Коллектив Авторов - Цифровой журнал «Компьютерра» № 219
- Название:Цифровой журнал «Компьютерра» № 219
- Автор:
- Жанр:
- Издательство:неизвестно
- Год:неизвестен
- ISBN:нет данных
- Рейтинг:
- Избранное:Добавить в избранное
-
Ваша оценка:
Коллектив Авторов - Цифровой журнал «Компьютерра» № 219 краткое содержание
Сенат США против одесского кибер-Привоза Автор: Михаил Ваннах
Как интернет-экономика зарабатывает на украинской беде Автор: Михаил Ваннах
Суперкомпьютеры и суперсерверы: сегодня падение, а завтра подъём? Автор: Михаил Ваннах
Промзона8 часов из жизни аэропорта Лос-Анджелеса на одном фото Автор: Николай Маслухин
Система шумоподавления для окон Автор: Николай Маслухин
Встроенный в колесо буксир поможет авиалайнерам маневрировать на земле Автор: Николай Маслухин
Tesla усиливает защиту своих автомобилей титановым щитом Автор: Николай Маслухин
Разработан подстаканник для беспроводной зарядки телефона в автомобиле Автор: Николай Маслухин
ТерралабAndroid и автономность: как решают проблему производители Автор:
ТехнологииЗащита удалённых хранилищ: ключи в руках и в облаках Автор: Андрей Васильков
На подзарядку становись! Электрокипячение мозгов в домашних условиях Автор: Евгений Золотов
Как Dropbox распознаёт пиратские файлы Автор: Андрей Васильков
Фальшивые «соты», неправильный «мёд»: кто и для чего ломает сети сотовой связи? Автор: Евгений Золотов
Как хакеры используют QR-коды для взлома систем Автор: Олег Нечай
Intel Edison: компьютер размером с карту SD становится умнее Автор: Андрей Васильков
Дорогу киборгам! Кибатлон и рамки разумного Автор: Евгений Золотов
Гуманоидные роботы по гуманной цене Автор: Андрей Васильков
Ода красивому коду Автор: Евгений Золотов
Гея и (как бы) хозяин природы: ждёт ли Чили новое Великое землетрясение? Автор: Евгений Золотов
Цифровой журнал «Компьютерра» № 219 - читать онлайн бесплатно полную версию (весь текст целиком)
Шрифт:
Интервал:
Закладка:
Между тем приёмы взломщиков применительно к QR-кодам остаются теми же самыми, что используются при взломе любых других электронных систем: это, как всегда, сочетание чисто технических средств с элементами социального инжиниринга. Цели тоже остаются неизменными: похищение cookies и личных данных, фишинг, взлом виртуальных магазинов и даже Google Glass.
Чтобы приобрести что-нибудь в интернет-магазине, какие-токакой-то виртуальном магазине либо через рекламу на улице, в журнале или в интернете с помощью QR-кода, нужно просто просканировать этот код камерой смартфона или планшета, после чего вы будете перенаправлены на веб-страницу с дополнительной информацией о товаре и способах оплаты и доставки. При этом вы отправляете в интернет ваши личные данные, в том числе и реквизиты оплаты для карточной или другой платёжной системы.
Вот самая элементарная схема мошенничества с QR-кодами, расположенными в публичных местах. Возьмём для примера виртуальные магазины, которые представляют собой просто большие стенды с фотографиями товаров, их ценами и соответствующими QR-кодами. Обычно в таких магазинах есть три варианты доставки после оплаты: скачивание (для музыки, видео или программного обеспечения), распечатка (для билетов или флаерсов) или собственно доставка (для каких-то физических предметов).
Чтобы перехватить личные данные и, если повезёт, одновременно и денежные средства жертвы, достаточно просто подменить QR-код, который отправлял бы на сфальсифицированную страницу и заставлял покупателя перечислить деньги на подставной счёт. Программ для генерирования такого кода существует множество, в том числе и совершенно бесплатных. В результате злоумышленник может получить практически полный пакет данных: имя и адрес покупателя и номер его платёжной карты.
Более затратный, но, возможно, ещё более эффективный способ мошенничества — это печать и распространение рекламных буклетов, каталогов и прочего маркетингового хлама, распространяемого по почтовым ящикам и просто в разных общественных местах. При этом злоумышленнику даже не обязательно маскироваться под какой-то известный магазин или торговую сеть: достаточно предложить какие-нибудь сногсшибательные «акции и скидки», и этот примитивнейший приём социальной инженерии сделает своё дело. В остальном же результат всё тот же: вы дарите мошенникам не только деньги, но и номер кредитки и свой адрес.
Для хищения личных данных, используемых вами в интернете, применяется ещё один способ — кража файлов cookies браузера, в которых хранится самая разнообразная информация о посещённых вами сайтах, включая настройки и данные о сессии, позволяющие не авторизоваться всякий раз при заходе на ресурс. Для этого достаточно просканировать подложный QR-код: он переправит вас на фейковую страницу, которая не будет выглядеть особенно подозрительной и не сделает ничего заметного, а лишь похитит файлы cookies. И если «большие» антивирусы сегодня почти в обязательном порядке проверяют соответствие реального URL тому, что демонстрируется пользователю, упрощённые версии для смартфонов и планшетов могут пропустить подобную подмену.
Перехватив вашу сессию, например, в интернет-магазине, злоумышленник сможет добраться не только до личных данных, но и до сведений о платёжной карте. При этом он, скорее всего, не будет заказывать что-то именно в этом магазине, а воспользуется полученными сведениями для фабрикации карты-двойника или для добывания какой-то более подробной информации о жертве.
Хорошо известен также случай, когда по QR-коду на смартфоны под управлением Android вместо интернет-мессенджера загружался СМС-троян Jimm, рассылавший платные эсэмэски с аппарата жертвы.
Всё это довольно простые и незатейливые способы, но среди взломщиков существуют и настоящие «художники», заставляющие насладиться красотой и элегантностью не только процесса, но даже самой идеи проникновения в систему. В мае 2013 года появилась информация о том, что специалистам компании по сетевой безопасности Lookout Mobile удалось взломатьочки-компьютер Google Glass при помощи QR-кода, а точнее, с помощью так называемых фотобомб, «взрывающихся» при фиксировании очками QR-кодов. Дело в том, что это устройство способно автоматически сканировать любую картинку с целью распознавания объектов, которые могут представлять интерес для владельца.
По уверениям Google, сейчас эта уязвимость устранена, но изначально в QR-кодах, которые используются для настройки очков, можно было зашифровать любые команды, в том числе и позволяющие получить полный удалённый доступ к устройству, незаметный для владельца. Кроме того, ранее можно было «заставить» очки подключиться ко взломанной точке доступа Wi-Fi или устройству с Bluetooth и перехватывать любую информацию, передаваемую как от очков, так и к очкам, — то есть, грубо говоря, можно было показать владельцу сфабрикованную картинку. Сейчас возможность автоматического подключения к Wi-Fi заблокирована, и очки Google Glass реагируют на QR-коды лишь в строго определённых режимах.
Как видим, собственно QR-коды не слишком подвержены взлому, поскольку в их спецификации изначально заложена система исправления ошибок на основе кода Рида — Соломона с четырьмя уровнями избыточности от 7 до 30%, что позволяет, например, считывать даже повреждённый код, код с нанесённым изображением или использовать для этого смартфон с грязным либо поцарапанным объективом.
Однако в подавляющем большинстве случаев взлом самого кода (то есть теоретически возможное, но весьма трудоёмкое изменение каким-то образом оригинальной картинки) и не требуется. Гораздо б о льшую опасность представляют подложные QR-коды, причём особенно уязвимы именно мобильные устройства в связи с самим характером их «полевого» использования.
Поэтому лучшим способом защиты от мошенничества остаётся старое сетевое правило: не открывайте подозрительные ссылки; в нашем случае оно звучит как «не сканируйте подозрительные QR-коды». Гораздо безопаснее приобрести какой-то товар в проверенном онлайновом или офлайновом магазине, чем иметь дело с виртуальными магазинами, расположенными в сомнительных местах, а тем более — рекламными проспектами.
Шрифт:
Интервал:
Закладка:
