Nuskenavai QR kodą — ir dingo pinigai? Kodėl ta kortelė gali būti spąstai

Prieš keletą savaičių viename Lietuvos miesto festivalyje prie manęs priėjo nepažįstamas jaunuolis ir tylėdamas įteikė baltą kortelę. Ant jos — nieko, tik QR kodas. Jokio logotipo, jokio paaiškinimo, jokio vardo. „Nuskanuok ir sužinosi", — pasakė jis ir nuėjo prie kitų lankytojų. Aš neskenavau. Ir, kaip vėliau paaiškėjo, pasielgiau teisingai.

Kas slepiasi už juodų kvadratėlių?

Dideli renginiai, miestų šventės, koncertai ar festivaliai jau seniai tapo vieta, kur žmonės dalija skrajutes, reklamines korteles ir vizitines. Tačiau pastaraisiais metais vis dažniau galima pamatyti minimalistines korteles, ant kurių — tik QR kodas ir nieko daugiau. Priėjęs žmogus įteikia tokią kortelę, o paklausus, kas tai, atsako miglotai: „Nuskanuok ir sužinosi."

Iš pirmo žvilgsnio tai atrodo modernu ir patogu. QR kodai leidžia akimirksniu atsidaryti interneto svetainę, gauti kontaktus, nuolaidas ar informaciją apie renginį. Jokių ilgų adresų ranka rinkti nereikia — užtenka pakelti telefoną. Tačiau būtent toks paslaptingumas ir turėtų kelti klausimų. Kodėl žmogus negali pasakyti, kas slepiasi už kodo? Kodėl ant kortelės nėra nė vieno žodžio?

„Quishing" — sukčiavimas, kurio nematote

Kibernetinio saugumo specialistai jau ne vienerius metus įspėja apie vadinamąjį „quishing" — žodį, sudarytą iš „QR" ir „phishing" (sukčiavimas, kai apsimetama patikima institucija). Tai sukčiavimo būdas, kai QR kodas naudojamas nukreipti žmogų į pavojingą svetainę, kuri atrodo visiškai teisėta.

Nuskenavęs neaiškios kilmės kodą žmogus gali būti nukreiptas į puslapį, kuris atrodo kaip banko prisijungimo langas, kurjerių tarnybos sekimo sistema ar socialinio tinklo autorizacijos forma. Ekrane viskas atrodo pažįstamai: tas pats logotipas, ta pati spalvų schema, tie patys laukeliai. Suvedus duomenis jie akimirksniu atsiduria sukčių rankose.

Kitais atvejais gali būti siūloma atsisiųsti programėlę — pavyzdžiui, „renginio programą" ar „specialią nuolaidų kortelę", kuri iš tikrųjų yra kenkėjiška programa. Įdiegta ji gali rinkti kontaktus, skaityti žinutes, perimti banko programėlės duomenis ar net įrašinėti pokalbius.

Dar pavojingiau, kai surinkti duomenys vėliau panaudojami tapatybės vagystėms ar finansiniams nusikaltimams. Vienas nuskenuotas kodas festivalyje gali po kelių mėnesių virsti tuščia banko sąskaita ar paskola, paimta jūsų vardu.

Kodėl QR kodas pavojingesnis už paprastą nuorodą?

Problema slypi pačioje technologijoje. QR kodas slepia tikrąjį adresą. Skirtingai nei matydami interneto nuorodą naršyklės adreso juostoje, mes negalime iš karto įvertinti, kur būsime nukreipti. Žmogaus akis nemato, ar už tų juodų kvadratėlių slypi banko puslapis, ar sukčių serveris kažkur už tūkstančių kilometrų.

Todėl nepažįstamo žmogaus įteikta kortelė su QR kodu yra panaši į užrakintą dėžutę, kurią jums paduoda gatvėje. Nežinai, kas yra viduje, kol neatidarai. O kai atidarai — gali būti per vėlu.

Kai kurie telefonai rodo URL peržiūrą prieš atidarant nuorodą, tačiau ne visi modeliai tai daro, o ir pats adresas gali būti sukurtas taip, kad atrodytų įtartinai panašus į tikrą. Pavyzdžiui, vietoj „swedbank.lt" gali būti „swedbank-security.lt" arba „swedbank-lt.com" — skirtumas, kurio skubantis žmogus lengvai nepastebi.

Ne visi QR kodai yra spąstai

Žinoma, nebūtų teisinga visų QR kodų vadinti pavojingais. Daugybė verslų, restoranų, muziejų ir renginių organizatorių juos naudoja visiškai teisėtai ir patogiai. Restorano meniu ant stalo, muziejaus eksponato aprašymas, renginio bilieto patikrinimas — tai situacijos, kuriose QR kodas veikia puikiai ir yra saugus.

Tačiau skirtumas esminis: tokiais atvejais žmogus žino, kokią informaciją gaus ir kas yra jos šaltinis. Restorano meniu QR kodas yra ant restorano stalo, o ne įteiktas nepažįstamojo gatvėje. Muziejaus kodas yra prie eksponato, o ne ant anoniminės kortelės be jokio konteksto.

Kaip apsisaugoti — trys paprastos taisyklės

Kibernetinio saugumo specialistai rekomenduoja laikytis kelių paprastų taisyklių, kurios apsaugo nuo daugumos „quishing" atakų.

Pirma: jei nežinote, kas sukūrė QR kodą ir kodėl jis jums duodamas, jo tiesiog neskenuokite. Tai galioja ypač tada, kai kodą įteikia nepažįstamas žmogus be jokio paaiškinimo. Smalsumas čia nėra geras patarėjas.

Antra: jeigu vis dėlto nuskenavote, prieš atidarydami nuorodą atidžiai patikrinkite, koks interneto adresas rodomas telefone. Jei adresas atrodo įtartinai — su keistais žodžiais, brūkšneliais, nepažįstamu domenu — neatidarykite.

Trečia: niekada neveskite asmeninių duomenų, slaptažodžių ar banko kortelės informacijos puslapyje, į kurį patekote per QR kodą iš nepatikimo šaltinio. Jei reikia prisijungti prie banko — atsidarykite oficialią programėlę, o ne eikite per nuskenuotą nuorodą.

Kas keičiasi Lietuvoje?

Lietuvoje kol kas nėra plačiai nuskambėjusių „quishing" atvejų per fizines QR korteles, tačiau specialistai perspėja, kad tai — laiko klausimas. Sukčiai visada ieško naujų būdų, o QR kodų populiarumas po pandemijos išaugo tiek, kad jie tapo kasdienybe. Kur yra kasdienybė, ten atsiranda ir sukčiai.

Nacionalinis kibernetinio saugumo centras (NKSC) reguliariai perspėja apie socialinės inžinerijos atakas, o QR kodai yra tik viena iš priemonių, kuriomis šios atakos gali būti vykdomos. Svarbiausia gynyba — ne technologija, o įprotis stabtelėti ir pagalvoti prieš skenuojant.

Technologijos gali būti labai patogios, tačiau aklas pasitikėjimas nepažįstamais žmonėmis ir nežinomomis nuorodomis gali kainuoti daug daugiau nei kelias sekundes smalsumo. QR kodas savaime nėra pavojingas — pavojingas yra įprotis skenuoti negalvojant.