Kody QR są przeskokiem między światem offline a światem online. Dzięki prostemu zeskanowaniu kodu przy użyciu smartfona, można szybko dotrzeć do cyfrowej informacji, która jest wywoływana za jego pomocą. Wszystko to sprawia, że kody QR są marketingowym cudem, gdyż umożliwiają użytkownikom bezpośredni dostęp do usług i informacji. Co więcej, kody te wykorzystują niewątpliwy czynnik oryginalności i ludzkiej ciekawości, a jednocześnie za ich popularnością przemawia oferowana przez nie wygoda polegająca na prostym wskazaniu i przeglądaniu informacji.
Niestety wszystkie te zalety przyczyniły się do tego, że kody QR stały się przydatnym narzędziem dla hakerów, przygotowujących ataki oparte na inżynierii społecznej, które wykorzystują zaufanie i zainteresowanie użytkownika w celu przekierowania go do złośliwych stron lub szkodliwego oprogramowania. Podczas gdy technika ‘drive-by downloads’ jest już obecnie bardzo rozpowszechniona jako sposób na kradzież danych użytkownika bez jego wiedzy w czasie przeglądania stron internetowych, kody QR odsłaniają nowe możliwości manipulowania użytkownikami urządzeń mobilnych na podobnej zasadzie.
Kwestia zaufania
Problem z kodami QR polega na tym, że wymagają one od użytkownika zaufania do dostawcy kodu oraz założenia, że docelowy element wskazywany przez kod jest elementem zaufanym. Dla przeciętnego użytkownika jest to praktycznie niemożliwe do ocenienia, gdyż kody QR tak naprawdę ukrywają stronę internetową i zawartość, do której prowadzą. Inżynieria społeczna ewoluowała z formy robaków zawartych w wiadomościach email z początku lat 2000, jednak technika ta wciąż wykorzystuje ludzką ciekawość zobaczenia tego, co się stanie po kliknięciu na załącznik lub zeskanowaniu kodu. Często prowadzi to do sporych problemów w kontekście bezpieczeństwa.
Co więcej, aplikacje skanujące kody QR działające na smartfonach, mogą dawać bezpośredni dostęp do innych funkcjonalności telefonu, takich jak email, SMS, usługi lokalizacyjne i instalowania aplikacji, co jeszcze bardziej zwiększa potencjalne ryzyko ataku na urządzenie mobilne. Przyjrzyjmy się temu, jak potencjalny wirus ukryty pod kodem QR może zostać zainstalowany, a następnie zobaczmy, jak przed tym się bronić.
Odczytywanie kodu
Pierwszym krokiem do przeprowadzenia ataku z wykorzystaniem kodu QR jest samo rozpowszechnienie kodu tak, aby znalazł się on bezpośrednio przed potencjalną ofiarą. Można tego dokonać dołączając kod QR do wiadomości email – realizując to jako wyrachowany atak phishingowy – lub poprzez rozpowszechnienie wiarygodnie wyglądających dokumentów z nadrukowanymi kodami QR, na przykład ulotek na prezentacjach handlowych lub nawet naklejek przyklejonych do prawdziwych ogłoszeń na billboardach.
Jak tylko kod QR zostanie rozpowszechniony, atakujący ma mnóstwo możliwości wyboru rodzaju ataku. Najprostszy z nich to zwykłe przekierowanie użytkownika na fałszywą stronę internetową aby przeprowadzić atak phishingowy – na przykład fałszywy sklep internetowy lub strona do płatności online.
Bardziej złożone ataki wykorzystują kody QR do przekierowania użytkowników do stron, które dokonają włamania na ich urządzenia przenośne – czyli otrzymania uprawnień administratora na systemie operacyjnym urządzenia i zainstalowania złośliwego oprogramowania. Jest to zasadniczo atak typu drive-by download, umożliwiający zainstalowanie bez wiedzy i pozwolenia użytkownika dodatkowego oprogramowania lub aplikacji, np. typu key logger (rejestrujących zapis z klawiatury) lub śledzących położenie urządzenia z wykorzystaniem GPS.
Cel – portfel na urządzeniu mobilnym
Prawdopodobnie największym potencjalnym zagrożeniem dla użytkowników jest coraz większa popularność bankowości i płatności dokonywanych z użyciem smartfonów. Dzięki temu, że kody QR mają możliwość włamania się na urządzenie przenośne i manipulowania aplikacjami, daje to hakerom szansę na wirtualną kradzież kieszonkową portfeli na urządzeniach przenośnych, zwłaszcza za pomocą płatności bazujących na kodach QR, które już istnieją i są w użyciu. Popularność takich rozwiązań jest na razie nieduża, ale na pewno niedługo będzie coraz większa wraz ze społeczną akceptacją kodów QR.
Wobec tego w jaki sposób przedsiębiorstwa i indywidualni użytkownicy mogą zapobiec zagrożeniom płynącym z kodów QR? Najważniejszym środkiem ostrożności to mieć możliwość dokładnego ustalenia, do jakiej strony lub zasobu przekieruje nas kod po zeskanowaniu. Niektóre (nie wszystkie) aplikacje do skanowania kodów QR umożliwiają sprawdzenie elementu docelowego i – co jest najistotniejsze – proszą użytkownika o potwierdzenie chęci wykonania akcji. Daje to możliwość sprawdzenia przez użytkownika poprawności docelowego odnośnika zanim kod zostanie aktywowany.
Jeżeli chodzi o firmowe smartfony, warto rozważyć zastosowanie szyfrowania danych. Nawet gdy złośliwy kod QR zdoła zainstalować konia trojańskiego na urządzeniu, wrażliwe dane pozostaną wciąż chronione, a haker nie będzie miał do nich natychmiastowego dostępu i możliwości ich wykorzystania.
Podsumowując, zagrożenia wynikające z kodów QR są naprawdę niezłym sposobem na udoskonalenie i dopracowanie istniejących już hakerskich trików i ataków. Podstawy zachowania bezpieczeństwa pozostają te same – uważać co się skanuje oraz wykorzystywać szyfrowanie danych tam, gdzie to możliwe. Lub po prostu: zastanowić się najpierw, zanim zeskanujemy kod QR.