QR kódy zažívajú svoj okamih slávy. Nenápadné štvorčeky sú tu síce už od roku 1994, ale až v ére covidu sa stali skutočne známym pojmom. V súčasnosti môžete tieto kódy vidieť všade, keďže sa využívajú na všetko od zobrazovania jedálnych lístkov v reštauráciách cez uľahčenie bezkontaktných transakcií až po trasovanie kontaktov cez aplikácie.
Bezpečnostný analytik: V telefónoch máme uloženú celú svoju históriu Prečítať rozhovor
Podobne ako každá iná populárna technológia, aj rozšírené používanie QR kódov upútalo pozornosť podvodníkov, ktorí ich využívajú na podlé účely. Tento trend dokonca prinútil americký Federálny úrad pre vyšetrovanie (FBI) vydať upozornenie.
V tomto článku sa pozrieme na to, ako podvodníci zneužívajú kódy na nelegálne obohacovanie.
ESET Mobile Security pre Android
Komplexná ochrana pre váš smartfón a tablet s Androidom. Poskytuje zabezpečenie pri používaní finančných aplikácií, chráni pred ransomvérom a pomôže nájsť stratený telefón.
Čo je QR kód a ako funguje?
QR kód (z anglického quick response = rýchla reakcia) je typ strojovo snímateľného čiarového kódu, ktorý je, ako vyplýva z jeho názvu, navrhnutý tak, aby ho digitálne zariadenie dokázalo okamžite prečítať a dekódovať. QR kód môže obsahovať až 4 296 alfanumerických znakov, hoci bežne používané kódy ich majú zvyčajne menej, čo umožňuje jednoduché dekódovanie pomocou fotoaparátu na smartfóne.
Textové reťazce zakódované v QR kóde môžu obsahovať rôzne údaje. Akcia, ktorá sa vykoná po prečítaní QR kódu, závisí od aplikácie, ktorá s uvedeným kódom komunikuje. Kódy môžu slúžiť na otvorenie webovej stránky, stiahnutie súboru, pridanie kontaktu, pripojenie k sieti Wi‑Fi a dokonca aj na uskutočnenie platieb či mnohých ďalších akcií. QR kódy sú veľmi univerzálne a možno ich prispôsobiť tak, aby obsahovali logá.
Dynamické verzie QR kódov dokonca umožňujú kedykoľvek zmeniť obsah alebo akciu. Táto všestrannosť však môže byť dvojsečnou zbraňou.
Ako používať verejné Wi-Fi bezpečne? Prečítať článok
Ako sa dajú QR kódy zneužiť
Podvodníkom neuniklo mimoriadne rozšírené používanie QR kódov (a potenciál ich zneužitia). Ďalej sa dozviete, ako môžu zločinci využiť tieto kódy na krádež údajov a peňazí.
1. Presmerujú vás na škodlivú webovú stránku s cieľom ukradnúť citlivé informácie
Phishingové útoky sa nešíria len cez e‑mail, okamžité správy alebo textové správy. Rovnako ako útočníci používajú na presmerovanie obetí na podvodné stránky škodlivé reklamy a iné techniky, môžu to isté urobiť aj s QR kódmi.
Obzvlášť nebezpečné je, ak sa kódy zobrazia v reklamách na frekventovaných miestach alebo v blízkosti bánk či iných finančných inštitúcií. V jednom z nedávno hlásených prípadov podvodníci umiestnili nálepky s podvodnými QR kódmi na verejné parkovacie automaty v niekoľkých mestách v Texase a presmerovali ľudí na falošné platobné stránky.
2. Stiahnu do vášho zariadenia škodlivý súbor
Mnohé bary a reštaurácie používajú QR kódy na stiahnutie jedálneho lístka vo formáte PDF alebo na inštaláciu aplikácie, ktorá umožňuje návštevníkom objednať si. Útočníci môžu s QR kódom ľahko manipulovať a pokúsiť sa oklamať potenciálnu obeť, aby si stiahla nebezpečný súbor PDF alebo škodlivú mobilnú aplikáciu.
ESET Internet Security
Ideálne riešenie pre moderných používateľov. Poskytuje ochranu osobných údajov, aktívne zabezpečuje online bankovníctvo, komunikáciu, blokuje neoprávnený prístup k webovej kamere a poskytuje ochranu vašej domácej siete.
3. Spustia akcie na vašom zariadení
QR kódy môžu spúšťať akcie priamo na zariadení, pričom tieto akcie závisia od aplikácie, ktorá ich číta (naozaj by ste si mali dávať pozor na falošné aplikácie na skenovanie čiarových kódov). Existuje však niekoľko základných akcií, ktoré dokáže interpretovať každá základná čítačka QR kódov. Patrí medzi ne pripojenie zariadenia k sieti Wi‑Fi, odoslanie e‑mailovej alebo SMS správy s preddefinovaným textom alebo uloženie kontaktných informácií do zariadenia. Hoci tieto akcie samy osebe nie sú škodlivé, mohli by sa zneužiť na pripojenie zariadenia ku kompromitovanej sieti alebo odosielanie správ v mene obete.
4. Odklonia platbu alebo požadujú peniaze
Väčšina finančných aplikácií dnes umožňuje uskutočňovať platby prostredníctvom QR kódov, ktoré obsahujú údaje patriace príjemcovi peňazí. Mnohé obchody zobrazujú tieto kódy svojim zákazníkom, a tak uľahčujú transakciu. Útočníci však môžu QR kódy upraviť a vložiť do nich vlastné údaje, aby mohli prijímať platby na svoje účty. Mohli by tiež vytvoriť kódy na inkasovanie peňazí s cieľom oklamať kupujúcich, ako sa to stalo aj obetiam podvodu využívajúceho falošné platobné QR kódy.
ESET Mobile Security pre Android
Komplexná ochrana pre váš smartfón a tablet s Androidom. Poskytuje zabezpečenie pri používaní finančných aplikácií, chráni pred ransomvérom a pomôže nájsť stratený telefón.
5. Ukradnú identitu používateľa alebo prístup k aplikácii
Mnohé QR kódy sa používajú ako certifikát na overenie informácií o osobe, napríklad jej občianskeho alebo očkovacieho preukazu. V týchto prípadoch môžu QR kódy obsahovať informácie, ktoré sú rovnako citlivé ako údaje obsiahnuté v občianskom preukaze alebo zdravotných záznamoch a ktoré by útočník mohol ľahko získať naskenovaním QR kódu.
Mnohé aplikácie, ako napríklad WhatsApp, Telegram alebo Discord, niekedy používajú QR kódy na overenie používateľských relácií. Tým umožňujú používateľom prístup k ich účtom. Ako sa už stalo v prípade aplikácie WhatsApp, pri útokoch, ako je QRLjacking, útočníci oklamali používateľa tým, že sa vydávajú za poskytovateľa služby a presvedčia ho, aby naskenoval ich QR kód.
Vo väčšine prípadov musí útočník vygenerovať škodlivý QR kód, ktorý nahradí pôvodný kód. Inými slovami, útoky zahŕňajú sociálne inžinierstvo a spoliehajú sa na oklamanie obete, aby vykonala osudnú akciu.
Získajte praktické rady o bezpečnosti na internete. Prihláste sa na odber nášho newslettra.
Pred naskenovaním QR kódu postupujte nasledovne:
Tipy na bezpečné používanie QR kódov
- Pred naskenovaním QR kódu skontrolujte, či sa s ním nemanipulovalo, napríklad overte, či neprekrýva iný QR kód.
- Neskenujte náhodné QR kódy ani kódy v nevyžiadaných správach.
- S kódmi zaobchádzajte rovnako opatrne ako s odkazmi alebo prílohami v e‑mailoch či aplikáciách na výmenu správ.
- Mimoriadne opatrne postupujte pri QR kódoch na zaplatenie faktúry alebo vykonanie iného druhu finančnej transakcie. Zvážte použitie iného spôsobu platby.
- Vypnite možnosť vykonávania automatických akcií pri skenovaní QR kódu, ako je napríklad návšteva webovej stránky, stiahnutie súboru alebo pripojenie k sieti Wi‑Fi.
- Po naskenovaní si dobre pozrite URL adresu a skontrolujte, či je legitímna. Aj v tomto prípade však môže byť často lepšie vyhnúť sa zadávaniu prihlasovacích alebo osobných údajov na stránke, na ktorú vás presmeroval QR kód. Ak sa vám niečo nezdá, otvorte prehliadač a zadajte URL adresu manuálne.
- Nezdieľajte QR kódy, ktoré obsahujú citlivé informácie, ako sú tie, ktoré viete použiť na prístup k aplikáciám alebo sú obsiahnuté v dokladoch a zdravotných certifikátoch.
- Pri generovaní QR kódu používajte renomovanú službu. Takáto služba môže tiež overiť, či je QR kód pravý a vykonáva požadovanú akciu.
- Svoje aplikácie pravidelne aktualizujte a používajte bezpečnostný softvér.
Autor: tím Bezpečne na nete
Zdroj: (Welivesecurity) Cecilia Pastorino – Think before you scan: How fraudsters can exploit QR codes to steal money