Министерство культуры и туризма региона Астраханской области приняло решение снять с исторических зданий таблички с QR-кодами, которые полгода вели на порносайты или предлагали знакомства в Tinder. При клике владелец устройства автоматически оформлял себе подписку стоимостью 35 рублей в сутки.
«Таблички с QR-кодами все сняты. Это была техническая атака хакеров, которые изменили выход на ненужный сайт. Сейчас разрабатываются новые QR-коды, которые будут заново установлены на зданиях», — пояснила и.о. министра культуры и туризма Астраханской области Галина Зотеева.
QR-коды на городских достопримечательностях разместили несколько лет назад. Предполагалась, что при сканировании кода мобильным телефоном отобразится историческая справка о строении. Однако в прошлом году активисты стали обращаться в астраханский минкульт с жалобами на то, что вместо положенной информации им выдаются ссылки на непристойные сайты. В ноябре информация попала в СМИ. Позже сообщалось, что QR-коды были заблокированы.
Сейчас идёт изготовление новых табличек, сообщила Зотеева.
Это не первый случай, когда хакеры подменяют правительственную информацию ссылками на порнографический контент. Например, в 2016 году оказался взломан интернет-портал правительства Красноярского края. В разделе «Развитие гражданского общества» на вкладке «Молодёжная политика» посетители могли увидеть контент непристойного содержания.
По теме:
«Читаем QR код»
KonkovVladimir
Хотелось бы услышать комментарий начальника тестировочного отдела.
Неужели никто не тестирует (регрессионно) куда ведет QR-код?
Нужно два кейса тестировать.
1. Не подменили, ли QR-код на табличке.
2. Не поменялось ли содержимое по ссылке.
Табличка с QR-кодом получается мини-сайт с одной гиперссылкой, причем провайдером является кирпичная стена и не забанишь — Яровая в ярости.
PS. пишут, что не проплатили хостинг, хотя возможны различные типы атак.
xFFFF
Возможно, злоумышленники поменяли коды после установки.
AlexPanych
Скорее всего так и было, иначе в чем смысл атаки…
JustDont
Вангую, что проявив немного креативности, QR-код «поменять» нужным образом можно с помощью черного маркера и полминутки времени (на «подгонку» почти совпадающего кода конечно побольше полминутки уйдет).
Nomad1
Кстати, интересная техническая задача: имея QR код сгенерировать новый, который будет включать старый + N дополнительных черных квадратов. При этом надо минимизировать значение N, чтобы это можно было сделать с маркером без трафарета.
Какое может быть минимальное N? Можно ли получить код с N = 1 за разумное время вычислений?
qw1
Nomad1
А как вы думаете, какое минимальное N возможно?
Реальна ли в целом операция «подрисовать пару точек маркером» или код от этого защищен?
qw1
Подрисовать реально, но пикселей придётся менять с десяток.
stalinets
Скорее, полагаю, не проплатили хостинг и домен выставили на продажу, разместив там рекламу, вот и всё.
Хотя и приклеить наклейку на старый QR-код с новым кодом, конечно, нетрудно.
semen-pro
Эта атака существует столько, сколько существуют QR-коды, достаточно незаметно прилепить сверху наклейку…
KonkovVladimir
На 2000 руб купюре тоже есть QR-код прям боюсь подумать, что будет в случае компрометации )))
semen-pro
А вот интересно, можно ли закрасить QR-код так, чтобы содержимое поменялось и он остался валидным? Т.е. закрашиваем точечно, меняем биты…
impwx
Если можно закрашивать как черным, так и белым — то задача становится тривиальной.
ApeCoder
Вопрос, что такое «валидный QR код» на купюре и есть ли там контрольная сумма.
impwx
Там самый обычный QR-код, в котором используется даже не контрольная сумма, а автоматическая коррекция ошибок.
Impuls
habr.com/ru/post/443982/#comment_19900298
proton17
Если просто меняли код на табличке, то зачем их менять? Можно просто отмыть/отклеить изменения и все, а на новые потом также могут наклеить… Больше похоже на то, что эти не очень ответственные и умные люди не проплатили хостинг и лишились домена, который быстро прикупили предприимчивые товарищи и стали (не за даром думаю) выкладывать ссылочки на забавный контент. Тогда понятно зачем доски менять. Домен уже так просто не вернуть, дешевле и быстрее несколько десятков табличек переделать.
Firz
Не проплатили хостинг, а домен все еще ссылался на хостера, который само собой начал отдавать рекламу по запросам с такого домена.
DerRotBaron
Судя по всему, не оплатили там именно домен.
Наверное, дважды, т. к. по архивам Wayback Machine, до 2017 года там был связанный с ЮНЕСКО сайт, предоставляющий информацию по QR-кодам, потом год — WordPress Hello World.
В июне 2018 года домен был заново зарегистрирован, и теперь отдает рекламу определенного качества.
Habra_nik
Или таблички в онлайне заказывали, а потом времени не было проверить и отдали вешать так.
barkalov
Прочитал эту новость в схожей формулировке:
уже на трех новостных ресурсах. Хорошо, что Хабр не просто очередной новостной ресурс, но, прежде всего, ИТ-сообщество и статьи тут соответствующего уровня. Спасибо за технические подробности, alizar, после прочтения этой статьи, всё стало понятно. Так держать!Hivemaster
Не продлеваешь домен @ Спираешь вину на хакеров
pnetmon
Крутые хакеры, еще на этапе размещения подменили http://vizitastra.ru/zelenaya-strela/ там фото QR кода
eisaev
Так, судя по vizitastra.ru/zelenaya-strela, всё именно так и задумывалось:
Просто со временем остался только последний пункт.
DrPass
А они там в министерстве культуры и туризма неторопливые, судя по всему.
maxzhurkin
А есть тег facepalm или фэйспалм?
Они здесь точно кстати
Pro-invader
А где Роскомнадзор, а?
caveeagle
Занят он, телеграм блочит.
g0rd1as
Какой телеграм! Он блочит IP-адрес 127.0.0.1 и заглушки провайдеров! :-D
Andrusha
Больше интересно, где РосНИИРОС или кто там сейчас занимается стандартизацией доменов под госнужды? Сварганили бы уже единое пространство для регистрации под окологосударственные ресурсы без необходимости следить-продлевать и возможности перерегистрировать на левое лицо, а то сейчас каждое второе ведомство регает себе вторым уровнем в .ru.
maxzhurkin
g0rd1as
Проблема QR-кодов в их совершенной нечитаемости человеком. Как по мне, так их считывать просто опасно, ибо с их помощью открывается такое огромное поле для манипуляций и фишинга, что прямо оторопь берет! И всего-то надо как-то раз ночью переклеить наклейку. :)
JBMurloc
Что бы они там не делали, QR-код можно легко переклеить. Поэтому тут несколько иное решение нужно. Я тут вижу несколько вариантов:
sergkaneff
Хакеры, хакеры… Это называется ИТ в бюджете, бессмысленный и беспощадный. )
Как показывает личный опыт, обычно в бюджете не заморачиваются на права на домен (по незнанию, в основном), а т.к. Исполнителей получают по самому низу рынка (гос.закупки или до 100 т.р., сами понимаете), то ребята не заморачиваются с регистрацией домена на Заказчика (в большинстве случаев — в корыстных целях), и потом пытаются с Заказчика денежку получить «на техническое обслуживание».
А тут видимо Заказчик просто забыл, что у него там какой-то домен, а Исполнитель не сильно настаивал «на техническом обслуживании».
sim31r
Тогда исполнителю проще изначально настроить переход по ссылке через редирект на своем сайте. Заказчик проверяет — работает. После получения оплаты меняет редирект на выгодный и получает еще небольшую прибыль.
У нас в универе был еще неудачный опыт с QR кодами, коды вели на поисковик + название универа. Задумка была, чтобы получать свежие новости про университет, достижения, мероприятия. Сначала работало всё, но потом в ТОП выдачи поисковиками вышел черный пиар, типа «коррупция, взяточничество, беспредел», таблички быстро сняли.
qw1
tvr
Ну тут же не сказано, кто меняет.
Просто «техническая атака хакеров, которые изменили выход на ненужный сайт.»
qw1
Дело заведут. Следователи при желании разберутся довольно быстро, используя не технические средства (от терморектального до отслеживания бенефициаров, кому пришли денежки со всей этой схемы — вряд ли там с анонимными валютами заморачивались).
AlexanderS
Зачем вообще QR на этих табличках? Они всю эстетику портят, занимая добрую половину площади этой таблички! Эти QR пихают куда ни лень где надо и где не надо. Не понимаю этой моды.
Ernest88
Интересно, как можно оформить подписку просто перейдя по ссылке? Неужели смартфон по так легко отправляет свой номер или еще какие либо личные данные? Кому счета присылать откуда злоумышленник узнает?
eisaev
В этом мошенникам помогает оператор сотовой связи, передающий номер абонента при использовании мобильного интернета.