Niebezpieczne kody QR

Niebezpieczne kody QR28.02.2012 11:13
Źródło zdjęć: © WP.PL

Kody QR zaczęły być wykorzystywane do konstruowania ataków z wykorzystaniem inżynierii społecznej.

W dzisiejszych czasach nie trzeba daleko szukać, żeby znaleźć kod QR. Ich skromny początek miał miejsce w znakowaniu i kontrolowaniu części wykorzystywanych przy konstruowaniu samochodów. Obecnie te małe, składające się z prostokątów podrasowane kody kreskowe są umieszczane wszędzie, poczynając od opakowań produktów przez plakaty, billboardy aż po magazyny i gazety.

Kody QR są przeskokiem między światem offline a światem online. Dzięki prostemu zeskanowaniu kodu przy użycia smartfona, posiadacz telefonu może szybko dotrzeć do cyfrowej informacji, która jest wywoływana za pomocą kodu. Wszystko to sprawia, że kody QR są marketingowym cudem, gdyż umożliwiają użytkownikom bezpośredni dostęp do usług i informacji. Co więcej, kody te wykorzystują niewątpliwy czynnik oryginalności i ludzkiej ciekawości a jednocześnie za ich popularnością przemawia oferowana przez nie wygoda polegająca na prostym wskazaniu i przeglądaniu informacji.

Niestety wszystkie te zalety przyczyniły się do tego, że kody QR stały się przydatnym narzędziem dla hakerów przygotowujących ataki oparte na inżynierii społecznej, które wykorzystują zaufanie i zainteresowanie użytkownika w celu przekierowania go do złośliwych stron lub szkodliwego oprogramowania. Podczas gdy technika ‘drive-by downloads’. jest już obecnie bardzo rozpowszechniona jako sposób na kradzież danych użytkownika bez jego wiedzy w czasie przeglądania stron internetowych, kody QR odsłaniają nowe możliwości manipulowania użytkownikami urządzeń mobilnych na podobnej zasadzie.

Kwestia zaufania

Problem z kodami QR polega na tym, że wymagają one od użytkownika zaufania do dostawcy kodu oraz założenia, że docelowy element wskazywany przez kod jest elementem zaufanym. Dla przeciętnego użytkownika jest to praktycznie niemożliwe do ocenienia, gdyż kody QR tak naprawdę ukrywają stronę internetową i zawartość, do której prowadzą. Inżynieria społeczna ewoluowała z formy robaków zawartych w wiadomościach email z początku lat 2000. jednak technika ta wciąż wykorzystuje ludzką ciekawość zobaczenia tego, co się stanie po kliknięciu na załącznik lub zeskanowaniu kodu. Często prowadzi to do sporych problemów w kontekście bezpieczeństwa.

Co więcej, aplikacje skanujące kody QR działające na smartfonach mogą dawać bezpośredni dostęp do innych funkcjonalności telefonu, takich jak email, SMS, usługi lokalizacyjne i instalowania aplikacji, co jeszcze bardziej zwiększa potencjalne ryzyko ataku na urządzenie mobilne. Przyjrzyjmy się temu, jak potencjalny wirus ukryty pod kodem QR może zostać zainstalowany, a następnie zobaczmy, jak przed tym się bronić.

Odczytywanie kodu

Pierwszym krokiem do przeprowadzenia ataku z wykorzystaniem kodu QR jest samo rozpowszechnienie kodu tak, aby znalazł się on bezpośrednio przed potencjalną ofiarą. Można tego dokonać dołączając kod QR do wiadomości email - realizując to jako wyrachowany atak phishingowy - lub poprzez rozpowszechnienie wiarygodnie wyglądających dokumentów z nadrukowanymi kodami QR, na przykład ulotek na prezentacjach handlowych lub nawet naklejek przyklejonych do prawdziwych ogłoszeń na billboardach.

Jak tylko kod QR zostanie rozpowszechniony, atakujący ma mnóstwo możliwości wyboru rodzaju ataku. Najprostszy z nich to zwykłe przekierowanie użytkownika na fałszywą stronę internetową, aby przeprowadzić atak phishingowy - na przykład fałszywy sklep internetowy lub strona do płatności online.

Bardziej złożone ataki wykorzystują kody QR do przekierowania użytkowników do stron, które dokonają włamania na ich urządzenia przenośne - czyli otrzymania uprawnień administratora na systemie operacyjnym urządzenia i zainstalowania złośliwego oprogramowania. Jest to zasadniczo atak typu drive-by download, umożliwiający zainstalowanie bez wiedzy i pozwolenia użytkownika dodatkowego oprogramowania lub aplikacji, np. typu key logger (rejestrujących zapis z klawiatury) lub śledzących położenie urządzenia z wykorzystaniem GPS.

Cel - portfel na urządzeniu mobilnym

Prawdopodobnie największym potencjalnym zagrożeniem dla użytkowników jest coraz większa popularność bankowości i płatności dokonywanych z użyciem smartfonów. Dzięki temu, że kody QR mają możliwość włamania się na urządzenie przenośne i manipulowania aplikacjami, daje to hakerom szansę na wirtualną kradzież kieszonkową portfeli na urządzeniach przenośnych, zwłaszcza za pomocą płatności bazujących na kodach QR, które już istnieją i są w użyciu. Popularność takich rozwiązań jest na razie nieduża, ale na pewno niedługo będzie coraz większa wraz ze społeczną akceptacją kodów QR.

Wobec tego w jaki sposób przedsiębiorstwa i indywidualni użytkownicy mogą zapobiec zagrożeniom płynącym z kodów QR? Najważniejszy środek ostrożności to możliwość dokładnego ustalenia, do jakiej strony lub zasobu przekieruje nas kod po zeskanowaniu. Niektóre (nie wszystkie) aplikacje do skanowania kodów QR umożliwiają sprawdzenie elementu docelowego i - co jest najistotniejsze - proszą użytkownika o potwierdzenie chęci wykonania akcji. Daje to możliwość sprawdzenia przez użytkownika poprawności docelowego odnośnika zanim kod zostanie aktywowany.

Jeżeli chodzi o firmowe smartfony, warto rozważyć zastosowanie szyfrowania danych. Nawet gdy złośliwy kod QR zdoła zainstalować konia trojańskiego na urządzeniu, wrażliwe dane pozostaną wciąż chronione, a haker nie będzie miał do nich natychmiastowego dostępu i możliwości ich wykorzystania.

Podsumowując, zagrożenia wynikające z kodów QR są naprawdę niezłym sposobem na udoskonalenie i dopracowanie istniejących już hakerskich trików i ataków. Podstawy zachowania bezpieczeństwa pozostają te same - uważać co się skanuje oraz wykorzystywać szyfrowanie danych tam, gdzie to możliwe. Lub po prostu: zastanowić się najpierw, zanim zeskanujemy kod QR.

Źródło: checkpoint.com

© WP Tech·Redakcja·Regulamin·Polityka prywatności·Reklama
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.

Przejdź naUKRAINA