Wykorzystanie kodów QR w atakach hackerskich odeszło do lamusa jakiś rok temu, jednak pandemia COVID-19 spowodowała ich wielki powrót. Wszystko dlatego, że cały Świat musi wyposażyć się w cyfrowy odpowiednik rzeczy normalnie dostępnych fizycznie, takich jak menu w restauracjach, przewodniki turystyczne czy na przykład wejściówki i bilety. Wiele podmiotów przyjęło właśnie kod QR, który wydaje się najprostszą formą realizacji takiej zmiany. Cyberprzestępcy odkurzyli więc swoją książkę oszustów wykorzystujących kody QR i zaczynają pojawiać się coraz to nowe przemyślane kampanie, których celem jest najczęściej kradzież pieniędzy z konta bankowego.
Aby pokazać, jak niebezpieczna może być socjotechnika wykorzystana za pomocą kodów QR, warto prześledzić przypadek oszustwa z Holandii, który miał miejsce mniej więcej rok temu.
Przestępcy podchodzili wtedy do ofiary i raczyli ich taką wypowiedzią:
„Przepraszam pana, czy mogę prosić o przysługę? Chcę zapłacić za parkowanie samochodu w tym miejscu, ale w pobliżu nie ma maszyn akceptujących gotówkę. Jeśli dam Panu pięć dolarów w gotówce, czy pomożesz mi zapłacić za mój parking? Wszystko, co musisz zrobić, to zeskanować ten kod QR za pomocą aplikacji bankowej”.
Jak można się domyślić, wiele nieświadomych osób odczuwało chęć pomocy i niestety po powrocie do domu okazywało się, że z ich konta bankowego znikały wszystkie pieniądze. Przestępcy działali na dużą skalę w kilku miastach i przenosili się do innych po zrobieniu zbyt dużego rozgłosu. W każdym z miast okradli dziesiątki osób na dziesiątki tysięcy euro.
Warto wiedzieć o tym incydencie i mieć się na baczności, jeśli ktoś podchodzi do nas i pokazuje nam kod QR do zeskanowania.
Krótkie przypomnienie QR kodów
Skrót QR wziął się od angielskich „Quick Response” i można to tłumaczyć jako kod szybkiej odpowiedzi. Jest to nic innego jak nowy typ dwuwymiarowego kodu kreskowego, znanego na przykład z produktów w supermarketach. Ten typ kodu został zaprojektowany do odczytu przez roboty, które śledzą towary w fabryce. Ponieważ kod QR zajmuje znacznie mniej miejsca niż starszy kod kreskowy oraz pozwala na szybsze maszynowe odczytanie informacji na nim zawartych. Szybko rozprzestrzenił się w innych branżach.
Smartfony mogą z łatwością odczytywać kody QR – wystarczy aparat i lekkie oprogramowanie. Niektóre aplikacje, takie jak aplikacje bankowe, mają wbudowane oprogramowanie do odczytywania kodów, aby ułatwić użytkownikom dokonywanie płatności online. W niektórych przypadkach kody QR są używane jako dodatkowy składnik procedury logowania. Kody QR można łatwo wygenerować za pomocą generatorów online oraz trudno je od siebie odróżnić. Dla większości ludzi wszystkie wyglądają tak samo. Dlatego informacja lub hiperłącze w nich zawarte może być idealnym medium dla cyberprzestępców.
Dlaczego kody QR wróciły?
Przez pewien czas kody QR były używane głównie w środowiskach przemysłowych, aby pomóc w śledzeniu towarów i produkcji. Później zyskały popularność wśród reklamodawców, ponieważ konsumentom łatwiej było zeskanować kod niż wpisać długi adres URL. Ale ludzie nie mogli stwierdzić na podstawie kodu QR, dokąd doprowadzi ich zawarty link, tak więc stali się ostrożni, a kody QR zaczęły znikać.
Teraz nadeszła pandemia, a przedsiębiorcy musieli wykazać się kreatywnością, jeśli chodzi o ochronę swoich klientów przed koronawirusem i przestrzegać wymogów sanitarnych.
Dla przykładu, w obawie przed rozprzestrzenianiem się COVID-19 przez wiele osób dotykających tego samego menu w restauracji, firmy umieszczały kody QR na stołach, aby klienci mogli zeskanować kod i otworzyć menu w przeglądarce na swoim telefonie. Szybko, prosto i bezpiecznie. Chyba że poprzedni gość o złych zamiarach zastąpił kod QR swoim własnym. Tutaj właśnie wchodzą przekręty cyberprzestępców.
Jak wykorzystywane są w atakach?
Najłatwiejszym i najmniej groźnym oszustwem związanym z kodem QR jest przechwytywanie kliknięć. Niektórzy zarabiają poprzez ilości unikalnych wejść na określoną witrynę w celu przyciągania użytkowników. Czy jest lepszy sposób niż na przykład zastąpienie kodów QR na popularnym pomniku, w którym ludzie oczekują, że znajdą podstawowe informacje turystyczne, klikając łącze w kodzie QR. Zamiast tego zastąpiony kod QR przenosi ich do obskurnej witryny, a operator przechwytujący kliknięcia otrzymuje zapłatę.
Kolejną sztuczką jest oszustwo związane z niewielką płatnością, której nie trzeba w żaden sposób autoryzować. W przypadku niektórych usług wpłacanie zaliczki przed skorzystaniem z tej usługi jest normalne. Przykładem może być wypożyczenie roweru miejskiego lub hulajnogi. Użytkownik jest wtedy proszony o dokonanie niewielkiej opłaty, aby otworzyć zamek lub odblokować pojazd. Na rowerze wydrukowany jest kod QR umożliwiający identyfikację roweru i rozpoczęcie procedury płatności. Nie jest problemem, aby legalne kody QR zostały zastąpione przez przestępców, którzy będą zadowolenie z przychodzących na ich konto niewielkich wpłat.
Za pomocą kodów QR można też oczywiście łatwo zamaskować linki phishingowe. Atakujący umieszczają kody QR z phishingiem tam, gdzie ma to sens dla użytkownika. Na przykład, jeśli ktoś spodziewa się, że zaloguje się, aby rozpocząć procedurę płatności lub uzyskać dostęp do określonej usługi. Widzieliśmy również maile phishingowe zawierające fałszywe kody QR, które przekierowują do pobrania fałszywej aplikacji bankowej!
Wreszcie, istnieje znane oszustwo związane z przekierowywanie płatności, które jest używane na przykład przy płatnościach BLIK. Głośna sprawa miała miejsce ze znaną usługą oferującą podobne płatności Bitcoin. Podczas gdy użytkownik wprowadził adres Bitcoin jako odbiornik, witryna wygenerowała kod QR dla innego adresu Bitcoin, aby otrzymać płatność. To szczególnie pokazuje słabość i niskie bezpieczeństwo kodów QR ze względu na niemożliwość odczytania i odróżnienia ich przez człowieka.
Jak uchronić się przed oszustwami QR kodów?
Istnieje kilka praktyk pozwalających uniknąć niektórych oszustw związanych z kodami QR:
- Nie ufaj e-mailom zawierającym kody QR, traktuj je tak samo jak niebezpieczne linki.
- Sprawdź, czy na oryginalny kod QR wklejono inną naklejkę z nowym kodem, jeśli tak, trzymaj się od niej z daleka.
- Używaj skanera QR, który sprawdza lub wyświetla adres URL, zanim automatycznie podąży za linkiem.
- Używaj narzędzia do blokowania phishingu lub filtru internetowego na swoim urządzeniu mobilnym, aby chronić się przed znanymi kampaniami.
- Nawet jeśli poczta z banku wygląda na wiarygodną, powinniśmy upewnić się telefonicznie, jeśli bank prosi o zeskanowanie kodu QR, zalogowanie się lub pobranie nietypowej aplikacji.