Obľuba QR kódov stúpa. Rýchlo nás presmerujú na webové stránky alebo umožnia vykonať okamžitú platbu. Lenže, aj tu útočníci našli svoju príležitosť. Často totiž slúži ku krádežiam citlivých informácií, phishingovým útokom a taktiež šíreniu malwaru.
Podľa magazínu The WIRED sú podvodné QR kódy na vzostupe. Bezpečnostní analytici pre niektoré útoky s nimi spojené už používajú názov quishing. Ten je spojením slov „QR kód“ a „phishing“ a označuje situáciu, kedy hackeri pomocou falošných kódov a podvodných e-mailov získavajú od ľudí súkromné informácie a osobné údaje.
Americká Federálna obchodná komisia zase varovala pred falošnými QR kódmi umiestnenými na nenápadných verejných miestach (napríklad na parkovacom automate), ktoré návštevníkov parkoviska navádzajú k tomu, aby zaplatili pomocou aplikácie. Tým ich prinútia zadať platobné údaje namiesto parkovacieho automatu na účet hackera.
Čo sú to QR kódy?
QR kódy (skratka quick response) pritom samy o sebe nebezpečné nie sú. Predstavujú ďalší prostriedok na ukladanie dát a využívajú sa hlavne kvôli rýchlemu skenovaniu pomocou fotoaparátu v smartfóne. Funkcia skenovania QR kódov je integrovaná v mnohých aplikáciách fotoaparátov pre operačné systémy Android a iOS. Keď naskenujete QR kód, čítačka vo fotoaparáte vášho telefónu ho dešifruje a výsledná informácia spustí akciu v telefóne. Ak kód obsahuje adresu URL, telefón vás na ňu rovno presmeruje. QR kódy ale môžu uchovávať aj akékoľvek ďalšie dáta ako samostatné texty alebo obrázky.
Viete, že
s konceptom QR kódov prišli v 90. rokoch dvaja japonskí vynálezcovia. Pokúšali sa nájsť rýchly a efektívny spôsob uchovania informácií. Oproti čiarovému kódu je čítanie QR kódu 10-krát rýchlejšie.
QR kódy sa skladajú zo štvorcovej siete bodov, ktorá môže mať 21 × 21 až 177 × 177 bodov. Čierne bodky a biele medzery reprezentujú binárne údaje. Polohové značky v rohoch a kľudová zóna okolo kódu pomáhajú zariadeniam s kamerou orientovať sa pri skenovaní. QR kódy môžu obsahovať voliteľné logo a podporovať rozšírené protokoly s metadátami, ako sú časové pečiatky alebo geolokácie.
Kde sa najčastejšie používajú QR kódy?
QR kódy sa stali bežnou súčasťou nášho života, majú široké využitie:
Platby: QR kódy umožňujú rýchle a bezpečné vykonanie platieb skenovaním kódu cez mobilnú aplikáciu. A to či už medzi priateľmi, alebo na faktúrach firiem.
Zdieľanie kontaktov: Ľudia môžu rýchlo zdieľať svoje kontaktné informácie skenovaním QR kódu, ktorý obsahuje vCard informácie.
Wi-Fi pripojenie: Hostia podniku alebo udalosti sa môžu ľahko pripojiť k Wi-Fi sieti naskenovaním QR kódu, ktorý obsahuje sieťové prihlasovacie údaje.
Vstupenky: QR kódy na vstupenkách umožňujú rýchle overenie a prístup na koncerty, veľtrhy, do kina a na ďalšie akcie.
Informácie o produktoch: Na obaloch produktov môžu byť QR kódy, ktoré po naskenovaní poskytujú dodatočné informácie, ako sú inštrukcie na použitie, pôvod produktu alebo nutričné hodnoty.
Aké sú riziká pri používaní QR kódov?
Zo zdokumentovaných prípadov zatiaľ vyplýva, že najčastejšie dochádza k nahradzovaniu alebo falšovaniu QR kódov. Jedným z typických príkladov môžu byť parkovacie automaty. Užívatelia škodlivý kód v domnení, že plnia svoju bezpečnú funkciu, ľahko naskenujú. Spôsobov, ako útočníci zneužívajú QR kódy, je ale oveľa viac.
Do biznis ponuky sme vybrali tieto zariadenia Galaxy Z Fold6 / Z Flip6
Quishing: špecifická forma phishingu, ktorá využíva QR kódy ako lákadlo na odkázanie nič netušiacich užívateľov na podvodné webové stránky.
Cloning: útočník vytvorí autenticky vyzerajúcu kópiu legitímneho QR kódu a originálny kód prelepí alebo distribuuje online.
Reklama: umiestňovanie škodlivých QR kódov na verejné miesta v nádeji, že ich okoloidúci ľudia naskenujú.
Cielený quishing (spear quishing): umožňuje útočníkom preniknúť do firemných sietí, kradnúť dáta, nasadzovať ransomware a pomocou podvrhnutých QR kódov odcudzovať finančné informácie alebo údaje z platobných kariet, často zacielením na finančné oddelenie pre prevody peňazí.
Skenovacie aplikácie: využívanie podvrhnutých skenovacích aplikácií, ktoré šíria malware alebo získavajú prístup k niektorým nastaveniam súkromia v mobilnom zariadení (napríklad na prezeranie sieťových pripojení).
QRLjacking: útočníci oklamajú nič netušiaceho užívateľa, ktorý naskenovaním škodlivého QR kódu odovzdá zločincom prístup k svojmu účtu.
Ako eliminovať riziká spojené s QR kódmi?
Ak sa chcete vyvarovať nepríjemných následkov falošných QR kódov, mali by ste sa riadiť niekoľkými odporúčaniami:
Buďte obozretní pri skenovaní QR kódov a prekontrolujte URL adresu webu, na ktorý vedú.
Skontrolujte fyzickú podobu QR kódu (aby nebol pôvodný kód prelepený).
Neskenujte QR kódy, pokiaľ si nie ste istí ich pôvodom.
Udržujte všetky zariadenia aktualizované a zakážte automatické skenovanie QR kódov v zariadeniach.
Skontrolujte predvolené nastavenia skenovacích aplikácií a oprávnenia týkajúce sa zdieľania citlivých informácií.
Používajte na svojich zariadeniach bezpečnostný softvér s filtrovaním obsahu, ktorý kontroluje odkazy a prílohy a blokuje prístup k podozrivým položkám.
Zároveň existuje niekoľko opatrení, ktoré je možné urobiť na firemnej úrovni:
Zaraďte tému QR kódov do školenia o kyberbezpečnosti.
Udržujte vo firme prísne kontroly prístupu, aby ste obmedzili škody spôsobené podvodníkmi, pokiaľ získajú prihlasovacie údaje.
Využívajte systémy dvojfaktorového overovania, ktoré pridajú ďalšiu vrstvu ochrany pre prípad, že by došlo ku kompromitácii hesiel alebo prihlasovacích údajov zamestnancov.
Obmedzte používanie QR kódov v elektronickej obchodnej komunikácii, aby ste kyberzločincov odradili od ich využívania na zacielenie na vašich zákazníkov.
Podniky, ktoré chcú QR kódy používať, môžu tiež prijať opatrenia na ochranu svojich zákazníkov. Medzi techniky, ktoré stoja za zváženie, patrí napríklad využitie renomovaného generátora QR kódov a testovanie QR kódu pred jeho distribúciou. Alebo prispôsobenie QR kódu tak, aby v metadátach obsahoval značku spoločnosti a odkazované webové stránky boli silne šifrované a mali viditeľné označenie ochrany SSL.
Čo si z článku odniesť?
Kvôli narastajúcemu využívaniu sa na QR kódy stále viac zameriavajú aj kyberzločinci.
Na verejných miestach alebo v podvodných e-mailoch sa potom môžu objaviť falošné QR kódy, ktoré lákajú používateľa do pasce – či už s cieľom ukradnúť prihlasovacie údaje, alebo donútiť obeť k falošnej platbe.
Niektoré podvodné QR kódy podvodníci využívajú aj na šírenie malwaru, čo môže narušiť chod organizácie a viesť k strate reputácie.
Firmy by preto mali dbať na zvýšenú opatrnosť a naučiť zamestnancov neskenovať QR kódy, ktorých pôvodom si nie sú istí.
Pre obchodné účely sa oplatí dať prednosť renomovaným generátorom QR kódov a začleniť do kódu metadáta, ktoré potvrdzujú identitu spoločnosti.