1
Что такое QR-код. Как он устроен и что в нем записано?

QR-код (от англ. Quick Response Code – код быстрого реагирования) – это способ представления произвольной информации в графическом виде. Ближайшая аналогия QR-коду – это привычный всем штрихкод. В отличие от штрихкода QR-код может содержать гораздо больше информации, которая считывается камерами мобильных устройств и/или специальными приложениями. Коды встречаются на чеках из супермаркетов, на квитанциях на оплату коммунальных услуг, на рекламных плакатах, в музеях и кинотеатрах. В QR-коде может быть зашифрована различная информация, считываемая с помощью специального приложения или сканера. Например, существуют банкоматы, которые считывают QR-код с платежек ЖКХ: благодаря QR-коду пользователь не должен вводить реквизиты платежа, они подгрузятся в систему автоматически. QR-код хранит информацию в открытом виде, таким образом, по умолчанию ничего не шифруется. Однако ничто не мешает разработчику поместить внутрь него зашифрованные данные.

2
Как прочитать QR-код с помощью смартфона или планшета?

Сейчас стандартное приложение камеры практически любого современного смартфона или планшета способно прочитать QR-код. В случае если такой функционал в приложении отсутствует, для каждой мобильной платформы существует масса бесплатных программ, которые позволят это сделать. Также если использование QR-кода подразумевает наличие, например, определенного приложения – сервиса промокодов, его необходимо будет установить и применять встроенный в него ридер для чтения QR-кода. В этом QR-коде зашифрована ссылка на данную статью. Наведите на него камеру смартфона или планшета и откройте ссылку.

3
Можно ли прочитать QR-код «вручную»?

В принципе возможно, но требует специальных знаний и определенной подготовки. Притом что есть масса других, более простых способов. Сам по себе QR-код представляет картинку из черных квадратиков на белом фоне. В картинке шифруются как сами данные, так и техническая информация для их расшифровки, которая используется декодирующими устройствами. В сети есть множество инструкций по расшифровке различных вариантов QR-кодов. Но процесс для неподготовленного человека может стать очень непростым. Но если чувствуете в себе талант шифровальщика и нравится возиться с цифрами и таблицами – можете попробовать. Однако если QR-код, представленный, например, в виде наклейки, физически изменен, то есть деформирован, искажен или в нем отсутствует часть полезной информации, то это сделать значительно труднее.

4
Насколько безопасно оплачивать покупки с помощью QR-кода? Могут ли в нем зашифровать что-то небезопасное, что может мне навредить?

Это очень актуальная проблема в том случае, если вы используете QR-код для «прямой» оплаты услуг. Здесь подразумевается сценарий, при котором для покупки услуг вы сканируете QR-код, а затем в специальном приложении просто подтверждаете трансакцию, то есть нет необходимости вводить каждый раз платежные данные вроде Ф. И. О. и номера своей карты. Хороший пример «прямой» оплаты – это аренда велосипеда в Китае. Чтобы оплатить услуги аренды, вы сканируете QR-код на стикере, который приклеен к велосипеду, затем совершаете платеж. На глаз очень сложно отличить настоящий QR-код сервиса аренды от произвольного QR-кода злоумышленника, кроме того, при подтверждении трансакции клиент получает скудный набор деталей совершаемого платежа, в результате возможна ситуация, что на самом деле вы отсканируете и совершите оплату по QR-коду злоумышленника, который он специально наклеил поверх. В случае «прямой» оплаты каких-либо услуг в проверенных магазинах риск попадания в такую ситуацию минимален. В РФ чаще всего для оплаты покупки через QR-код вас перенаправляют на сайт платежной системы. В этом случае обмануть пользователя значительно труднее, поскольку вы можете (и это обязательно стоит сделать) проверить всю платежную информацию, перед тем как совершить трансакцию. Еще одна опасность может подстерегать пользователя при сканировании кода с вшитой внутри ссылкой на сайт или командой для установки приложения. В QR-код мошенники могут зашить ссылку на фишинговый сайт или команду для загрузки вредоносного приложения на девайс. Данный вид атак называется социальной инженерией и очень распространен. По данным исследований компании Positive Technologies, социальная инженерия является вторым по популярности методом атаки среди злоумышленников в III квартале 2017 года. Основной помощник злоумышленников при совершении таких атак — невнимательность. Поэтому следует с осторожностью открывать ссылки из QR-кодов и ни в коем случае без предварительной проверки не загружать приложения и другие файлы.

5
Для чего чаще всего в России используются QR-коды?

В России QR-коды используются уже давно. Например, для зашифровки туристической информации о памятниках культуры или экспонатах музеев, для скачивания книг. В рекламе QR-коды применяются для зашифровки промокодов, карт лояльности, проверки, получения билетов и даже заказа еды прямо в зал в кинотеатре. Сегодня QR-коды также популярны для скачивания приложений для телефона или вместо визитных карточек (показываем QR-код – контакт сохраняется в телефоне). Для оплаты услуг ЖКХ: код уже много лет печатают на квитанциях по их оплате. Еще один распространенный способ применения – для безналичной оплаты в вендинговых аппаратах.

6
А как с ними складывается ситуация в мире? В каких странах QR-код используется чаще всего?

Наибольшее распространение QR-коды получили на Востоке – в Японии и Китае. Тому есть несколько причин. Начнем с того, что первоначально технология была разработана для рынка Японии. Тут еще стоит обратить внимание на тот факт, что QR-коды часто позволяют легко получить ссылки на сайты, приложения, написанные на латинице. Для привыкших к иероглифам японцев и китайцев латиница представляет определенные трудности. А тут все просто: отсканировал QR-код, получил нужную ссылку, совершенно не волнуясь о длине оной и правильности ее написания. Кроме этого, популярности QR-кодов значительно поспособствовали распространенный на Востоке мессенджер WeChat, создающий уникальный QR-код для каждого пользовательского аккаунта, и AliPay, активно использующий QR-коды для быстрой оплаты. При оплате через AliPay нет необходимости каждый раз вводить номер своей карты, достаточно лишь подтвердить трансакцию, нажав на соответствующую кнопку на экране. Это настолько распространенный способ, что владельцы малого бизнеса просто не могут себе позволить не пользоваться этой технологией, ведь иначе прибыль заметно снизится. В связи с этим в Китае оплатить QR-кодом можно практически все: от товаров на рынке до милостыни бедняку. Еще один необычный способ применения QR-кодов – так называемые виртуальные кладбища. QR-коды размещаются на надгробиях и ведут на онлайн-кладбище, позволяющее «посещать» покойных через Интернет, проводить ритуалы и делиться воспоминаниями. Удивительно, что эта идея прижилась не только в Китае, но и в некоторых европейских странах, таких как Испания, Италия и Великобритания. В целом же в остальном мире ситуация похожа больше на Россию, чем на Китай и Японию: QR-коды используются повсеместно для рекламы, тогда как для платежей в основном применяется NFC.


Антонина САМСОНОВА, Banki.ru. Автор благодарит за помощь в подготовке материала Кирилла ВОРОБЬЕВА, специалиста департамента анализа защищенности Digital Security, Андрея ЕГОРОВА, директора по развитию бизнеса на массовом рынке компании Netbynet, и Ярослава БАБИНА, старшего специалиста отдела исследования безопасности банковских систем Positive Technologies.