Loading theme
·อ่าน 6 นาที

การแย่งชิงการเปลี่ยนเส้นทาง QR Code: คนกลางที่มองไม่เห็น

เมื่อ QR code ของคุณทำงาน คนกลางมองไม่เห็น เมื่อมันเสีย มันก็สายเกินไป การเข้าใจโมเดลการเปลี่ยนเส้นทางเป็นขั้นตอนแรกในการหลีกเลี่ยง

QR code แบบไดนามิกทุกตัวที่คุณเคยสแกนเกี่ยวข้องกับบุคคลที่สามที่คุณไม่เคยเลือก ระหว่างกล้องโทรศัพท์และเว็บไซต์ปลายทาง เซิร์ฟเวอร์เปลี่ยนเส้นทางที่เป็นเจ้าของโดยผู้ให้บริการ QR ส่งต่อคำขออย่างเงียบๆ ผู้ใช้ส่วนใหญ่ไม่เคยสังเกต นั่นคือจุดประสงค์

บทความนี้อธิบายว่าการแย่งชิงการเปลี่ยนเส้นทางในทางปฏิบัติมีลักษณะอย่างไร คนกลางทำอะไรจริงๆ และอะไรเป็นเดิมพัน

ลำดับการเปลี่ยนเส้นทาง

เมื่อคุณสแกน QR แบบสแตติกสำหรับ https://shop.example.com:

  1. กล้องอ่าน QR code
  2. OS รู้จักว่าเป็น URL
  3. เบราว์เซอร์เปิด https://shop.example.com

สามขั้นตอน ไม่มีบุคคลที่สาม

เมื่อคุณสแกน QR แบบไดนามิกสำหรับปลายทางเดียวกัน:

  1. กล้องอ่าน QR code ซึ่งเข้ารหัสบางอย่างเช่น https://qr-provider.com/r/x7n2
  2. OS เปิด URL นั้น
  3. qr-provider.com รับคำขอ บันทึก ค้นหา x7n2 ในฐานข้อมูล
  4. qr-provider.com ออกการเปลี่ยนเส้นทาง 301 หรือ 302 ไปยัง https://shop.example.com
  5. เบราว์เซอร์ทำตามการเปลี่ยนเส้นทางและมาถึงปลายทางจริง

ห้าขั้นตอน บุคคลเพิ่มเติมในขั้นตอนที่ 3 — ที่คุณไม่เคยตกลง ไม่เคยจ่าย และไม่สามารถเห็นได้

คนกลางได้อะไร

ทุกการสแกนสร้างรายการบันทึกเซิร์ฟเวอร์ที่มี:

  • การประทับเวลาของการสแกน
  • ที่อยู่ IP ของเครื่องสแกน
  • สตริง user-agent (อุปกรณ์ OS เบราว์เซอร์)
  • ส่วนหัว referrer (เครื่องสแกนมาจากที่ไหน ถ้ามี)
  • ส่วนหัว Accept-Language (ความต้องการภาษา)

จากเหล่านี้ ผู้ให้บริการสามารถอนุมานได้: ตำแหน่งทางภูมิศาสตร์โดยประมาณ ประเภทอุปกรณ์ เวอร์ชันระบบปฏิบัติการ และโดยรวมรูปแบบการสแกนเมื่อเวลาผ่านไป สิ่งนี้ถูกทำการตลาดให้ลูกค้าเป็น "การวิเคราะห์" มันเป็นการเฝ้าระวังผู้ที่สแกนรหัสของคุณเช่นกัน — ผู้ที่ไม่เคยยินยอม

คนกลางสามารถทำอะไรได้

เปลี่ยนปลายทาง

ปลายทางการเปลี่ยนเส้นทางอยู่ในฐานข้อมูลของผู้ให้บริการ เจ้าของ QR มักสามารถแก้ไขได้ผ่านแดชบอร์ด สิ่งนี้ถูกขายเป็นฟีเจอร์ และสำหรับกรณีการใช้งานบางอย่างก็เป็นเช่นนั้นจริงๆ แต่หมายความว่า QR code ไม่ใช่สิ่งที่ปรากฏอีกต่อไป สิ่งประดิษฐ์ทางกายภาพบอกว่า "สแกนเพื่อเยี่ยมชมไซต์ของเรา" พฤติกรรมจริงคือสิ่งที่ฐานข้อมูลของผู้ให้บริการบอกในวันนี้

ปิดใช้งานการเปลี่ยนเส้นทาง

หากการสมัครสมาชิกของเจ้าของหมดอายุ หรือบัญชีถูกปิด หรือมีการละเมิด ToS ของผู้ให้บริการ การเปลี่ยนเส้นทางสามารถถูกลบได้ สำเนาที่พิมพ์ของ QR code ทุกใบหยุดทำงานทันที ผู้ใช้สแกนและเห็นหน้าข้อผิดพลาดทั่วไปหรือ 404

แทรกหน้ากลาง

ผู้ให้บริการบางรายส่งการสแกน QR แบบไดนามิกผ่านหน้ากลางที่มีแบรนด์ก่อนการเปลี่ยนเส้นทางสุดท้าย — แสดงโฆษณา ขอความยินยอม เก็บที่อยู่อีเมล เจ้าของ QR มักไม่ได้สมัครสำหรับสิ่งนี้ มันถูกเพิ่มภายหลังเมื่อผู้ให้บริการสร้างรายได้อย่างก้าวร้าวมากขึ้น

ขายหรือสูญเสียข้อมูลการสแกน

บันทึกการสแกนมีค่า ถูกขายให้กับนายหน้าวิเคราะห์ ถูกใช้เพื่อฝึกโมเดลการกำหนดเป้าหมายโฆษณา และ — ในการเปิดเผยการละเมิดอย่างน้อยไม่กี่ครั้งที่บันทึกไว้ — รั่วไหลเมื่อผู้ให้บริการถูกบุกรุก ลูกค้าของคุณสแกนเมนู ตอนนี้ลายนิ้วมือของอุปกรณ์ของพวกเขาอยู่ในชุดข้อมูลการละเมิด

เหตุใดผู้ใช้จึงไม่เคยสังเกต

เบราว์เซอร์สมัยใหม่ทำตามการเปลี่ยนเส้นทางโดยอัตโนมัติ เว้นแต่คุณจะเปิดเครื่องมือนักพัฒนา คุณไม่เห็นการกระโดดกลาง การสแกนรู้สึกทันทีเพราะการเปลี่ยนเส้นทางเร็ว (เมื่อมันทำงาน) จากมุมมองของผู้ใช้ QR แบบไดนามิกทำงานเหมือนกับแบบสแตติก

จนกว่าเซิร์ฟเวอร์เปลี่ยนเส้นทางจะล้มเหลว จากนั้นประสบการณ์จะแตกต่างกันอย่างมาก — แต่ในตอนนั้น QR code ถูกพิมพ์บนพื้นผิวนับพันแล้ว

ผลกระทบด้านความปลอดภัย

เซิร์ฟเวอร์เปลี่ยนเส้นทางเป็นจุดล้มเหลวเดียวสำหรับทุก QR code ที่ขึ้นอยู่กับมัน พื้นที่โจมตีสามประการที่น่าพิจารณา:

  • การยึดบัญชี หากผู้โจมตีเข้าถึงบัญชีผู้ให้บริการของเจ้าของ QR พวกเขาสามารถเปลี่ยนเส้นทางทุก QR ไปยังหน้าฟิชชิง ลูกค้าสแกนรหัสทางกายภาพโดยคาดหวังเมนูร้านอาหาร พวกเขาลงที่โคลนหน้าลงชื่อเข้าใช้ของร้านอาหารที่เก็บเกี่ยวข้อมูลประจำตัว
  • การประนีประนอมของผู้ให้บริการ หากผู้ให้บริการ QR เองถูกละเมิด ทุก QR แบบไดนามิกในการใช้งานอาจถูกชี้ไปยังเนื้อหาที่ควบคุมโดยผู้โจมตี สิ่งนี้ไม่ใช่ทฤษฎี — การเปิดเผยการละเมิดมีอยู่สำหรับผู้ให้บริการ QR-as-a-service หลายราย
  • ความล้มเหลวของ DNS หรือ TLS ที่ผู้ให้บริการ หากโดเมนการเปลี่ยนเส้นทางหยุดทำการแก้ไขหรือใบรับรอง TLS หมดอายุ ทุก QR ที่ขึ้นอยู่กับมันจะล้มเหลว ไม่ใช่ผู้กระทำการที่เป็นอันตราย — แค่ความเสี่ยงในการดำเนินงานทั่วไปที่เจ้าของ QR ไม่ควบคุม

QR code แบบสแตติกไม่มีโหมดความล้มเหลวเหล่านี้ เพราะไม่มีเซิร์ฟเวอร์ของบุคคลที่สามระหว่างการสแกนและปลายทาง

วิธีตรวจสอบว่าคุณกำลังสแกนการเปลี่ยนเส้นทาง

ใช้สแกนเนอร์ QR ที่แสดงเนื้อหาที่ถอดรหัสก่อนติดตามมัน — สแกนเนอร์เว็บ ของเราทำเช่นนี้ สแกน QR code และตรวจสอบ URL ที่ถอดรหัส หากเป็นปลายทางจริงของคุณ QR เป็นแบบสแตติก หากเป็นอะไรเช่น qrco.de/xyz หรือโดเมนสั้นที่คุณไม่รู้จัก มันคือการเปลี่ยนเส้นทาง — และบุคคลที่สามกำลังนั่งอยู่ตรงกลาง

ทางเลือก

สร้าง QR code ที่เข้ารหัสปลายทางของคุณโดยตรง ไม่มีเซิร์ฟเวอร์บุคคลที่สาม ไม่มีบันทึกการเปลี่ยนเส้นทาง ไม่มีการสมัครสมาชิก ดู QR code แบบสแตติกเทียบกับไดนามิก สำหรับการเปรียบเทียบเต็ม และ ความจริงเกี่ยวกับการหลอกลวง QR code สำหรับเหตุผลที่โมเดลคนกลางครอบงำอุตสาหกรรม

หรือเพียงแค่ สร้าง QR code แบบสแตติก และหยุดกังวล

พร้อมสำหรับ QR code แบบสแตติกไหม?

สร้างในเบราว์เซอร์ของคุณ — ไม่มีบัญชี ไม่มีการติดตาม ไม่มีการสมัครสมาชิก สิ่งที่คุณสร้างเป็นของคุณ

เปิดเครื่องสร้างQR code สำหรับ URLQR code สำหรับ WiFi

บทความที่เกี่ยวข้อง

ความจริงเกี่ยวกับการหลอกลวง QR Code: เครื่องสร้าง "ฟรี" รีดไถผู้ใช้อย่างไร

QR code แบบไดนามิกอนุญาตให้ผู้ให้บริการติดตาม แก้ไข ปิดใช้งาน และสร้างรายได้จากรหัสของคุณหลังจากที่คุณพิมพ์ไปแล้ว นี่คือวิธีการทำงานของแผนการและวิธีหลีกเลี่ยง

QR Code แบบสแตติกเทียบกับไดนามิก: สิ่งที่ผู้ใช้ทุกคนควรรู้

หนึ่งเข้ารหัสเนื้อหาของคุณ อีกหนึ่งเข้ารหัสการเปลี่ยนเส้นทาง ความแตกต่างเดียวนั้นกำหนดว่า QR code ของคุณจะยังคงใช้งานได้ในห้าปีหรือไม่

กับดักการสมัครสมาชิก QR: ผู้ให้บริการกักขังลิงก์ของคุณอย่างไร

เหยื่อล่อคือ QR code ฟรี เบ็ดคือมันทำงานเฉพาะเมื่อคุณจ่าย กับดักปิดในวันที่คุณพิมพ์หนึ่งหมื่นสำเนา

5 สัญญาณเตือนว่าเครื่องสร้าง QR ของคุณเป็นกับดัก

ห้าสัญญาณที่แยกเครื่องมือ QR ที่ซื่อสัตย์ออกจากเครื่องสร้าง dynamic-first ที่จะเรียกเก็บเงินค่าเช่าหรือปิดใช้งานรหัสของคุณในภายหลัง