Agencja internetowa » Wiadomości cyfrowe » Dlaczego zagrożenia związane z kodami QR rosną —

Dlaczego zagrożenia związane z kodami QR rosną —

Korzystanie z telefonu w celu uzyskania dostępu do kodów QR.
Shutterstock/shisu_ka

Kody QR ułatwiają dostęp do zasobów internetowych bez martwienia się o małą klawiaturę smartfona. Ale czy naprawdę wiesz, co otrzymasz, skanując jeden?

Kod QR

Kody szybkiej odpowiedzi (QR) nagle znów są wszędzie. Wynaleziony w 1994 roku przez wielokrotnie nagradzany zespół Denso Wave, spółki zależnej Toyoty, kod QR trafił do niemal każdej branży. Są jak kod kreskowy na sterydach. Mogą wyglądać jak pijane szachownice, ale niezwykle pikantne czarno-białe kwadraty zawierają o wiele więcej informacji niż paski na kodzie kreskowym. A kody QR mogą wywołać dowolny wybór Akcje wewnątrz urządzenia skanującego, zwykle smartfona.

Kody QR można znaleźć na opakowaniach produktów, przystankach autobusowych i tablicach informacyjnych. Znajdują się one na drukowanych materiałach promocyjnych, takich jak bilety, ulotki i maty barowe. Można je zobaczyć na pojazdach firmowych, promocjach w sklepach i wyskakujących stoiskach na wystawach. Chcesz dowiedzieć się więcej o produkcie, wydarzeniu lub czymkolwiek, co jest promowane? Zeskanuj kod smartfonem.

Możesz znaleźć kody QR ukryte w serwerach i innym sprzęcie. Jeśli wizytujący technik musi zapoznać się z instrukcją, ale nie ma pod ręką kopii, może zeskanować kod QR i uzyskać dostęp do instrukcji online.

Jeśli korzystasz z aplikacji mobilnej LinkedIn, dotknij grupy kwadratów na pasku wyszukiwania, a następnie dotknij „Mój kod”. Zobaczysz swój osobisty kod QR. To przenosi ludzi bezpośrednio do Twojego profilu LinkedIn. Coraz więcej osób dodaje je do swoich CV. Możesz nawet zobaczyć kody QR na cmentarzach.

Pandemia COVID-19 pomogła napędzać renesans kodów QR. Chwała kodów QR polega na tym, że nie musisz dotykać niczego poza własnym smartfonem, aby z nich korzystać. To szybki i łatwy system zbliżeniowy – a każdy ma już odpowiedni skaner. A to sprawia, że ​​jest to doskonały mechanizm dostępu lub zbierania informacji w przypadku pandemii.

Właśnie dlatego pojawienie się COVID-19 sprawiło, że kod QR zajął centralną pozycję w wielu firmach, które regularnie zajmują się opinią publiczną. Na przykład restauracje wykorzystują kody QR do wyświetlania menu na smartfonach klientów. Nie ma potrzeby obsługi wydrukowanego menu, które krąży po restauracji nie wiadomo kiedy.

W Wielkiej Brytanii aplikacja Track and Trace Narodowej Służby Zdrowia jest oparta na kodach QR. Witryny wyświetlają spersonalizowany plakat z kodem QR specyficznym dla lokalizacji. Odwiedzający skanują kod, a aplikacja zapisuje, kiedy i gdzie byłeś. Jeśli ktoś zgłosi objawy COVID-19, serwery NHS mogą przeanalizować dane i ustalić, kto jeszcze miał kontakt z tą osobą.

Problem z kodami QR

Najczęstszym zastosowaniem kodu QR dla konsumentów jest uruchomienie strony internetowej na smartfonie. Ale mogą zrobić znacznie więcej. Kody QR mogą wywoływać różne akcje na smartfonie w zależności od informacji w kodzie QR.

Przed kliknięciem łącza internetowego prawdopodobnie sprawdzasz wizualnie, czy nie ma niespójności. Warto sprawdzić, czy strona internetowa, do której zostaniesz przeniesiony, ma rozsądną i wiarygodną nazwę. Czy naprawdę przeniesie Cię do żądanej witryny, czy też do witryny z kopiami, która wykradnie Twoje dane logowania? Z kodem QR nic nie wiadomo. Gołym okiem są całkowicie nieprzeniknione – ich zawartość nie może być odczytana przez człowieka. Skanowanie kodu QR to akt wiary.

Nasze smartfony są awatarem naszej prawdziwej tożsamości. Przechowują wszelkiego rodzaju dane osobowe, które są nieocenione dla cyberprzestępców, a także dostęp do aplikacji, takich jak bankowość internetowa, PayPal i portfele kryptowalut. Zhakowany smartfon jest tak samo zły jak zhakowany komputer.

Smartfony zacierają granice między cyfrową prywatnością ludzi a ich cyfrowym życiem w biznesie lub pracy. Niektóre osoby, które otrzymują smartfona firmowego, mają też smartfona prywatnego. Dla większości łatwiej i taniej jest mieć jeden smartfon – firmowy smartfon – i używać go do celów biznesowych i osobistych.

Ludzie są mniej zaniepokojeni bezpieczeństwem podczas osobistego korzystania z sieci niż do użytku korporacyjnego. Ale jeśli ich smartfon zostanie naruszony, naraża to sieć firmową na ryzyko, ponieważ szczegóły połączenia z VPN i innymi kontami mogą zostać przechwycone przez złośliwe oprogramowanie. Z urządzenia można również pobierać firmowe wiadomości e-mail.

Oczywiście pracownicy bez smartfona biznesowego będą mieli smartfon prywatny i prawdopodobnie połączą go z firmową siecią Wi-Fi. Prywatne smartfony rzadziej są chronione przez VPN lub pakiety ochrony punktów końcowych.

Niezależnie od tego, czy jest to smartfon firmowy, czy urządzenie osobiste, zhakowany smartfon stanowi ryzyko, jeśli łączy się z siecią firmową.

A smartfony mogą być zagrożone w miejscu pracy. Coraz częściej dołącza się kod QR do CV lub życiorysu. Może to prowadzić do osobistego bloga kandydata lub jego profilu na LinkedIn lub może być złośliwe. Wysłanie fałszywego CV z kodem QR to dyskretny sposób na skompromitowanie smartfona za pomocą ataku papierowego.

Kod QR LinkedIn dla Dave'a McKay
Osobisty kod QR LinkedIn.

Co może zrobić kod QR?

Kody QR mogą wyzwalać wiele różnych akcji w smartfonie.

  • Uruchomienie strony internetowej. Jeśli jest złośliwy, może to być witryna gromadząca dane uwierzytelniające typu copy-cat lub może zainfekować Twój smartfon koniem trojańskim. Złośliwe oprogramowanie połączy się następnie z serwerami cyberprzestępców. Dane mogą być przesyłane ze smartfona na serwery lub na smartfon może zostać pobrane inne złośliwe oprogramowanie.
  • Dodaj złośliwy wpis do swoich kontaktów. Specjalnie spreparowany wpis kontaktowy zawierający złośliwe informacje może wywołać exploity na smartfonie.
  • Dodaj i połącz się z siecią Wi-Fi, który może być złośliwą lub skompromitowaną siecią.
  • Dokonać płatności. Często pod przykrywką, że jest to sposób na przekazanie darowizny na cele charytatywne, złośliwe kody QR mogą akceptować płatności i umożliwiać cyberprzestępcom przechwycenie informacji osobistych i informacji o koncie.
  • Nawiąż połączenie głosowe. Jeśli to połączenie jest skierowane do cyberprzestępców, mają teraz Twój numer i identyfikator dzwoniącego. Mogą próbować społecznie tworzyć inne informacje poza tobą.
  • Utwórz wiadomość tekstową SMS. Kod QR może stworzyć wiadomość tekstową zaadresowaną do cyberprzestępców (lub kogokolwiek, kogo wybiorą). Dzięki temu jesteś otwarty na ataki phishingowe oparte na tekście, znane jako ataki typu smishing.
  • Napisz e-mail ze wstępnie wypełnionymi adresatami i tematami, pozostawiając Cię otwartym na ataki phishingowe e-mail.
  • Zarejestruj się, aby śledzić konta w mediach społecznościowych. Posty na koncie w sieci społecznościowej będą zawierać linki, które dotkną ofiary, pobierając złośliwe oprogramowanie na swój telefon.

Kody QR mogą również tworzyć wpisy w kalendarzu lub uzyskiwać lokalizację z GPS smartfona, ale są one mniej prawdopodobne, aby spowodować kompromis.

Najpierw myśl, skanuj później

W przypadku kodów QR kontekst jest wszystkim. Gdzie jest kod? Kto jest właścicielem lub dostawcą kodu? Jeśli jest to ulotka domowej roboty przypięta do słupa telegraficznego, nie można zagwarantować jej prawdziwości. Nie masz pochodzenia tego kodu. Jeśli kod QR znajduje się na profesjonalnie wydrukowanym plakacie w recepcji gabinetu lekarskiego lub szpitala, możesz mieć większą pewność, że kod jest prawdziwy.

Ale mimo to sprawdź, czy inny kod QR nie został wydrukowany na papierowej etykiecie i naklejony na oryginalnym kodzie. Nie możesz stwierdzić, czy kod QR jest łagodny czy złośliwy, ale możesz szukać oznak manipulacji lub modyfikacji. Jeśli wydaje się, że został zmanipulowany, nie skanuj go.

Przejdź przez ustawienia aplikacji do skanowania kodów QR i skonfiguruj ją tak, aby wyświetlała adresy internetowe przed uruchomieniem witryny lub wykonaniem jakiejkolwiek innej czynności. Szkoda, że ​​korzystanie z kodów QR wymaga ludzkiej kontroli, które są przeznaczone do bezbolesnego przepływu pracy typu „skanuj i gotowe”, ale walka z cyberprzestępczością wymaga stałej staranności.

★ ★ ★ ★ ★