими личными данными с каждым проверяющим. А во-вторых, для упрощения работы самих проверяющих — чтобы они видели только ту информацию, которая должна их волновать.

Поэтому условному охраннику достаточно предъявить только QR-код. Он его отсканирует, перейдет по ссылке на портал Госуслуг и увидит примерно следующую информацию:

  • Статус сертификации — собственно то, что интересует охранника, причем показывается он на самом видном месте.
  • Номер сертификата вакцинации.
  • Дату, до которой действителен сертификат (тоже важная информация, чтобы у проверяющего не возникало вопросов о том, действует ли еще прививка).
  • Первые буквы Ф. И. О.
  • Дату рождения.
  • Первые две цифры серии паспорта и последние три цифры его номера.

Эти данные нужны для того, чтобы проверить, действительно ли код принадлежит вам. Поэтому вместе с QR-кодом часто просят показать паспорт.

При переходе с QR-кода на страницу проверки показывается только та информация, которая действительно нужна — и в максимально обезличенном виде

При переходе с QR-кода на страницу проверки показывается только та информация, которая действительно нужна — и в максимально обезличенном виде

QR-код вакцинации можно использовать и в заграничных поездках. Для этого при его проверке необходимо нажать на значок флага на портале Госуслуг, чтобы переключить язык. В этом случае о вас будет видна следующая информация на английском:

  • Статус сертификации.
  • Номер сертификата.
  • Дата, до которой действителен ваш сертификат.
  • Первые буквы имени и фамилии латиницей.
  • Те же цифры из гражданского паспорта, что и в русской версии сертификата.
  • Первая и последние три цифры номера заграничного паспорта, потому что за рубежом вы скорее будете пользоваться им.

Конечно, чтобы все это работало, вы должны убедиться, что данные загранпаспорта внесены в аккаунт на портале Госуслуг.

В Европе и некоторых других странах не так давно заработала аналогичная система, которая называется Green Pass. Это сертификат c QR-кодом, который необходим для посещения общественных мест (а в некоторых странах — и для доступа в рабочий офис). Принцип действия у Green Pass примерно такой же, только при сканировании QR-кода отображаются полные имя и фамилия его обладателя, без звездочек. Выходит, принятая в России система уделяет конфиденциальности больше внимания, чем ее европейский аналог.

Почему именно QR-коды?

QR-коды — очень простая технология, которая де-факто стала стандартом обмена информацией на стыке физического и виртуального миров. Что самое важное, она доступна обладателям почти любых смартфонов — практически в каждой модели по умолчанию установлено приложение для сканирования этих кодов. Чтобы считать информацию с кода, достаточно просто навести камеру на рисунок.

Чем может быть опасен QR-код?

Чтобы не попасться в ловушку мошенников, не пользуйтесь QR-кодами из подозрительных источников и при сканировании проверяйте, куда ведут ссылки. А еще лучше установите приложение для проверки кодов, которое будет делать это автоматически. Например, наш QR Scanner доступен как для Android, так и для iOS.


Рекомендуем почитать:

Согласно Википедии, QR Code – это тип матричного штрих-кода (или двухмерный
код), который изначально был разработан для автомобильной индустрии.

QR-коды становятся
сейчас все более и более популярными и используются на баннерах, в журналах, на
транспорте, предоставляя быстрый и легкий доступ к определенной информации.

QR Code имеет довольно большую вместимость (по сравнению со стандартным штрих
кодом), и может хранить 7089 цифровых знаков и 4296 буквенно-цифровых, и этого
более чем достаточно, чтобы вместить текст или адрес ссылки.

Но что насчет вредоносных QR-кодов? Да, ты сканируешь такой код с помощью
смартфона и он направляет тебя по ссылке, на которой располагается вредоносный
файл (APK или JAR). Такие коды существуют и набирают популярность.

Сегодня люди, которые используют смартфоны, часто ищут новое ПО для своих
устройств, используя ПК. Если пользователь находит что-то интересное, он должен
перепечатать URL приложения в браузер смартфона для скачивания. Это не очень
удобно и именно поэтому такие сайты имеют QR-коды, которые можно легко
сканировать.

Известно, что в наши дни очень много мобильных вирусов (особенно SMS-троянов)
распространяются через левые сайты, на которых все ПО заражено. И
киберпреступники начали использовать зловредные QR-коды для "удобства"
пользователей. Вот пример такого сайта:


Интересно, что закрашенный QR-код работает, но не содержит файла "jimm.apk",
связанного со ссылкой. Но если пользователь просканирует этот код, его
перенаправит по другой ссылке, которая, в свою очередь, уже содержит
вышеназванный файл. Этот файл был распознан "Лабораторией Касперского" как
Trojan-SMS.AndroidOS.Jifake.f:


Зловред сам по себе - это зараженное трояном приложение Jimm (мобильный
ICQ-клиент) которое шлет многочисленные SMS на номер 2476 (по $6 за штуку).
После установки в меню телефона появляется иконка "JimmRussia".

Использование QR-кодов для распространения вирусов можно было предугадать. И
покуда эта технология популярна – преступники будут ее использовать. Этот пример
демонстрирует самое начало процесса и в ближайшем будущем мы, скорее всего,
увидим больше мобильных зловредов, распространяющихся через QR-коды.

Мозаичные картинки, QR-коды, упрощают открытие ссылок и приложений на смартфоне. Хакеры научились обманывать пользователей с помощью этого инструмента.


Обновлено 30 января 2015.

Характерные квадратные картинки, напечатанные на рекламе, в журналах и на объявлениях, оказались самым простым и дешевым способом связать реальный и виртуальный мир – достаточно сфотографировать QR-код камерой телефона, чтобы перейти на веб-сайт с информацией, сохранить контактный телефон или загрузить приложение. Эта простота понравилась не только маркетологам, но и хакерам всех мастей, поэтому, наводя камеру на QR-код, надо быть весьма осторожным.

Художественный QR-код

QR-коды можно украшать, обычно это не мешает их распознаванию смартфоном.

Легко представить, как опасен такой QR-код, наклеенный в общественном месте – в метро, аэропорту, на вокзале или же в здании банка, например на банкомате. Жертва испытывает к рекламе доверие, поэтому обычно спокойно переходит по отсканированной ссылке. Ведь трудно вообразить, что в здании крупного банка может подстерегать опасность.

Итак, ссылка сначала выводится на экран смартфона, но злоумышленники используют сервисы сокращения ссылок (bit.ly и другие), чтобы замаскировать конечный адрес, сохраненный в QR-коде. А он может вести на страницу с вредоносным ПО, ворующим все логины и пароли, сохраненные в браузере, или же на фишинговый cайт. Дело осложняется еще тем, что в мобильном браузере не всегда можно увидеть полную адресную строку открытой страницы, что существенно затрудняет выявление обмана. А мобильные устройства зачастую хуже защищены от вирусов.

Вредоносные коды наклеивают поверх легитимной рекламы, поэтому жертва доверяет открывающимся сайтам и приложениям

Чтобы избежать подобной угрозы, следуйте трем простым советам:

  1. Будьте внимательны – перед сканированием QR-кода проверьте, что он не наклеен поверх другого. В случае сомнений не сканируйте.
  2. После открытия магазина приложений или веб-сайта в браузере убедитесь, что QR-код привел вас туда, куда вы ожидали. Проверьте, что приложение (если речь идет об установке) действительно создано компанией, рекламу или информацию которой вы видели. Проверьте рейтинг приложения и отзывы пользователей. Если их мало или нет вообще, лучше не торопиться с установкой. Если код приводит на веб-сайт, проверьте его адрес до самого конца, чтобы не стать жертвой фишинга. Особенно тщательно проверяйте адрес, если на странице требуется ввести свои учетные данные, например от почты или интернет-банкинга.
  3. Если ваш смартфон допускает установку защитных приложений, проверяющих сайты на вредоносное содержимое, а загруженные программы – на вирусы, обязательно установите такое приложение. Особенно актуален этот совет для Android-смартфонов, для которых написаны уже тысячи вирусов.

В конце января 2015 года появился более простой и удобный способ уберечься от вредоносных ссылок в QR-кодах — для этого достаточно установить на смартфон приложение Kaspersky QR Scanner.

Работает оно точно так же, как любое другое приложение для считывания QR-кодов. С той лишь разницей, что Kaspersky QR Scanner проверяет все содержащиеся в QR-кодах ссылки и обязательно предупредит вас, если переход по ссылке грозит опасностями.

image

Атака на компьютерные системы производителя военной техники Mitsubishi Heavy Industries. Заражены компьютеры на нескольких предприятиях, которые производят ракеты, подводные лодки и военные суда. Какая именно информация попадает в руки хакеров, неизвестно, но даже самые робкие предположения вызывают легкий трепет.

Взлом серверов сертификационного центра DigiNotar, выпускающего корневые SSL-сертификаты. Выпущен 531 поддельный сертификат, в их числе — относящиеся к сайтам ЦРУ, Моссад и Mi6. Кроме того, злоумышленников интересуют государственные органы разных стран, крупнейшие интернет-сервисы (Google, Yahoo, Tor, Mozilla) и сайты некоторых компаний. От услуг DigiNotar отказывается правительство Нидерландов, госорганизациям страны приходится перенастраивать системы на работу с новыми сертификатами, что приводит к простою. Доверие к DigiNotar подорвано, компания объявляет о добровольном банкротстве. Однако последствия атаки куда более значительные: она показала, что с помощью поддельных сертификатов можно приостановить работу систем, напрямую связанных с экономикой страны и органами государственной власти. А еще можно взломать такие системы — и при желании добиться тех же результатов или чего похуже.

Впрочем, хакеры традиционно продолжают воровать персональные данные пользователей, но при этом не мелочатся: в их руках — данные ¾ (!) населения Южной Кореи.

Впечатляют и сверхвысокие темпы развития мобильного зловредства. Киберпреступники сконцентрировали свои усилия на зеленом роботе: на Android-зловредов уже приходится 40% всех вредоносных программ для мобильных устройств (что, кстати, является неоспоримым доказательством победы Android OS на рыке мобильных ОС). Настораживает появление мобильного троянца Zitmo (zeus-in-the-mobile) для Android, который, работая в паре со своим собратом — обычным ZeuS, — позволяет злоумышленникам обходить систему двухфакторной авторизации, используемой во многих системах интернет-банкинга.

image

В общем – как страшно жить:) Количество уничтоженных зловредов и спасенных пользователей внушает обоснованный пессимизм: в некоторых странах мира регулярным атакам подвергаются больше половины компьютеров. Эти данные можно обнаружить, ознакомившись с рейтингами, диаграммами и картами, опубликованными в конце нашего отчета.

image

QR-код — хаотично расположенные маленькие черные квадраты на белом фоне — не так прост, как кажется. QR-коды более совершенны, чем одномерный штрих-код, — они имеют более высокую емкость хранилища и могут хранить различные типы символов. По сути, эти коды похожи на физические гиперссылки, поскольку при их сканировании пользователь переходит на внешнюю ссылку или сайт. Их также часто относят к модели ведения бизнеса O2O (оффлайн-для-онлайн).

Изначально созданные в 1994 году компанией Denso Wave (дочерняя компания Toyota) для использования в японской автомобильной промышленности, QR-коды постепенно начинают использоваться разными компаниями по всему миру.

Индия, в свете своей безналичной трансформации после демонетизации, начала подводить рынок к стандарту QR-кодов для цифровых платежей, чтобы ускорить переход от наличных к электронным платежам. Мобильные кошельки Paytm и MobiKwik популяризировали QR-коды, а платежные приложения на основе UPI, включая BHIM, PhonePe и т.д., последовали их примеру. Правительство Индии недавно представило интерфейс для платежей с помощью QR-кодов — Bharat QR. Он направлен на стандартизацию оплаты с помощью QR-кодов по всей стране. Для этого платежные сети, включая Mastercard, American Express, Национальную платежную корпорацию Индии (NPCI) и Visa, ведут сотрудничество в целях содействия более широкому признанию метода оплаты Bharat QR.

На текущий момент, QR-коды рисуют очень радужную картину будущего безналичных платежей.

Однако не все так хорошо в этой сфере

В Китае недавно были отмечены случаи мошенничества, которые вызвали серьезные вопросы по поводу безопасности использования QR-кодов в качестве способа оплаты. Сообщается, что в Гуанчжоу (в провинции Гуандун Южно-Китайского региона) у людей было украдено около 90 миллионов юаней (14,5 миллионов долларов) путем мошеннического использования QR-кодов, которые часто сканируются для идентификации продукта и доступа к мобильной платформе.

По другой информации, некоторые мошенники теперь пользуются повальным увлечением велосипедами в Китае. Mobike — это популярный сервис совместного пользования велосипедами, предоставляющий велолюбителям инструмент для сканирования QR-кода, нарисованного на велосипеде, для внесения депозита и оплаты аренды. Наклеивая на велосипед поддельные QR-коды, мошенники могут обмануть велосипедистов и заставить их перевести 43 доллара — столько же, сколько требуется для депозита Mobike, — на их счет.

Теперь давайте проанализируем следующий сценарий

Это не редкость, когда быстро развивающуюся технологию пытаются использовать, чтобы найти ее уязвимые места. Однако в случае QR-кодов, по-видимому, существуют некоторые очевидные проблемы с точки зрения безопасности.

Прежде всего, QR-коды невозможно отличить друг от друга невооруженным глазом, поэтому очень сложно проверить их подлинность. Это основная причина, по которой пользователей QR-кодов по всему миру обманывают, заставляя регистрироваться на мошеннических сайтах, что приводит к фишингу/вредоносному ПО на их смартфонах.

Выступая на Национальном конгрессе народных представителей в Пекине в марте 2017 года, заместитель Лю Цинфэн, председатель провайдера облачного сервиса распознавания голоса iFlytek, сказал:

Благодаря легкости создания собственных QR-кодов и ничего не подозревающим пользователям, мошенникам очень удобно использовать невинных пользователей, передавая поддельные QR-коды в зонах с большим трафиком. Такой фишинг на основе QR-кодов, также называемый QRishing, — одна из основных причин онлайн-краж и мошенничества в Интернете в таких странах, как Китай.

Alipay и WeChat Pay, два основных сторонних способа оплаты в Китае, неизменно несли ответственность за все случаи мошенничества с QR-кодами. Однако эти китайские платежные магнаты работают над решением данной проблемы. Alipay имеет функцию обнаружения сайтов, которая может определить, является ли сканируемый встроенный QR-код вредоносной ссылкой. Если она обнаружит угрозу безопасности, то система выдаст предупреждение о безопасности, позволяющее пользователям решить, следует ли продолжать.

WeChatPay также представил программное обеспечение для мобильной безопасности, чтобы гарантировать пользователям мониторинг и более безопасное обслуживание.

Так как QR-коды широко признаются простым и привлекательным способом оплаты в таких странах, как Китай, перед регулирующими органами и поставщиками платежных услуг стоит важная задача предотвращения мошенничества. Наряду с шагами, предпринимаемыми для укрепления безопасности и выявления случаев мошенничества, важной задачей станет осведомленность пользователей об использовании QR-кодов мошенниками и о том, как не стать их жертвой. Однако это легче сказать, чем сделать — будущий период покажет, действительно ли QR-коды станут платежным средством следующего поколения.

Читайте также: