Желаю тому, кто придумал клеить эти бумажки на банки с напитками, долгих лет жизни. И чтобы каждое утро ему подавали чашечку этого замечательного вкуснейшего клея! 

Знакомый всем чёрный квадрат с лёгкостью обходит любую цифровую защиту.

В последнем квартале 2023 года наблюдался резкий скачок атак с использованием QR-кодов, направленных преимущественно на корпоративных руководителей и менеджеров. Эксперты рекомендуют компаниям усилить защиту своих руководящих кадров цифровыми средствами.

Недавний отчёт компании Abnormal Security, специализирующейся на обеспечении безопасности электронной почты в облаке, демонстрирует, что фишинговые письма с QR-кодами успешно преодолевают спам-фильтры и достигают своих адресатов, в частности, пользователей Microsoft 365 и DocuSign.

По предоставленной аналитиками статистике, в четвёртом квартале 2023 года высшее руководство компаний в 42 раза чаще сталкивалось с фишинговыми атаками с использованием QR-кодов, чем обычные сотрудники. Менеджеры среднего звена также ощутили увеличение числа атак, хоть и в меньшем масштабе, сталкиваясь с фишингом на основе QR-кодов в пять раз чаще, согласно отчёту Abnormal.

«Если я злоумышленник, я хочу атаковать тех, кто может мне заплатить и у кого есть учётные данные, дающие доступ к самой интересной информации», — объясняет мотивы хакеров Майк Бриттон, главный информационный специалист по безопасности в Abnormal.

QR-коды, получившие широкое распространение во время пандемии, стали популярным средством для атак. Более четверти атак с QR-кодами (27%) в четвёртом квартале имитировали уведомления о многофакторной аутентификации (MFA), а примерно каждая пятая атака (21%) представляла собой фальшивые уведомления о совместном доступе к документам.

Фишинг с использованием QR-кодов особенно опасен, так как злоумышленники маскируют вредоносные ссылки в изображениях, что позволяет им обходить не только подозрения пользователей, но и большинство продуктов по обеспечению безопасности электронной почты. Кроме того, вредоносные QR-коды могут быть размещены в физическом пространстве, например, на стикерах, визитках и т.п. Всё это позволяет хакерам обойти цифровую защиту компаний, какой бы мощной она не была.

«Атаки используют врождённое доверие пользователей к QR-кодам, интегрируя их в повседневные предметы, такие как паркоматы или плакаты», — говорит Моник Бесенти, директор по продукту в компании по мобильной безопасности Zimperium.

Основной целью атак на руководителей является похищение учётных данных — имён пользователей и паролей. Фишинг учётных данных является самым популярным видом атак по электронной почте, составляя 73% всех атак и 84% атак с использованием QR-кода.

Несмотря на то, что с октября популярность фишинга с QR-кодами несколько снизилась, он всё равно навсегда останется в арсенале злоумышленников. Лучший способ защиты — обучение пользователей, считает Джон Геллин из компании Hoxhunt.

«Обучение важно, но мы обязательно столкнёмся с провалами, и для провала достаточно одной ошибки», — добавляет Бриттон из Abnormal Security, подчёркивая необходимость технических контролей в дополнение к обучению.

Я ставил прививки не потому что что-то там. Не потому что мне нравится, когда в меня иголками тыкают, а потом меня штормит несколько дней. Я ставил прививки исключительно ради получения квадрокода.

Через несколько дней после первой прививки я обнаружил, что у меня на госуслугах вообще нет сведений о первой прививке. Меня это слегка напрягло... пообщался с людьми. У некоторых сведения о первой прививке появлялись сразу, у других - потом, уже после второй, появлялись сведения об обеих прививках. И, соответственно, квадрокод. Так что, вроде как, можно не беспокоиться.

С другой стороны парень из соседнего офиса к тому моменту ждал квадрокод уже около трех недель... а это - наоборот, вызывало беспокойство.

Через три дня после второй прививки, несмотря на то, что квадрокод обещали в течение трех дней, я еще не решил - беспокоиться или нет. В конце концов, я в молодости тоже многим обещал жениться. Но женился на одной и недолго.

Более-менее сильно я начал беспокоиться на пятый день. Квадрокода все еще не было. Как и сведений о прививках. Отправил жалобу через госуслуги и надеялся, что проблема решится... ответ от МинЗдрава пришел на следующий день - мол, так и так, проблема не у нас, проблема на госуслугах. Звоните в техподдержку.

Позвонил. Там убедились, что запись подтверждена и пояснили, что проблема не у них, а в МинЗдраве. Посоветовали еще раз отправить жалобу через госуслуги.

Хорошо... еще раз отправил жалобу через госуслуги... и вскоре пришел ответ, от того же МинЗдрава, что проблема со стороны госуслуг, нужно опять звонить в техподдержку.

Я еще раз позвонил в техподдержку... но теперь все было хуже. Женщину убрали, вместо нее посадили робота. И робот, после того, как я покормил его цифрами, сообщал, что не нужно беспокоиться - квадрокод придет на третий день, как максимум. А если не пришел - нужно жаловаться через портал госуслуг...

Да, блин!!! Не пришел квадрокод на третий день! И через портал я жаловался неоднократно!

Позвонил в МинЗдрав, где мне сообщили, что проблема или на сайте госуслуг, или в больнице, где мне ставили прививку.

Хрен с вами. Сегодня поехал в больницу. И там мне сообщили, что проблема, совершенно точно, со стороны госуслуг!

Замечательно! Каждый признает проблему, но в возникновении проблемы винит кого-то другого!

Тут уже я слегка выбесился и пошел к главврачу.

Главврачу я объяснил, что все происходящее расцениваю как идеалогическую диверсию или преступное раздолбайство. И, вообще, я - легендарный болтолог с Пикабу, меня все знают. Да мне сам Михалков во сне приходил, просил продать права на экранизацию моей биографии. Да я еще в детстве в Master of Orion галактиками управлял!

А еще добавил, что прежде, чем вводить квадрокоды для людей - их нужно было проверить на лабораторных мышах или морских свинках. Вон, тот же интернет постоянно фотками котиков тестируют. Потому все и работает.

К тому же, если проблема с квадрокодом не решится - то сегодня ночью мне уже приснятся Лаврентий Палыч и Иосиф Виссарионович. А уж они-то умеют правильно вопросы с врачами решать.

И что бы вы думали? Не успел доехать до офиса - а на госуслуги пришла информация о первой прививке! Весьма своевременно - через месяц. А к вечеру пришел и сам квадрокод собственной персоной...

Вот, блин, почему? Почему, чтобы чего-то добиться, приходится идти и ругаться? И это еще хорошо, что я - всемирно известный болтолог. А если б на моем месте был обычный гражданин? Стала бы решать его проблемы главврач, или нет?

Завершить пост мне хочется строчками из стихотворения гениального поэта kka2012:

Если кто без квадрокода -

Вражина тот и козья морда!

В нашей республике Марий Эл, для посещения ТЦ и разных обслуживающих предприятий, требуется: наличие куар кода вакцинации, или отрицательного ПЦР теста на ковид, или справки медотвода от прививки. Иначе "а-та-та" юрлицу до 500к. Поэтому исполняем как можем, извиняемся и спрашиваем у покупателей эти доки. Многие спокойно предъявляют, кто-то недоволен... - конституционные права и всё такое. Но пока было все спокойно, без нервов и повышения голоса. Никуда не денешься, для нас придумали, приходится выполнять, все претензии к тем, кто придумал.

Но сегодня появился "первый", мужичок 30-50+ лет... Просто щас непонятно, то ли он толстый бородатый мальчик, потрепанный жизнью, то ли ему 50 лет. Так вот, с первого же вопроса продавца про куар код, он завелся и начал голосить на всю ОООшку, - да какое вы имеете право, да вы прогнулись, да вы..... да вы.. да вы...

Голосил минут 5 или больше, достал телефон, начал что-то снимать, - Эх вы щас узнаете, вы щас.. вот я щас выложу.. вот-вот-вот щас.. Но продавец была неумолима. И в итоге мужичок, весь на нервяке, с по́том на багровом лице, сдался и достал трясущимися ручками QR, мать его, код и удостоверение, что он - это он и код его, а не левого человека.

Спрашивается, нахуя весь этот цирк, ну есть у тебя нужный документ, ну покажи и общение продолжится.

Когда первый акт (демонстрация QR) был выполнен, начался второй акт:

- Где у вас тут рамы 85х58?

- Вот, выбирайте багет (да-да, дежурная шутка про батон), посчитаем.

Он тыкнул в первый попавшийся, я рассчитал цену, а мужик закатив глаза и махнув рукой крикнул, - ОЙ ВСЁ! (что бы это не значило) и быстрым шагом вышел из магазина. Напоследок попытался хлопнуть дверью, но доводчик сдержал напор.

Блять! Ты потратил больше 5 минут своего времени на споры, нервы и ругань, нихуя не добился, потом еще пару минут по делу.... и всё РАДИ ЧЕГО?

Поменьше всем нам таких истеричек и не будьте как это мужик, относитесь с пониманием к работникам торговли и услуг, не они эти ограничения придумали....