Kody QR możemy znaleźć w coraz większej ilości miejsc. W komunikacji miejskiej, na słupach ogłoszeniowych, reklamach i przystankach autobusowych. Ułatwiają one sporo codziennych czynności (np. kasowanie biletów) oraz umożliwiają ominięcie żmudnego przepisywania adresów e-mail czy adresów URL. Czy zastanawialiście się jednak co kryje się pod tymi kodami? Czy aby na pewno są one bezpieczne? Do czego może doprowadzić zeskanowanie kodu o nieznanej nam treści? Przeczytaj poniższy artykuł i poznaj kilka przykładów wykorzystania kodów QR w złych zamiarach.
W 2021 roku organizacja Surveillance Technology Oversight Project przeprowadziła eksperyment w ramach które zostały rozwieszone ulotki reklamowe zawierające kody QR, dotyczące wydarzenia kulturalnego. Organizacja w bardzo krótkim czasie odnotowała wiele wejść na stronę, co pokazało ile osób bez większego namysłu zeskanowało wspomniane kody, oczekując szczegółowych informacji na temat wydarzenia. Na szczęście w tym przypadku kod przekierowywał na stronę mającą na celu poinformowanie użytkowników o niebezpieczeństwach mogących kryć się pod kodami QR.
Jednak nie wszyscy mają tak dobre intencje. W 2020 roku odnotowano znaczny wzrost skuteczności wykorzystania kodów QR do wyłudzenia poufnych informacji. Wykorzystywany jest fakt, że na pierwszy rzut oka nie widać, co znajduje się pod kodem QR, a wiele aplikacji automatycznie przekierowuje na linki w nich zawarte, bez dalszej ingerencji czy potwierdzenia ze strony użytkownika. Najczęściej pod kodami znajdują się linki do złośliwych witryn bądź zainfekowanych aplikacji na urządzenia mobilne.
Jedną z ostatnich kampanii ‘quishing-owych’ w Polsce była kampania w której cyberprzestępcy podszywali się pod bank Santander. W kampanii tej kody były wyświetlane na fałszywej stronie banku, a po zeskanowaniu przekierowywały na spreparowaną witrynę logowania, gdzie nieświadomi użytkownicy podawali swoje dane logowania, udostępniając je tym samym przestępcom, przez co w łatwy sposób można było utracić dostęp do konta oraz oszczędności.
W styczniu tego roku na ulicach Wrocławia pojawiło się wiele ulotek z informacjami na temat udzielania pomocy ofiarom wojny na Ukrainie. Rzekomym autorem tych ulotek był Urząd Do Spraw Cudzoziemców. Na ulotkach znajdował się kod QR, który przekierowywał na stronę dostawcy usługi przechowywania plików w chmurze, na której znajdował się plik w formacie DOC, który również na pierwszy rzut oka nie wyglądał podejrzanie. Jednak nigdy nie wiadomo co może kryć się głębiej. Oczywiście Urząd Do Spraw Cudzoziemców zaprzeczył, że ulotki były ich autorstwa. Do podobnej sytuacji doszło w australijskim Melbourne, gdzie jednak zamiast tworzenia nowych ulotek, naklejono spreparowane kody QR na tabliczki z informacją o zgłaszaniu problemów na stacjach metra.
Innym ciekawym przypadkiem było wykorzystanie kodów QR przy parkingach w Austin w stanie Texas, gdzie kody miały być wykorzystane do płatności za postój. Jednak zamiast przekierowywania na stronę lub do aplikacji organizacji, do której należał parking, kod przenosił na stronę, na której znajdował się formularz wyłudzający dane karty kredytowej. Tylko w grudniu 2021 zlokalizowano około sto tego typu kodów naklejonych w San Antonio.
Jak widać na podstawie powyższych przypadków, kody QR są skutecznym wektorem ataku na wielu nieświadomych użytkowników. Czy można się jednak przed tym uchronić? Na pewno trzeba zachować zdrowy rozsądek i nie skanować pierwszego napotkanego kodu. Warto też używać aplikacji, która bezpośrednio po zeskanowaniu nie przekieruje do zawartości kodu, a pokaże co się pod nim kryje (link do strony, wizytówka, aplikacja do pobrania). Po tym często można zweryfikować czy źródło jest bezpieczne. Warto również mieć na uwadze, że jeżeli po zeskanowaniu kodu zostaniemy poproszeni o wpisanie poświadczeń, to istnieje bardzo duże prawdopodobieństwo, że jest to próba wyłudzenia danych. Organizacje dla podniesienia bezpieczeństwa, mogą natomiast wyłączać funkcję skanowania kodów QR w telefonach służbowych.
Aktualizacja! (7 marca 2023)
W dniu 06.03.2023, redakcja strony zaufanatrzeciastrona.pl przeprowadziła „akcję prowokacyjną”, mającą na celu sprawdzenie w jaki sposób przestępcy wykorzystują kody QR do wykradania danych, a wszystko odbywało się na kanale znanego komunikatora Discord, gdzie przestępcy oferowali nagrody w zamian za utworzenie „kont ankietera”, do którego rzekomo podłączany był automat wypełniający ankiety. W instrukcji przesłanej przez administratora kanału znajdował się kod QR, który trzeba było zeskanować przy pomocy aplikacji „Wiadomości” od Google. Co dokładnie kryło się po kodem? Link do sparowania aplikacji z przeglądarką, dzięki czemu można było otrzymać dostęp do wszystkich wiadomości, oraz możliwości ich wysyłania. Metoda ta została głównie wykorzystywana do wysyłania SMS-ów premium na koszt ofiary, jednak oszuści równie łatwo mogli mieć dostęp np. do jednorazowych kodów do logowania do banków, haseł przesyłanych w wiadomościach SMS, lub wykorzystać numeru telefonu ofiary do rozsyłania spamu lub phishingu.
Źródła:
Przejmowanie telefonów kodem QR i rozbierane zdjęcia w zaszyfrowanym archiwum
Wrocław. Ktoś rozkleja plakaty z takim kodem QR… „zbiór informacji o obywatelach Ukrainy”. Link prowadzi do Proton Drive…
Miasto porozklejało QR-kody, dzięki którym można zgłaszać ściany pomaziane grafiti. Ktoś „zhackował” te kody…naklejając swoje wersje. Australia.
Nowe warianty ataków phishingowych w Polsce. Tym razem w akcji kody QR – można stracić zawartość konta
Ostrzeżenie dla klientów Santander Bank Polska. Próba oszustwa na kody QR
