Kody QR, czyli kody szybkiego dostępu (ang. "quick response" to w tłumaczeniu dosłownym - "szybka reakcja"), to nowoczesne narzędzie dla marketingowców. Ale czy tylko dla nich? Wykorzystują je także hakerzy, oszukując niczego nieświadomych użytkowników smartfonów.
W dzisiejszych czasach kody QR są już praktycznie wszędzie: w magazynach, na autobusach, na reklamach na przystankach tramwajowych, na opakowaniach produktów spożywczych etc. Są przeskokiem między światem offline a światem online. Dzięki prostemu zeskanowaniu kodu przy użycia smartfona, posiadacz telefonu może szybko dotrzeć do cyfrowej informacji, która jest wywoływana za pomocą kodu. Jest to szczególnie atrakcyjne dla osób ekscytujących się technologiami i ciekawych nowych produktów.
Ponieważ narzędzie to jest zupełnie nowe i do zbiorowej świadomości społeczeństwa nie dotarło jeszcze, jakie zagrożenia ze sobą niesie - użytkownicy nie widzą powodów, aby mu nie ufać. Z tego zaufania korzystają hakerzy. Niestety, aplikacje skanujące kody QR działające na smartfonach mogą dawać bezpośredni dostęp do innych funkcjonalności telefonu, takich jak email, SMS, usługi lokalizacyjne i instalowania aplikacji, co jeszcze bardziej zwiększa potencjalne ryzyko ataku na urządzenie mobilne.
Sposoby działania cyberprzestępców
Pierwszym krokiem do przeprowadzenia ataku z wykorzystaniem kodu QR jest samo rozpowszechnienie kodu tak, aby znalazł się on bezpośrednio przed potencjalną ofiarą. Można tego dokonać dołączając kod QR do wiadomości e-mail - realizując to jako wyrachowany atak phishingowy - lub poprzez rozpowszechnienie wiarygodnie wyglądających dokumentów z nadrukowanymi kodami QR, na przykład ulotek na prezentacjach handlowych lub nawet naklejek przyklejonych do prawdziwych ogłoszeń na billboardach.
Jak tylko kod QR zostanie rozpowszechniony, atakujący ma mnóstwo możliwości wyboru rodzaju ataku. Najprostszy z nich to zwykłe przekierowanie użytkownika na fałszywą stronę internetową, aby przeprowadzić atak phishingowy - na przykład fałszywy sklep internetowy lub strona do płatności online.
Bardziej złożone ataki wykorzystują kody QR do przekierowania użytkowników do stron, które dokonają włamania na ich urządzenia przenośne - czyli otrzymania uprawnień administratora na systemie operacyjnym urządzenia i zainstalowania złośliwego oprogramowania. Jest to zasadniczo atak typu drive-by download, umożliwiający zainstalowanie bez wiedzy i pozwolenia użytkownika dodatkowego oprogramowania lub aplikacji, np. typu key logger (rejestrujących zapis z klawiatury) lub śledzących położenie urządzenia z wykorzystaniem GPS.
Prawdopodobnie największym potencjalnym zagrożeniem dla użytkowników jest coraz większa popularność bankowości i płatności dokonywanych z użyciem smartfonów. Dzięki temu, że kody QR mają możliwość włamania się na urządzenie przenośne i manipulowania aplikacjami, daje to hakerom szansę na wirtualną kradzież kieszonkową portfeli na urządzeniach przenośnych.
Jak się bronić?
Wobec tego w jaki sposób można zapobiec zagrożeniom płynącym z kodów QR? Najważniejszy środek ostrożności to możliwość dokładnego ustalenia, do jakiej strony lub zasobu przekieruje nas kod po zeskanowaniu. Niektóre (nie wszystkie) aplikacje do skanowania kodów QR umożliwiają sprawdzenie elementu docelowego i - co jest najistotniejsze - proszą użytkownika o potwierdzenie chęci wykonania akcji. Daje to możliwość sprawdzenia przez użytkownika poprawności docelowego odnośnika zanim kod zostanie aktywowany.
Jeżeli chodzi o firmowe smartfony, warto rozważyć zastosowanie szyfrowania danych. Nawet gdy złośliwy kod QR zdoła zainstalować konia trojańskiego na urządzeniu, wrażliwe dane pozostaną wciąż chronione, a haker nie będzie miał do nich natychmiastowego dostępu i możliwości ich wykorzystania.
Jednak podstawowym środkiem bezpieczeństwa jest jak zawsze zdrowy rozsądek podczas korzystania z nowych technologii. Kody QR stają się narzędziem hakerów tylko wówczas gdy lekkomyślnie skanujemy co popadnie.
źródło: checkpoint.com / CNET / WP.PL