Resnica o prevarah s QR kodami: Kako "brezplačni" generatorji izsiljujejo uporabnike

Nekje med letom 2015 in danes so QR kode iz japonske posebnosti postale globalna infrastruktura. Natisnjene so na restavracijske mize, muzejske stene, embalaže izdelkov in davčne obrazce. Skoraj vsak telefon na Zemlji jih lahko prebere.

In tiha industrija se je zgradila okoli ene nepoštene predpostavke: da bi morale imeti QR kode posrednika.

Ta članek pojasnjuje mehanizem sheme izsiljevanja z QR kodami, zakaj deluje, kdo ima od nje koristi in kako se izogniti, da bi postali ena od njenih milijonskih žrtev.

Vzorec

V Google vtipkate "brezplačen generator QR kod". Najvišji rezultat ima prijazen vmesnik. Prilepite URL, prilagodite barve, vidite lepo QR kodo. Kliknete "prenesi".

Zdaj se zgodi ena od treh stvari:

1. Prosijo vas, da ustvarite račun — "samo za prenos"
2. Povedo vam, da brezplačna različica proizvede različico z nizko ločljivostjo ali vodnim znakom, "premium" prenos pa je za plačnim zidom
3. Dobite čist prenos — in nič vas ne opozori, da QR koda, ki ste jo pravkar shranili, poteka skozi strežnike generatorja

Primer 3 je najbolj zahrbten. Uporabnik zapusti stran v prepričanju, da ima delujočo QR kodo. Natisne jo na vizitke, restavracijske menije, table dogodkov, etikete izdelkov. Tisoče kopij gre v obtok. In tedne, mesece, včasih leta kode delujejo dobro.

Nato — tiho, nekega dne — prenehajo. Ker se je podjetje odločilo, da je čas za monetizacijo.

Kaj v resnici živi v QR kodi

QR koda je vzorec črnih in belih kvadratov, ki kodira binarne podatke. Bralniki dekodirajo vzorec in rezultat posredujejo operacijskemu sistemu, ki ga interpretira kot URL, besedilni niz, poverilnice Wi-Fi ali druge formate.

To je ključni del: QR koda je sami podatki. Noben strežnik ni vključen. Ni iskanja. Ko je QR koda natisnjena, nihče ne more spremeniti, kar je v njej.

Statična URL QR koda za https://example.com/menu dobesedno vsebuje bajte ASCII tega URL-ja. Ko ga kdorkoli skenira, kjerkoli po svetu, za vedno, bo usmerjen na ta URL. Nihče ga ne more odstraniti. Nihče ga ne more spremeniti. Nihče ne more slediti, kdo skenira.

Tako so bile QR kode zasnovane in zato so postale univerzalna infrastruktura.

Obvoz

Dinamične QR kode ta dizajn zlomijo. Namesto da bi kodirale dejanski URL, kodirajo kratek preusmeritveni URL na strežniku ponudnika QR: nekaj kot https://short.qr-co/abc123.

Ob skeniranju bralnik zahteva short.qr-co/abc123. Strežnik ponudnika v bazi podatkov poišče abc123, najde pravi cilj in izda HTTP preusmeritev. Bralnik ji sledi in doseže pravo stran.

Z vidika uporabnika deluje identično. Z vidika ponudnika QR je to zlata jama:

• Vsako skeniranje ustvari strežniški log: časovni žig, IP, user-agent, včasih geolokacijo
• Ciljni URL se lahko spremeni kadar koli, brez ponovnega tiska
• Kodo lahko ponudnik onemogoči, izbriše ali zadrži kot talca
• Podatki o skeniranju se lahko preprodajo
• Najpomembneje: ponudnik lahko zaračuna najemnino

Mehaniko podrobneje obravnavamo v ugrabitvi preusmeritve QR kode.

Kako deluje zaračunavanje

Dinamični model QR omogoča štiri različne strategije izvlečenja:

Naročnina

QR koda deluje, dokler plačujete mesečno pristojbino. Nehajte plačevati in vaš ponudnik onemogoči preusmeritev — vsaka natisnjena kopija vaše QR kode postane mrtva teža. To se izrecno trži kot funkcija ("sledite skeniranjem! uredite svojo QR kodo kadar koli!"), vendar je učinek zaklepanja posel. Glej naročniška past QR za podrobno analizo.

Preizkus in past

Brezplačni uporabniki dobijo "preizkusno" dinamično QR kodo. Deluje 14 dni, 30 dni, včasih celo dlje. Dokler poteče, je že v obtoku. Da bi ostala živa, mora uporabnik zdaj plačati. Tiho brezplačno orodje postane stalni strošek.

Prenosi za plačnim zidom

Kodo ustvarite brezplačno. Plačate za prenos v visoki ločljivosti. Plačate več za odstranitev vodnih znakov. Plačate več za SVG. Plačate več za "premium" vzorce. Nič od tega ne odraža nobenih resničnih stroškov — QR koda je izračun 100 bajtov — vendar vsaka točka trenja pretvori odstotek uporabnikov v plačujoče stranke.

Prisilna registracija

QR koda je brezplačna in statična, za prenos pa morate ustvariti račun. Zdaj imajo vaš e-poštni naslov in izdelek se obrne na upsell e-pošto, vzgojo potencialnih strank in sorodne storitve.

Vse štiri strategije se zanašajo na isto potegavščino: uporabnik ne ve, da so QR kode skoraj brezplačne za proizvodnjo. Večina ljudi domneva, da mora obstajati razlog za plačilo. Ni ga.

Resnična škoda

To ni hipotetično. Vzorec ima vidne posledice:

• Restavracije, katerih natisnjene QR kode menija nenadoma prenehajo delovati po spremembi pravilnika
• Organizatorji dogodkov ostanejo s kupi promocijskega materiala, ki kažejo na mrtvo preusmeritev
• Mala podjetja, katerih vizitke sredi kampanje postanejo neveljavne
• Neprofitne organizacije z donacijskimi QR kodami, ki se zlomijo, ko jim poteče naročnina
• Cerkve, muzeji, šole — vsakdo brez namenske IT ekipe — držijo neuporabne tiskane materiale

V večini primerov žrtev nikoli ne razume, kaj se je zgodilo. Domnevajo, da so bile QR kode vedno krhke ali da so naredile nekaj narobe. Poslovni model ponudnika je odvisen od te zmede. Če je vaša koda prenehala delovati, preberite zakaj QR kode prenehajo delovati.

Zakaj to še vedno deluje

Nekaj dejavnikov naredi izsiljevanje z QR kodami nenavadno učinkovito:

Beseda "QR" je za večino ljudi nepregledna. Za povprečnega uporabnika je QR koda črno-bela škatla, ki čarobno odpira povezave. Ne vedo, da je razlika med statičnimi in dinamičnimi kodami — vmesnik generatorja jim tega nikoli ne pove. Napisali smo celotno primerjavo, da bi to popravili.

Škoda je zakasnjena. Ko se dinamična QR koda zlomi, je žrtev običajno pozabila, katera storitev jo je izdelala. Ne morejo enostavno ponovno prenesti, ponovno natisniti ali obnoviti.

Škoda je tiha. Pokvarjena QR koda se ne zruši. Preprosto ne deluje — izgleda kot kateri koli drug problem skeniranja. Večina uporabnikov bo krivila svoj telefon.

Rezultati iskanja dajejo prednost plenilcem. Podjetja s prihodki jih porabijo za SEO, oglase in farme vsebin. Pošteni statični QR orodja se redko uvrstijo nad njih. Rezultat: iskanja "brezplačen generator QR kod" v veliki meri vodijo do izdelkov dynamic-first.

Kako prepoznati plenilsko storitev QR

Preden uporabite kateri koli generator QR, preverite te signale:

1. Ali zahteva račun? Noben statični generator QR ga ne potrebuje — kodiranje URL-ja v vzorec je čista matematika na strani odjemalca. Vsaka zahteva po registraciji je shema za izvlečenje.
2. Ali ponuja "sledenje" ali "analitiko"? Funkcije, ki štejejo skeniranja, dokazujejo, da je koda dinamična. Statična QR koda ne more slediti ničemur.
3. Ali obstaja "načrt" ali "naročnina"? Kodiranje QR dejansko stane nič. Naročniške cene imajo smisel le, če storitev vaš kod drži kot talca.
4. Ali stran s cenami omenja "potek", "omejitve skeniranja" ali "urejane QR kode"? Vse to nakazuje dinamične kode, ki tečejo na strežnikih ponudnika.
5. Ali URL predogleda izgleda kot `qrco.de/xyz`? To je preusmeritveni URL — ustvarjate dinamično kodo.
6. Ali ima spletno mesto težke oglase ali skripte za sledenje? Brezplačne storitve z nadzorom vrednost iz vas izvlečejo na drug način.

Celoten seznam smo zbrali v 5 rdečih zastav, da je vaš generator QR past.

Kako izgledajo statične QR kode

Generator statičnih QR kod vpraša za vašo vsebino, jo neposredno kodira v vzorec QR in vam izroči datoteko. To je vse. Brez preusmeritve, brez sledenja, brez računa, brez naročnine, brez poteka.

To spletno mesto je eno od njih. Vse se dogaja v vašem brskalniku — naš strežnik nikoli ne prejme tega, kar kodirate. To lahko preverite v omrežnem zavihku svojega brskalnika: ko tukaj ustvarite QR kodo, nobeni podatki ne zapustijo vaše naprave.

Prav tako lahko preverite, kaj je v QR kodi. Skenirajte kakršno koli QR, ki jo ustvarite, z našim skenerjem in potrdite, da je dekodirana vsebina natanko tista, ki ste jo vnesli — brez URL ovoja, brez kratke povezave, brez preusmeritve.

Zakaj smo to zgradili

Naveličali smo se gledati, kako dobronamerne ljudi — lastnike malih podjetij, prostovoljce, umetnike, učitelje — ujame v prevare QR. Orodja, ki so trdila, da jim pomagajo, so tiho pobirala njihove podatke, njihov proračun za tiskanje in njihova prihodnja plačila naročnin.

Zato smo zgradili nasprotje tega.

Ta generator je brezplačen, ker je ustvarjanje QR kod brezplačno. Ničesar ne zaračunavamo, ker ni česa zaračunati. Ne zbiramo podatkov, ker ni podatkov, ki bi jih zbrali — vaša vsebina QR nikoli ne zapusti vašega brskalnika. Ne ponujamo sledenja, ker sledenje zahteva, da vašo QR kodo spremenimo v last nekoga drugega.

Naše QR kode so statične. Pripadajo vam. Nikoli ne potečejo. Ni jih mogoče onemogočiti. Če se naše spletno mesto jutri zatemni, bo vsaka QR koda, ki ste jo kdaj ustvarili tukaj, še vedno delovala.

Kaj lahko storite

1. Nikoli ne uporabljajte dinamične QR kode za tiskani material. Če ne morete poceni ponovno natisniti, je statična edina varna izbira.
2. Če ste že natisnili dinamične kode, jih obravnavajte kot kratkoročne. Načrtujte, da se bodo zlomile. Izvirni cilj imejte pri roki, da lahko pozneje statično regenerirate.
3. Povejte drugim. Večina netehničnih uporabnikov nima pojma, da ta prevara obstaja. Kratka razlaga statično vs dinamično jim prihrani leta naročnin.
4. Naslednjo QR kodo ustvarite statično. Začnite z našimi generatorji za URL, WiFi, vCard, e-pošto, telefon ali besedilo.

QR kode so osnovna infrastruktura. Morale bi se obnašati kot osnovna infrastruktura — predvidljive, trajne in pripadati tistemu, ki jih ustvari.

To spletno mesto smo zgradili, da bi vsaj nekje na internetu še vedno delovale tako.