Tõde QR-koodi pettuste kohta: Kuidas „tasuta" generaatorid kasutajaid väljapressivad

Kuskil 2015. aasta ja tänapäeva vahel muutusid QR-koodid Jaapani kurioosumist globaalseks infrastruktuuriks. Need on trükitud restoranilaudadele, muuseumiseintele, tootepakenditele ja maksudeklaratsioonidele. Peaaegu iga telefon Maal oskab neid lugeda.

Ja vaikselt ehitas üks tööstus end ümber ühe ebaausa eelduse: et QR-koodidel peaks olema vahendaja.

See artikkel selgitab QR-koodi väljapressimise skeemi mehhanismi, miks see töötab, kes sellest kasu saab ja kuidas vältida selle miljonite ohvrite hulka sattumist.

Muster

Kirjutate Google'isse „tasuta QR-koodi generaator". Kõige ülemine tulemus on rõõmsa liidesega. Kleebite URL-i, kohandate värve, näete, kuidas ilmub ilus QR-kood. Klõpsate „lae alla".

Nüüd juhtub üks kolmest:

1. Teilt palutakse luua konto — „lihtsalt allalaadimiseks"
2. Teile öeldakse, et tasuta tase toodab madala resolutsiooni või veemärgistatud versiooni ja „premium" allalaadimine on paywall-i taga
3. Saate puhta allalaadimise — ja miski ei hoiata teid, et äsja salvestatud QR-kood suunatakse läbi generaatori serverite

Kolmas juhtum on kõige salakavalam. Kasutaja lahkub saidilt usus, et tal on töötav QR-kood. Ta trükib selle visiitkaartidele, restoranide menüüdele, ürituse siltidele, tootemärgistustele. Tuhanded koopiad lähevad ringlusse. Ja nädalate, kuude, vahel aastate jooksul koodid töötavad hästi.

Siis — ühel vaiksel päeval — nad peatuvad. Sest ettevõte otsustas, et on aeg raha teenima hakata.

Mis tegelikult elab QR-koodi sees

QR-kood on mustade ja valgete ruutude muster, mis kodeerib binaarseid andmeid. Skannerid dekodeerivad mustri ja edastavad tulemuse operatsioonisüsteemile, mis tõlgendab seda kui URL-i, tekstirida, Wi-Fi mandaate või muid vorminguid.

See on ülioluline osa: QR-kood on andmed ise. Serverit ei ole kaasatud. Pole päringut. Kui QR-kood on trükitud, ei saa keegi muuta selle sees olevat.

Staatiline URL QR-kood https://example.com/menu jaoks sisaldab sõna-sõnalt selle URL-i ASCII-baite. Kui keegi seda skannib, kus iganes maailmas, igavesti, suunatakse ta selle URL-i juurde. Keegi ei saa seda maha võtta. Keegi ei saa seda muuta. Keegi ei saa jälgida, kes skannib.

Nii olid QR-koodid kavandatud ja seetõttu said neist universaalne infrastruktuur.

Kõrvalepõige

Dünaamilised QR-koodid rikuvad selle kavandi. Selle asemel, et kodeerida tegelik URL, kodeerivad nad lühikese ümbersuunamise URL-i QR-teenusepakkuja serveris: midagi sellist nagu https://short.qr-co/abc123.

Skannimisel taotleb skanner short.qr-co/abc123. Teenusepakkuja server otsib andmebaasist abc123, leiab tegeliku sihtkoha ja väljastab HTTP-ümbersuunamise. Skanner järgib seda ja jõuab tegelikule lehele.

Kasutaja vaatenurgast töötab see identselt. QR-teenusepakkuja vaatenurgast on see kullakaevandus:

• Iga skannimine genereerib serverilogi: ajatempel, IP, user-agent, mõnikord geolokatsioon
• Sihtkoha URL-i saab igal ajal muuta ilma uuesti trükkimata
• Koodi saab teenusepakkuja keelata, kustutada või pantvangis hoida
• Skannimise andmeid saab edasi müüa
• Kõige olulisem: teenusepakkuja saab üüri küsida

Käsitleme mehhanikat üksikasjalikumalt artiklis QR-koodi ümbersuunamise kaaperdamine.

Kuidas tasumine töötab

Dünaamiline QR-mudel võimaldab nelja eraldiseisvat ekstraheerimise strateegiat:

Tellimus

QR-kood töötab seni, kuni maksate igakuist tasu. Lõpetage maksmine ja teie teenusepakkuja keelab ümbersuunamise — iga teie QR-koodi trükitud koopia muutub surnud kaaluks. Seda turundatakse sõnaselgelt funktsioonina („jälgige skannimisi! muutke oma QR-koodi igal ajal!"), kuid lukustamise efekt on äri. Vaadake QR-tellimuse lõks üksikasjaliku analüüsi jaoks.

Prooviversioon ja lõks

Tasuta kasutajad saavad „prooviversiooni" dünaamilise QR-koodi. See töötab 14 päeva, 30 päeva, mõnikord isegi kauem. Kui see aegub, on see juba ringluses. Et seda elus hoida, peab kasutaja nüüd maksma. Vaikselt muutub tasuta tööriist pidevaks kuluks.

Paywall-ide taha panetud allalaadimised

Genereerige kood tasuta. Makske, et laadida alla kõrge resolutsiooniga. Makske rohkem, et eemaldada veemärke. Makske rohkem SVG eest. Makske rohkem „premium"-mustrite eest. Miski sellest ei peegelda reaalseid kulusid — QR-kood on 100-baidine arvutus — kuid iga hõõrdumiskoht muudab protsenti kasutajatest maksvateks klientideks.

Sunnitud registreerimine

QR-kood on tasuta ja staatiline, kuid allalaadimiseks peate looma konto. Nüüd on neil teie e-post ja toode pöördub upsell e-kirjade, lead nurturing-u ja külgnevate teenuste poole.

Kõik neli strateegiat toetuvad samale trikile: kasutaja ei tea, et QR-koode on peaaegu tasuta toota. Enamik inimesi eeldab, et maksmiseks peab olema põhjus. Seda pole.

Tegelik kahju

See pole hüpoteetiline. Mustril on nähtavad tagajärjed:

• Restoranid, mille trükitud menüü QR-koodid äkki lõpetavad töö pärast eeskirjade muutmist
• Ürituste korraldajad jäävad virnadesse reklaammaterjalidega, mis osutavad surnud ümbersuunamisele
• Väikeettevõtted, mille visiitkaardid kehtetuks muutuvad keset kampaaniat
• Mittetulunduslikud organisatsioonid annetuste QR-koodidega, mis katkevad tellimuse aegumisel
• Kirikud, muuseumid, koolid — kõik ilma pühendunud IT-meeskonnata — hoiavad kasutut trükimaterjali

Enamikul juhtudel ei saa ohver kunagi aru, mis juhtus. Nad eeldavad, et QR-koodid olid alati haprad või et nad tegid midagi valesti. Teenusepakkuja ärimudel sõltub sellest segadusest. Kui teie kood lõpetas töötamise, lugege miks QR-koodid lõpetavad töötamise.

Miks see jätkuvalt töötab

Mõned tegurid muudavad QR-koodi väljapressimise ebatavaliselt tõhusaks:

Sõna „QR" on enamiku inimeste jaoks läbipaistmatu. Keskmisele kasutajale on QR-kood must-valge kast, mis maagiliselt avab lingid. Nad ei tea, et staatiliste ja dünaamiliste koodide vahel on erinevus — generaatori liides ei räägi neile kunagi. Kirjutasime täieliku võrdluse, et seda parandada.

Kahju on edasi lükatud. Selleks ajaks, kui dünaamiline QR-kood katkeb, on ohver tavaliselt unustanud, milline teenus selle tegi. Nad ei saa hõlpsalt uuesti alla laadida, uuesti trükkida ega taastada.

Kahju on vaikne. Katkine QR-kood ei jookse kokku. See lihtsalt ei tööta — tundub nagu mis tahes muu skannimisprobleem. Enamik kasutajaid süüdistab oma telefoni.

Otsingutulemused soosivad kiskjaid. Ettevõtted, kellel on tulu, kulutavad seda SEO-le, reklaamidele ja sisufarmidele. Ausad staatiliste QR-koodide tööriistad jäävad harva nende kohale. Tulemus: otsingud „tasuta QR-koodi generaator" viivad valdavalt dünaamilistele toodetele.

Kuidas tuvastada röövlik QR-teenus

Enne kui kasutate mis tahes QR-generaatorit, kontrollige neid signaale:

1. Kas see nõuab kontot? Ükski staatiline QR-generaator ei vaja seda — URL-i mustrisse kodeerimine on puhas kliendipoolne matemaatika. Igasugune registreerimise nõue on ekstraheerimisskeem.
2. Kas see pakub „jälgimist" või „analüütikat"? Funktsioonid, mis loevad skannimisi, tõestavad, et kood on dünaamiline. Staatiline QR-kood ei saa midagi jälgida.
3. Kas on „plaan" või „tellimus"? QR-kodeerimine maksab praktiliselt mitte midagi. Tellimuse hinnakujundus on mõistlik ainult siis, kui teenus hoiab teie koodi pantvangis.
4. Kas hinnaleht mainib „aegumist", „skannimise piire" või „muudetavaid QR-koode"? Kõik need viitavad dünaamilistele koodidele, mis töötavad teenusepakkuja serverites.
5. Kas eelvaate URL näeb välja nagu `qrco.de/xyz`? See on ümbersuunamise URL — loote dünaamilise koodi.
6. Kas saidil on palju reklaame või jälgimisskripte? Tasuta teenused jälgimisega ekstraheerivad väärtust teisel viisil.

Koostasime täieliku nimekirja artiklis 5 punast lippu, et teie QR-generaator on lõks.

Kuidas staatilised QR-koodid välja näevad

Staatiline QR-koodi generaator küsib teie sisu, kodeerib selle otse QR-mustrisse ja annab teile faili. See on kõik. Pole ümbersuunamist, jälgimist, kontot, tellimust, aegumist.

See sait on üks neist. Kõik toimub teie brauseris — meie server ei saa kunagi seda, mida kodeerite. Saate seda kontrollida oma brauseri võrgu vahekaardil: kui loote siin QR-koodi, ei välju teie seadmest mingeid andmeid.

Saate ka kontrollida, mis on QR-koodi sees. Skannige mis tahes QR, mille loote meie skanneriga, ja kinnitage, et dekodeeritud sisu on täpselt see, mille sisestasite — pole ümbrispakendi URL-i, lühikest linki, ümbersuunamist.

Miks me selle ehitasime

Meil oli kõrini vaadata, kuidas heatahtlikud inimesed — väikeettevõtete omanikud, vabatahtlikud, kunstnikud, õpetajad — QR-petusse sattusid. Tööriistad, mis väitsid neid aitavat, korjasid vaikselt kokku nende andmed, trükkimise eelarve ja tulevased tellimusmaksud.

Seega ehitasime selle vastandi.

See generaator on tasuta, sest QR-koodide loomine on tasuta. Me ei võta midagi, sest pole midagi, mille eest küsida. Me ei kogu andmeid, sest pole andmeid, mida koguda — teie QR-sisu ei lahku kunagi teie brauserist. Me ei paku jälgimist, sest jälgimine nõuab teie QR-koodi muutmist kellegi teise omandiks.

Meie QR-koodid on staatilised. Need kuuluvad teile. Need ei aegu kunagi. Neid ei saa keelata. Kui meie sait homme pimendab, töötavad kõik QR-koodid, mille olete siin kunagi genereerinud, endiselt.

Mida saate teha

1. Ärge kunagi kasutage dünaamilist QR-koodi trükitud materjalidele. Kui te ei saa odavalt uuesti trükkida, on staatiline ainus ohutu valik.
2. Kui olete juba dünaamilised koodid trükkinud, käsitlege neid lühiajaliselt. Kavandage, et need katkevad. Hoidke originaalne sihtkoht käepärast, et saaksite hiljem staatiliselt uuesti luua.
3. Öelge teistele. Enamik mittetehnilisi kasutajaid ei tea, et see pettus eksisteerib. Lühike selgitus staatilise vs dünaamilise kohta säästab neid aastatepikkustest tellimusetasudest.
4. Looge oma järgmine QR-kood staatiliselt. Alustage meie URL, WiFi, vCard, e-post, telefon või tekst generaatoritega.

QR-koodid on põhiline infrastruktuur. Need peaksid käituma nagu põhiline infrastruktuur — ennustatavad, püsivad ja kuuluma sellele, kes neid teeb.

Ehitasime selle saidi nii, et vähemalt kuskil internetis teeksid nad seda endiselt.