QR-коды — проблемы безопасности

130617-8-QRcodeQR-код — хаотично расположенные маленькие черные квадраты на белом фоне — не так прост, как кажется. QR-коды более совершенны, чем одномерный штрих-код, — они имеют более высокую емкость хранилища и могут хранить различные типы символов.

По сути, эти коды похожи на физические гиперссылки, поскольку при их сканировании пользователь переходит на внешнюю ссылку или сайт. Их также часто относят к модели ведения бизнеса O2O (оффлайн-для-онлайн).

Изначально созданные в 1994 году компанией Denso Wave (дочерняя компания Toyota) для использования в японской автомобильной промышленности, QR-коды постепенно начинают использоваться разными компаниями по всему миру.

Самый популярный и самый прибыльный вариант использования QR-кодов — в индустрии платежей. Финансовые учреждения долго искали способ повысить качество обслуживания клиентов и увеличить показатель «простоты использования» своих платежных процессов. Революция смартфонов в конце 2000-х годов стимулировала развитие цифровых и мобильных платежей. Появление QR-кодов стало настоящим чудом, так как теперь любой пользователь смартфона может совершить платеж по мановению руки. В наше время, когда смартфоны широко распространены в обществе, QR-коды нашли свое место в большинстве розничных магазинов, электронной коммерции, оплате счетов и всевозможных встроенных мобильных платежах.

Китай — лидер в плане внедрения технологии QR-кодов. Alipay интегрировала платежи на основе QR-кодов в 2013 году, а WeChat последовала ее примеру в начале 2014 года. Согласно статистическим данным, приведенным Alipay на конференции Money 20/20 в Европе в апреле 2016 года, услуга мобильных платежей используется для совершения более 175 миллионов транзакций в сутки.

Индия, в свете своей безналичной трансформации после демонетизации, начала подводить рынок к стандарту QR-кодов для цифровых платежей, чтобы ускорить переход от наличных к электронным платежам. Мобильные кошельки Paytm и MobiKwik популяризировали QR-коды, а платежные приложения на основе UPI, включая BHIM, PhonePe и т.д., последовали их примеру. Правительство Индии недавно представило интерфейс для платежей с помощью QR-кодов — Bharat QR. Он направлен на стандартизацию оплаты с помощью QR-кодов по всей стране. Для этого платежные сети, включая Mastercard, American Express, Национальную платежную корпорацию Индии (NPCI) и Visa, ведут сотрудничество в целях содействия более широкому признанию метода оплаты Bharat QR.

На текущий момент, QR-коды рисуют очень радужную картину будущего безналичных платежей.


130617-8-QRcode1

Однако не все так хорошо в этой сфере

«Когда вы сканируете QR-код, вы понятия не имеете, куда перейдете по нему. Вы вполне можете перейти на вредоносный сайт, который может попытаться установить вирус на ваш телефон», — говорит Мэтью Грин, доцент кафедры информатики Университета Джона Хопкинса в Балтиморе, штат Мэриленд.

В Китае недавно были отмечены случаи мошенничества, которые вызвали серьезные вопросы по поводу безопасности использования QR-кодов в качестве способа оплаты. Сообщается, что в Гуанчжоу (в провинции Гуандун Южно-Китайского региона) у людей было украдено около 90 миллионов юаней (14,5 миллионов долларов) путем мошеннического использования QR-кодов, которые часто сканируются для идентификации продукта и доступа к мобильной платформе.

По другой информации, некоторые мошенники теперь пользуются повальным увлечением велосипедами в Китае. Mobike — это популярный сервис совместного пользования велосипедами, предоставляющий велолюбителям инструмент для сканирования QR-кода, нарисованного на велосипеде, для внесения депозита и оплаты аренды. Наклеивая на велосипед поддельные QR-коды, мошенники могут обмануть велосипедистов и заставить их перевести 43 доллара — столько же, сколько требуется для депозита Mobike, — на их счет.

Теперь давайте проанализируем следующий сценарий

Это не редкость, когда быстро развивающуюся технологию пытаются использовать, чтобы найти ее уязвимые места. Однако в случае QR-кодов, по-видимому, существуют некоторые очевидные проблемы с точки зрения безопасности.

Прежде всего, QR-коды невозможно отличить друг от друга невооруженным глазом, поэтому очень сложно проверить их подлинность. Это основная причина, по которой пользователей QR-кодов по всему миру обманывают, заставляя регистрироваться на мошеннических сайтах, что приводит к фишингу/вредоносному ПО на их смартфонах.

Выступая на Национальном конгрессе народных представителей в Пекине в марте 2017 года, заместитель Лю Цинфэн, председатель провайдера облачного сервиса распознавания голоса iFlytek, сказал:

«В настоящее время более 23% троянских программ и вирусов передаются через QR-коды. Порог (трудности) создания QR-кодов настолько низок, что мошенники могут с легкостью внедрять троянские программы и вирусы в QR-код».

Благодаря легкости создания собственных QR-кодов и ничего не подозревающим пользователям, мошенникам очень удобно использовать невинных пользователей, передавая поддельные QR-коды в зонах с большим трафиком. Такой фишинг на основе QR-кодов, также называемый QRishing, — одна из основных причин онлайн-краж и мошенничества в Интернете в таких странах, как Китай.

В марте 2014 года Народный банк Китая временно запретил платежи, совершенные путем сканирования QR-кодов с помощью мобильных устройств через сторонних поставщиков, после того, как Alibaba и Tencent объявили о планах выпуска «виртуальных кредитных карт» — инновационного способа мобильных платежей на базе QR-кодов, рассматриваемых в качестве альтернативы традиционным кредитным картам, — ссылаясь на опасения по поводу их безопасности. Однако запрет был отменен в 2016 году.

Alipay и WeChat Pay, два основных сторонних способа оплаты в Китае, неизменно несли ответственность за все случаи мошенничества с QR-кодами. Однако эти китайские платежные магнаты работают над решением данной проблемы. Alipay имеет функцию обнаружения сайтов, которая может определить, является ли сканируемый встроенный QR-код вредоносной ссылкой. Если она обнаружит угрозу безопасности, то система выдаст предупреждение о безопасности, позволяющее пользователям решить, следует ли продолжать.

WeChatPay также представил программное обеспечение для мобильной безопасности, чтобы гарантировать пользователям мониторинг и более безопасное обслуживание.

Так как QR-коды широко признаются простым и привлекательным способом оплаты в таких странах, как Китай, перед регулирующими органами и поставщиками платежных услуг стоит важная задача предотвращения мошенничества. Наряду с шагами, предпринимаемыми для укрепления безопасности и выявления случаев мошенничества, важной задачей станет осведомленность пользователей об использовании QR-кодов мошенниками и о том, как не стать их жертвой. Однако это легче сказать, чем сделать — будущий период покажет, действительно ли QR-коды станут платежным средством следующего поколения.

 


По материалам сайта habrahabr.ru