QR-код
QR-кодами пользуются многие известные бренды, проекты и организации. Источник: darwin.museum.ru

«Только за 2012 год количество вредоносных мобильных программ выросло больше чем в десять раз», — отмечает Каталин Косои, директор по исследованиям компании BitDefender. Этот вывод в компании сделали по результатам анализа мобильных вирусов, собранных с помощью ловушек (honeypot).

Злоумышленники пользуются вредоносными QR-кодами и другими способами атак на мобильные устройства потому, что такие устройства продаются активнее персональных компьютеров, но при этом на смартфоны мало кто устанавливает какие-либо защитные программы.

Что такое вредоносный QR-код

QR-код (сокращение от Quick Response, «быстрый отклик») — графически закодированный адрес сайта. Вредоносный QR-код содержит ссылку на сайт с внедренным в него вирусом.

«Неважно, каким образом QR-код был получен и отсканирован, в конечном счете устройство преобразует его в ссылку», — объясняет Дэвид Мэйман, основатель и директор по технологиям GreenSQL.

По такой ссылке может находиться сайт с троянским кодом.

«Обычно это троянец на JavaScript, — отмечает Дейв Кронистер, главный хакер компании Parameter Security, предоставляющей услуги тестирования сетей на возможность проникновения. — Когда сайт открывается, код JavaScript автоматически запускается и заражает вашу систему вирусом».

После проникновения вирус обычно связывается с хакерскими серверами, которые автоматически передают на устройство другие вредоносные программы, могущие красть и портить ваши данные.

QR-коды можно создавать автоматически с помощью свободно доступных инструментов.

«Например, генератор QR-кодов есть в Social Engineering Toolkit, — отмечает Кронистер. — Это инструментарий, созданный в помощь этичным хакерам для тестирования систем на уязвимости по просьбе организации-заказчика. Естественно, им могут пользоваться и злоумышленники».

Векторы атак

Злоумышленники могут распространять вредоносные QR-коды через скомпрометированные системы маркетинговых агентств, занимающихся генерацией кодов для своих заказчиков. Так что последним не помешает проверять коды на благонадежность. Возможна дистрибуция через фальшивые генераторы QR-кодов или просто путем размещения где-либо с расчетом на сканирование.

Существует также немало бесплатных приложений для создания QR-кодов.

«Ничто не помешает злоумышленнику разместить где-либо приложение, которое будет добавлять к QR-кодам JavaScript, переадресующий на посторонний сайт с вирусами», — отмечает Кронистер.

Если на предприятии позволяют подключать к корпоративной сети личные смартфоны, они могут стать «мостиками» для передачи в нее вредоносных программ при заражении через QR-коды.

Атаки нового поколения

Злоумышленники пользуются вредоносными QR-кодами для совершения фишинга. Атакующий, к примеру, может изготовить тысячу листовок, якобы от Subway, с надписью «Бесплатный сэндвич всем присоединившимся к нашему QR-клубу» и вредоносным кодом. При его сканировании смартфон перейдет на сайт с надписью «Спасибо, что присоединились» и получит троянец.

«QR-кодами пользуется масса известных брендов, так что потребителя легко ввести в заблуждение, подсунув ему поддельный код», — полагает Кронистер.

Целенаправленная атака может также осуществляться с помощью межсайтового скриптинга, когда через брешь легитимного сайта имеющийся на нем QR-код подменяется на вредоносный.

«В браузере открывают сайт, который раньше был безвредным, но теперь на нем QR-код, переадресующий на хакерскую ссылку», — поясняет Кронистер.

Заразив ваш смартфон с помощью вредоносного QR-кода, хакер может получить доступ к вашим сообщениям и показаниям GPS, включать камеры и подслушивать разговоры.

«На смартфонах даже появляются программы, которые могут сделать ваш аппарат частью ботнета, атакующего другие системы», — указывает Кронистер. Такой ботнет способен рассылать спам по SMS или устраивать DDoS-атаки.

Что делать директорам по безопасности

Лучший способ оградить себя от вредоносных QR-кодов на предприятии — не пользоваться ими.

«Сами графические коды не настолько полезны для какого бы то ни было бизнеса, чтобы идти на этот риск, — полагает Кронистер. — Но если уж предприятию не избежать использования QR-кодов, придется позаботиться о средствах проверки их надежности».

Проинструктируйте сотрудников, объясните, что нельзя пользоваться QR-кодами на смартфонах, с помощью которых они подключаются к корпоративной сети.

«Если в компании принят подход BYOD, проведите с сотрудниками разъяснительную работу по поводу рисков, связанных с QR-кодами», — добавляет Кронистер.

В компаниях стоит изолировать беспроводные сети для посетителей от остальной инфраструктуы, а также внутренние сети с конфиденциальными данными — от прочих. К сожалению, это делается не всегда.

«Еще до начала тестирования сети на возможность проникновения, на этапе планирования, часто выясняется, что, несмотря на наличие у предприятия гостевой сети, смартфоны подключаются к корпоративной», — сообщил Кронистер.

Следите за тем, чтобы на смартфонах и других мобильных устройствах присутствовали и обновлялись антивирусы и другое защитное ПО.

«Бывает, мы тестируем сеть и видим, что, согласно политике, на каждой системе, подключающейся к этой сети, должен стоять антивирус, — рассказывает Кронистер. — Но вот я прошу посмотреть чей-нибудь iPhone, и оказывается, что на нем нет антивируса, хотя смартфон подключен к корпоративной сети».

Долговременные решения

Специалистам по безопасности нужно регулярно уточнять и дополнять фильтры, с помощью которых анализируются файлы сетевых протоколов на различные аномальные события.

«Такой анализ поможет, например, определить, когда к внутренней системе подключился корпоративный смартфон, принадлежащий сотруднику, который в этот день взял отгул по болезни, — отмечает Мэйман. — В этом случае сеть может автоматически сбросить соединение, а админам отправить предупреждение для дальнейшего изучения вопроса».

Но даже такие фильтры не панацея. «Явных указаний на то, что имеет место нештатная ситуация, может и не быть», — отмечает он.