Tiesa apie QR kodų sukčiavimus: Kaip „nemokami" generatoriai išvilioja pinigus iš vartotojų

Kažkur tarp 2015 metų ir šių dienų QR kodai iš japoniško smalsumo virto pasauline infrastruktūra. Jie atspausdinti ant restoranų stalų, muziejų sienų, produktų pakuočių ir mokesčių formų. Praktiškai kiekvienas telefonas Žemėje gali juos perskaityti.

Ir tyli pramonė susikūrė aplink vieną nesąžiningą prielaidą: kad QR kodai turėtų turėti tarpininką.

Šis straipsnis paaiškina QR kodo išviliojimo schemų mechaniką, kodėl ji veikia, kas uždirba ir kaip išvengti tapti vienu iš jos milijonų aukų.

Modelis

Įvedate į Google „nemokamas QR kodo generatorius". Viršutinis rezultatas turi malonų sąsają. Įklijuojate URL, pritaikote spalvas, matote, kaip pasirodo gražus QR kodas. Spustelite „atsisiųsti".

Dabar įvyksta vienas iš trijų dalykų:

1. Jūsų prašoma susikurti paskyrą — „tik atsisiuntimui"
2. Jums sakoma, kad nemokamas lygis sukuria žemos raiškos arba su vandens ženklu versiją, o „premium" atsisiuntimas yra už mokamos sienos
3. Gausite švarų atsisiuntimą — ir niekas jūsų neperspėja, kad QR kodas, kurį ką tik išsaugojote, nukreipiamas per generatoriaus serverius

3 atvejis yra klastingiausias. Vartotojas išeina iš svetainės, tikėdamas, kad turi veikiantį QR kodą. Jie spausdina jį ant vizitinių kortelių, restoranų meniu, renginių ženklų, produktų lipdukų. Tūkstančiai kopijų patenka į apyvartą. Ir savaitėms, mėnesiams, kartais metams kodai gerai veikia.

Tada — tyliai, vieną dieną — jie sustoja. Nes įmonė nusprendė, kad laikas monetizuoti.

Kas iš tikrųjų gyvena QR kode

QR kodas yra juodų ir baltų kvadratų raštas, kuris koduoja dvejetainius duomenis. Skaitytuvai iškoduoja raštą ir perduoda rezultatą operacinei sistemai, kuri jį interpretuoja kaip URL, teksto eilutę, Wi-Fi kredencialą ar kitus formatus.

Tai lemiama: QR kodas yra patys duomenys. Serveris nedalyvauja. Nėra paieškos. Kai QR kodas atspausdinamas, niekas negali pakeisti to, kas yra jo viduje.

Statinis URL QR kodas https://example.com/menu turi, pažodžiui, šio URL ASCII baitus. Kai kas nors jį nuskaito, bet kur pasaulyje, amžinai, jie bus peradresuoti į šį URL. Niekas negali jo pašalinti. Niekas negali jo pakeisti. Niekas negali sekti, kas skenuoja.

Taip QR kodai buvo sukurti ir todėl jie tapo universalia infrastruktūra.

Apėjimas

Dinaminiai QR kodai laužo šį dizainą. Vietoj to, kad koduotų tikrąjį URL, jie koduoja trumpą peradresavimo URL į QR paslaugų teikėjo serverį: kažką panašaus į https://short.qr-co/abc123.

Nuskaitant, skaitytuvas prašo short.qr-co/abc123. Paslaugų teikėjo serveris ieško abc123 duomenų bazėje, randa tikrąją paskirties vietą ir išduoda HTTP peradresavimą. Skaitytuvas jį seka ir pasiekia tikrąjį puslapį.

Vartotojo požiūriu tai veikia identiškai. QR paslaugų teikėjo požiūriu tai yra aukso gysla:

• Kiekvienas nuskaitymas sukuria serverio žurnalą: laiko žymą, IP, vartotojo agentą, kartais geolokaciją
• Paskirties URL galima pakeisti bet kuriuo metu, be pakartotinio spausdinimo
• Kodų paslaugų teikėjas gali išjungti, ištrinti ar laikyti įkaitu
• Nuskaitymo duomenis galima perparduoti
• Svarbiausia: paslaugų teikėjas gali rinkti nuomą

Išsamiau mechaniką apžvelgiame straipsnyje QR kodo peradresavimo užgrobimas.

Kaip veikia mokestis

Dinaminis QR modelis leidžia keturias skirtingas išgavimo strategijas:

Prenumerata

QR kodas veikia tol, kol mokate mėnesinį mokestį. Nustokite mokėti, ir jūsų paslaugų teikėjas išjungs peradresavimą — kiekviena jūsų QR kodo atspausdinta kopija tampa negyva svoriu. Tai aiškiai parduodama kaip funkcija („sekite nuskaitymus! redaguokite savo QR kodą bet kuriuo metu!"), bet užrakinimo efektas yra verslas. Žiūrėkite QR prenumeratos spąstai išsamiai analizei.

Bandymas ir spąstai

Nemokami vartotojai gauna „bandomąjį" dinaminį QR kodą. Jis veikia 14 dienų, 30 dienų, kartais net ilgiau. Kol jis baigiasi, jis jau yra apyvartoje. Norint palaikyti jį gyvą, vartotojas dabar turi mokėti. Tyliai nemokamas įrankis tampa nuolatinėmis išlaidomis.

Atsisiuntimai už mokamos sienos

Sugeneruokite kodą nemokamai. Mokėkite, kad atsisiųstumėte aukštos raiškos. Mokėkite daugiau, kad pašalintumėte vandens ženklus. Mokėkite daugiau už SVG. Mokėkite daugiau už „premium" raštus. Nė vienas iš jų neatspindi tikrų sąnaudų — QR kodas yra 100 baitų skaičiavimas — bet kiekvienas trinties taškas paverčia dalį vartotojų mokančiais klientais.

Priverstinė registracija

QR kodas yra nemokamas ir statinis, bet atsisiųsti turite susikurti paskyrą. Dabar jie turi jūsų el. paštą, ir produktas pereina į pardavimo el. laiškus, pirkėjų pritraukimą ir šalutines paslaugas.

Visos keturios strategijos remiasi viena apgaule: vartotojas nežino, kad QR kodus gaminti beveik nieko nekainuoja. Dauguma žmonių daro prielaidą, kad mokestis turi turėti priežastį. Jos nėra.

Tikroji žala

Tai nėra hipotetinis dalykas. Modelis turi matomų pasekmių:

• Restoranai, kurių atspausdintų meniu QR staiga nustoja veikti po politikos pasikeitimo
• Renginių organizatoriai, kuriems liko krūva reklaminės medžiagos, nukreipiančios į negyvą peradresavimą
• Smulkūs verslai, kurių vizitinės kortelės tampa nenaudingomis kampanijos viduryje
• Ne pelno siekiančios organizacijos su aukų QR kodais, kurie sulūžta, kai baigiasi jų prenumerata
• Bažnyčios, muziejai, mokyklos — bet kas be specialios IT komandos — palikti su netinkama spausdinta medžiaga

Daugeliu atvejų auka niekada nesupranta, kas atsitiko. Jie mano, kad QR kodai visada buvo trapūs arba kad jie kažką padarė neteisingai. Paslaugų teikėjo verslo modelis priklauso nuo šios painiavos. Jei jūsų kodas nustojo veikti, perskaitykite kodėl QR kodai nustoja veikti.

Kodėl tai ir toliau veikia

Keli veiksniai daro QR kodo išviliojimą neįprastai efektyviu:

Žodis „QR" daugumai žmonių yra neaiškus. Vidutiniam vartotojui QR kodas yra juoda ir balta dėžutė, kuri stebuklingai atveria nuorodas. Jie nežino, kad yra skirtumas tarp statinių ir dinaminių kodų — generatoriaus sąsaja jiems to niekada nesako. Parašėme pilną palyginimą, kad tai ištaisytume.

Žala yra uždelsta. Kol dinaminis QR kodas sulūžta, auka paprastai pamiršta, kuri paslauga jį sukūrė. Jie negali lengvai vėl atsisiųsti, vėl atspausdinti ar atkurti.

Žala yra tyli. Sulūžęs QR kodas neiškrenta. Jis tiesiog neveikia — atrodo kaip bet kokia kita nuskaitymo problema. Dauguma vartotojų kaltins savo telefoną.

Paieškos rezultatai teikia pirmenybę plėšrūnams. Įmonės su pajamomis išleidžia jas SEO, reklamoms ir turinio ūkiams. Sąžiningi statinio QR įrankiai retai patenka į aukštesnes vietas už juos. Rezultatas: „nemokamas QR kodo generatorius" paieškos daugiausia veda į dynamic-first produktus.

Kaip atpažinti plėšrų QR paslaugų teikėją

Prieš naudodami bet kokį QR generatorių, patikrinkite šiuos signalus:

1. Ar jis reikalauja paskyros? Nė vienam statiniam QR generatoriui to nereikia — URL kodavimas rašte yra tiesiog kliento pusės matematika. Bet koks registracijos reikalavimas yra išgavimo schema.
2. Ar jis siūlo „sekimą" arba „analitiką"? Funkcijos, skaičiuojančios nuskaitymus, įrodo, kad kodas yra dinaminis. Statinis QR kodas nieko sekti negali.
3. Ar yra „planas" ar „prenumerata"? QR kodavimas praktiškai nieko nekainuoja. Prenumeratos kainos turi prasmę tik tada, kai paslauga laiko jūsų kodą įkaitu.
4. Ar kainų puslapyje minima „galiojimo data", „nuskaitymo limitai" ar „redaguojami QR kodai"? Visi jie rodo dinaminius kodus, veikiančius paslaugų teikėjo serveriuose.
5. Ar peržiūros URL atrodo kaip `qrco.de/xyz`? Tai peradresavimo URL — jūs kuriate dinaminį kodą.
6. Ar svetainėje yra daug reklamų ar sekimo scenarijų? Nemokamos paslaugos su sekimu gauna vertę kitu būdu.

Visą sąrašą surinkome straipsnyje 5 raudonos vėliavos, kad jūsų QR generatorius yra spąstai.

Kaip atrodo statiniai QR kodai

Statinis QR kodo generatorius prašo jūsų turinio, koduoja jį tiesiai į QR raštą ir pateikia jums failą. Tai viskas. Nėra peradresavimo, nėra sekimo, nėra paskyros, nėra prenumeratos, nėra galiojimo datos.

Ši svetainė yra viena iš jų. Viskas vyksta jūsų naršyklėje — mūsų serveris niekada negauna to, ką koduojate. Galite tai patikrinti savo naršyklės tinklo skirtuke: kai čia sugeneruojate QR kodą, jokie duomenys nepalieka jūsų įrenginio.

Taip pat galite patikrinti, kas yra QR kode. Nuskaitykite bet kurį sugeneruotą QR su mūsų skaitytuvu ir patvirtinkite, kad iškoduotas turinys yra būtent tai, ką įvedėte — jokių įvyniojimo URL, jokių trumpų nuorodų, jokių peradresavimų.

Kodėl mes tai sukūrėme

Mums nusibodo žiūrėti, kaip gero ketinimo žmonės — smulkių verslų savininkai, savanoriai, menininkai, mokytojai — patenka į QR sukčiavimus. Įrankiai, kurie teigė jiems padedantys, tyliai rinko jų duomenis, spaudos biudžetą ir būsimus prenumeratos mokėjimus.

Todėl sukūrėme priešingą.

Šis generatorius yra nemokamas, nes QR kodų generavimas yra nemokamas. Nieko neimame, nes už nieką imti. Nerenkame duomenų, nes nėra duomenų, kuriuos rinkti — jūsų QR turinys niekada nepalieka jūsų naršyklės. Nesiūlome sekimo, nes sekimui reikia paversti jūsų QR kodą kažkieno kito nuosavybe.

Mūsų QR kodai yra statiniai. Jie priklauso jums. Jie niekada nesibaigia. Jų negalima išjungti. Jei mūsų svetainė rytoj užtems, kiekvienas QR kodas, kurį kada nors čia sugeneravote, vis tiek veiks.

Ką galite padaryti

1. Niekada nenaudokite dinaminio QR kodo spausdinta medžiaga. Jei negalite pigiai vėl atspausdinti, statinis yra vienintelis saugus pasirinkimas.
2. Jei jau atspausdinote dinaminius kodus, traktuokite juos kaip trumpalaikius. Planuokite, kad jie sulūš. Turėkite originalią paskirties vietą po ranka, kad vėliau galėtumėte statiškai atkurti.
3. Pasakykite kitiems. Dauguma ne techninių vartotojų nežino, kad šis sukčiavimas egzistuoja. Trumpas paaiškinimas apie statinį prieš dinaminį sutaupo jiems metų prenumeratos mokesčių.
4. Generuokite savo kitą QR kodą statiškai. Pradėkite nuo mūsų URL, WiFi, vCard, el. pašto, telefono ar teksto generatorių.

QR kodai yra pagrindinė infrastruktūra. Jie turi elgtis kaip pagrindinė infrastruktūra — nuspėjami, nuolatiniai ir priklausantys tam, kas juos gamina.

Mes sukūrėme šią svetainę, kad bent kažkur internete jie vis dar taip darytų.