QR-коди стають інструментом хакерів: як не потрапити в пастку

Звичайний квадрат з чорних пікселів поступово перетворюється на інструмент хакерської атаки. Експерти підрозділу Unit 42 з Palo Alto Networks показали, як QR-коди використовуються для обходу звичних механізмів захисту та перехоплення контролю над акаунтами, в тому числі від Telegram, без довгих вмовлянь і «дзвінків з банку».

Все досить просто. Людина бачить код в рекламі, на сайті або в додатку, наводить камеру смартфона — і опиняється за межами звичного захисного периметра. Далі запускаються більш вразливі процеси вже на особистому пристрої, де корпоративні фільтри та антивіруси часто безсилі.

Аналітики Unit 42 описали три основні техніки.

Перша пов’язана з сервісами, які одночасно генерують QR-код і скорочують посилання. Візуально все виглядає безпечно, але перехід веде не на кінцевий ресурс, а на проміжну адресу з ланцюжком перенаправлень. Власник такої конструкції може в будь-який момент змінити кінцеву точку. За даними телеметрії Unit 42, фіксується понад 11 000 спрацьовувань на шкідливі QR-коди на добу. При офлайн-скануванні веб-сторінок фахівці щодня виявляють близько 75 000 кодів, і приблизно 15% сторінок містять елементи, що ведуть на небезпечні ресурси.

Друга техніка — використання deep link. Це посилання, які відкривають конкретний екран всередині мобільного додатка і запускають дію без класичного веб-переходу. Такий маршрут складніше аналізувати стандартними сканерами, оскільки підсумкова дія прихована всередині додатка. Зустрічаються сценарії, де після сканування користувач опиняється на екрані авторизації в месенджері, бачить пропозицію прив’язати новий пристрій або ініціювати платіж. У вибірці Unit 42 близько 3% QR-кодів містили deep link. Найчастіше фігурували Telegram, XHS Discover і Line. Також зафіксовані приклади атак на Signal і WhatsApp через механізми підключення додаткових пристроїв.

Третя — обхід фільтрів магазинів додатків. Дослідники виявили 59 000 сторінок, де QR-коди вели на пряме завантаження Android-додатків у форматі APK. В цілому виявлено 1 457 унікальних файлів. Істотна частка подібних роздач пов’язана з азартними сервісами. При цьому установники запитують права, які виглядають надмірними для заявленої функції — доступ до камери, геолокації, внутрішнього сховища.

Окрема увага в звіті приділена галузевій статистиці. В атаках з використанням скорочених посилань 29% випадків припадають на фінансовий сектор. Далі йдуть компанії зі сфери високих технологій з 19% і сегмент оптової та роздрібної торгівлі з 14%. При цьому в загальному масиві легітимного трафіку фінансові QR-посилання займають меншу частку, що свідчить про цілеспрямований інтерес зловмисників до цієї сфери.

Источник: itechua.com