QR kod dolandırıcılığının gerçeği: "ücretsiz" üreticiler kullanıcılardan nasıl haraç alıyor

2015 ile bugün arasında bir zamanda QR kodlar Japonya'ya özgü bir merak unsurundan küresel bir altyapıya dönüştü. Restoran masalarına, müze duvarlarına, ürün ambalajlarına ve vergi formlarına basılıyorlar. Dünyadaki neredeyse her telefon onları okuyabiliyor.

Ve çevresinde, tek bir dürüst olmayan önkabule dayanarak sessizce bir endüstri kuruldu: QR kodun bir aracıya ihtiyacı olması gerektiği.

Bu yazı QR kod haracı düzeninin mekanizmasını, neden işe yaradığını, kimin kazandığını ve milyonlarca kurbanından biri olmamak için ne yapılması gerektiğini anlatıyor.

Tipik örüntü

Google'a "free QR code generator" yazıyorsunuz. En üstteki sonuç güler yüzlü bir arayüze sahip. Bir URL yapıştırıyor, renkleri özelleştiriyor, güzel bir QR kodun belirdiğini görüyorsunuz. "İndir"e tıklıyorsunuz.

Şimdi üç şeyden biri oluyor:

1. Hesap oluşturmanız isteniyor — "sadece indirmek için"
2. Ücretsiz sürümün düşük çözünürlüklü ya da filigranlı olduğu, "premium" indirmenin ücretli olduğu söyleniyor
3. Temiz bir indirme alıyorsunuz — ve az önce kaydettiğiniz QR kodun üreticinin sunucularından geçtiği konusunda hiçbir uyarı yok

3. durum en sinsi olanı. Kullanıcı çalışır bir QR koda sahip olduğuna inanarak siteden ayrılıyor. Kartvizitlere, restoran menülerine, etkinlik tabelalarına, ürün etiketlerine bastırıyor. Binlerce kopya dolaşıma giriyor. Haftalar, aylar, bazen yıllar boyunca kodlar iyi çalışıyor.

Sonra, bir gün, sessizce, duruyorlar. Çünkü şirket paraya çevirme vakti geldiğine karar vermiş.

Bir QR kodun içinde gerçekte ne var

QR kod, ikili veriyi kodlayan siyah-beyaz karelerden oluşan bir desendir. Tarayıcılar deseni çözüp sonucu işletim sistemine iletir; işletim sistemi bunu URL, metin, Wi-Fi kimlik bilgileri veya başka biçimler olarak yorumlar.

Kritik nokta: QR kodun kendisi veridir. Sürece bir sunucu dahil olmaz. Arama yapılmaz. Bir QR kod bir kez basıldığında içindekini kimse değiştiremez.

https://example.com/menu için statik bir URL QR kodu, kelimenin tam anlamıyla o URL'nin ASCII baytlarını içerir. Dünyanın herhangi bir yerinde, sonsuza dek, kim tararsa taratsın tam olarak o URL'ye yönlendirilir. Kimse kapatamaz. Kimse değiştiremez. Kimse kimin taradığını takip edemez.

QR kodlar bu şekilde tasarlandı ve bu yüzden evrensel altyapıya dönüştüler.

Sapak

Dinamik QR kodlar bu tasarımı kırar. Asıl URL'yi kodlamak yerine QR sağlayıcısının sunucusundaki kısa bir yönlendirme URL'sini kodlarlar — https://short.qr-co/abc123 gibi.

Tarama sırasında tarayıcı short.qr-co/abc123'ü ister. Sağlayıcının sunucusu abc123'ü bir veritabanında arar, gerçek hedefi bulur ve bir HTTP yönlendirmesi verir. Tarayıcı yönlendirmeyi izler ve gerçek sayfaya ulaşır.

Kullanıcı açısından aynı. Sağlayıcı açısından altın madeni:

• Her tarama bir sunucu kaydı oluşturur: zaman damgası, IP, user-agent, bazen coğrafi konum
• Hedef URL yeniden basım yapılmadan istediği zaman değiştirilebilir
• Kod devre dışı bırakılabilir, silinebilir veya sağlayıcı tarafından rehin tutulabilir
• Tarama verileri yeniden satılabilir
• En önemlisi: sağlayıcı kira alabilir

Mekanizmayı QR kodlarda yönlendirme korsanlığı'nda daha ayrıntılı ele alıyoruz.

Paranın yolu nasıl çıkarılır

Dinamik QR modeli dört ayrı çıkarım stratejisine olanak sağlar:

Abonelik

QR, siz aylık ödemeyi yaptığınız sürece çalışır. Ödemeyi kestiğinizde sağlayıcı yönlendirmeyi kapatır — basılı her kopya ölü yüke dönüşür. Bu açıkça bir özellik olarak pazarlanır ("taramaları izleyin! QR'ınızı istediğiniz an düzenleyin!"), ancak iş aslında kilitleme etkisidir. Ayrıntılı inceleme QR abonelik tuzağı'nda.

Deneme ve tuzak

Ücretsiz kullanıcılar "deneme" amaçlı dinamik bir QR alır. 14 gün, 30 gün, bazen daha uzun çalışır. Süresi dolduğunda kod zaten dolaşımdadır. Onu yaşatmak için şimdi ödemek gerekir. Sessizce, ücretsiz bir araç sürekli bir gidere dönüşür.

İndirme ödeme duvarı

Kodu ücretsiz üretin. Yüksek çözünürlükte indirmek için ödeyin. Filigranı kaldırmak için daha fazla ödeyin. SVG için biraz daha. "Premium" desenler için biraz daha. Hiçbiri gerçek bir maliyeti yansıtmaz — QR 100 baytlık bir hesaptır — ama her sürtünme noktası kullanıcıların bir kısmını ödeyen müşteriye dönüştürür.

Zorunlu kayıt

QR ücretsiz ve statik, ancak indirmek için hesap açmanız gerek. Artık e-postanız onlarda ve ürün, satış e-postaları, müşteri adayı besleme ve çevresel hizmetlere doğru kayar.

Dört strateji de aynı numaraya dayanır: kullanıcı, QR üretmenin neredeyse ücretsiz olduğunu bilmez. Çoğu, bir ücret alındıysa bir sebebi olması gerektiğini varsayar. Yoktur.

Gerçek zarar

Bu varsayım değil. Örüntünün görünür sonuçları var:

• Sağlayıcı politika değiştirdikten sonra menülerindeki basılı QR'lar aniden çalışmayan restoranlar
• Ölü bir yönlendirmeye işaret eden tanıtım materyali yığınlarıyla kalan etkinlik düzenleyicileri
• Kampanya ortasında kartvizitleri geçersizleşen küçük işletmeler
• Abonelikleri sona erdiğinde bağış QR'ları kırılan STK'lar
• Kiliseler, müzeler, okullar — kendi BT ekibi olmayan herkes — kullanılmaz basılı malzemeyle baş başa kalır

Çoğu durumda kurban ne olduğunu asla anlamaz. QR'ların her zaman kırılgan olduğunu ya da bir şeyi yanlış yaptığını varsayar. Sağlayıcının iş modeli bu kafa karışıklığına dayanır. Kodunuz çalışmayı kestiyse QR kodunuz neden çalışmayı kesti'yi okuyun.

Bu neden hâlâ işe yarıyor

Birkaç etken QR haracını alışılmadık ölçüde etkili kılıyor:

"QR" kelimesi çoğu kişi için kapalı bir kutu. Ortalama bir kullanıcı için QR, linkleri sihirli şekilde açan siyah-beyaz bir kutudur. Statik ve dinamik arasında bir fark olduğunu bilmezler — üretici arayüzü bunu asla söylemez. Bunu düzeltmek için tam karşılaştırma yazdık.

Zarar gecikmelidir. Dinamik bir QR bozulduğunda kurban genellikle onu hangi servisin oluşturduğunu çoktan unutmuş olur. Yeniden indirmek, yeniden basmak, kurtarmak — hepsi zor.

Zarar sessizdir. Bozuk bir QR çökme vermez. Sadece çalışmaz — sıradan bir tarama sorunu gibi görünür. Kullanıcıların çoğu kendi telefonunu suçlayacaktır.

Arama sonuçları yırtıcıları kollar. Geliri olan şirketler bunu SEO'ya, reklama ve içerik çiftliklerine harcar. Dürüst statik QR araçları nadiren onların üstünde sıralanır. Sonuç: "free QR code generator" araması ezici ağırlıkla varsayılanı dinamik olan ürünlere çıkarır.

Yırtıcı bir QR servisini tanımak

Herhangi bir QR üreticisini kullanmadan önce şu sinyalleri kontrol edin:

1. Hesap istiyor mu? Statik üretici istemez — URL'yi desene kodlamak tamamen istemci tarafı matematiktir. Her kayıt zorunluluğu bir çıkarım düzenidir.
2. "Takip" veya "analitik" sunuyor mu? Taramayı sayan özellikler kodun dinamik olduğunu ispatlar. Statik QR hiçbir şey takip edemez.
3. "Plan" ya da "abonelik" var mı? QR kodlamanın maliyeti neredeyse sıfırdır. Abonelik fiyatı, ancak servis kodunuzu rehin aldığı zaman anlam kazanır.
4. Fiyatlandırma sayfası "bitiş", "tarama sınırı" ya da "düzenlenebilir QR" diyor mu? Bunların hepsi sağlayıcının sunucularında çalışan dinamik kodları ima eder.
5. Önizleme URL'si `qrco.de/xyz` gibi mi görünüyor? O bir yönlendirme URL'si — dinamik kod oluşturuyorsunuz.
6. Sitede çok reklam veya takip betiği var mı? Gözetimli ücretsiz servisler değeri başka bir yoldan çıkarır.

Tam listeyi QR üreticinizin bir tuzak olduğuna dair 5 kırmızı bayrak içinde derledik.

Dürüst statik QR'lar nasıl görünür

Statik bir üretici içeriğinizi alır, doğrudan QR desenine kodlar ve size bir dosya verir. Hepsi bu. Yönlendirme yok, takip yok, hesap yok, abonelik yok, bitiş yok.

Bu site onlardan biri. Her şey tarayıcınızda olur — sunucumuz kodladığınız içeriği asla almaz. Tarayıcınızın ağ sekmesinden doğrulayabilirsiniz: burada QR üretirken cihazınızdan hiçbir veri çıkmaz.

QR'nin içindekini de doğrulayabilirsiniz. Burada oluşturduğunuz herhangi bir QR'ı tarayıcımız ile tarayın ve çözülen içeriğin tam olarak girdiğinizle aynı olduğunu görün — sargı URL'si yok, kısa bağlantı yok, yönlendirme yok.

Bunu neden kurduk

İyi niyetli insanların — küçük işletme sahipleri, gönüllüler, sanatçılar, öğretmenler — QR dolandırıcılıklarına yakalanmasını izlemekten yorulduk. Onlara yardım ettiğini iddia eden araçlar, sessizce verilerini, baskı bütçelerini ve gelecekteki abonelik ödemelerini topluyordu.

Biz de tam tersini kurduk.

Bu üretici ücretsiz çünkü QR üretmek ücretsiz. Hiçbir şey istemiyoruz çünkü istenecek şey yok. Veri toplamıyoruz çünkü toplanacak veri yok — QR içeriğiniz tarayıcınızdan çıkmıyor. Takip sunmuyoruz çünkü takip, QR'nizi başkasının malı yapmak demektir.

Bizim QR'lerimiz statik. Size ait. Asla süresi dolmaz. Devre dışı bırakılamaz. Yarın sitemiz kararırsa burada oluşturduğunuz her QR çalışmaya devam eder.

Yapabilecekleriniz

1. Basılı materyalde asla dinamik QR kullanmayın. Yeniden basım ucuz değilse statik tek güvenli seçenek.
2. Zaten dinamik kodlar bastıysanız kısa vadeli olarak görün. Kırılacaklarını planlayın. Daha sonra statik olarak yeniden üretebilmek için orijinal hedefi yanınızda tutun.
3. Başkalarına anlatın. Teknik olmayan kullanıcıların çoğunun bu dolandırıcılıktan haberi yok. Statik - dinamik kısa açıklaması onlara yıllarca aboneliği kazandırır.
4. Bir sonraki QR'ınızı statik olarak üretin. Üreticilerimizle başlayın: URL, Wi-Fi, vCard, e-posta, telefon veya metin.

QR kodlar temel altyapıdır. Temel altyapı gibi davranmalıdırlar — öngörülebilir, kalıcı ve üreteninin malı.

Bu siteyi, internetin en azından bir köşesinde hâlâ öyle olabilsinler diye kurduk.