W obecnym świecie, w którym mobilność i wygoda są kluczowymi aspektami, kody QR (z ang. Quick Response) stały się nieodłącznym elementem naszej codzienności. Z ich pomocą możemy szybko uzyskać dostęp do różnych treści – od stron internetowych po przelewy bankowe – i to bez konieczności wpisywania długich adresów URL, czy też innych danych. Jak to jednak w przypadku technologii bywa, stosowanie kodów QR prócz oczywistych korzyści, niesie ze sobą także pewne zagrożenia, zwłaszcza w kontekście cyberbezpieczeństwa. Warto je znać, aby móc się przed nimi uchronić.
Kody QR są wykorzystywane w marketingu, logistyce, edukacji, bankowości, a nawet w służbie zdrowia. Nie bez znaczenia jest ich powszechność i prostota użycia. Wykorzystanie kodów znacząco spotęgowała pandemia COVID-19 i powszechne zalecenie unikania kontaktu fizycznego z potencjalnie zainfekowanymi przedmiotami. Możliwość pozyskania informacji bez bezpośredniego kontaktu, okazała się strzałem w dziesiątkę, szczególnie w sytuacji, gdy mamy możliwość w ten sposób skasować bilet komunikacji miejskiej, zrealizować płatność, a nawet sprawdzić menu w restauracji.
Wiesz jak zrobić QR kod? Oni wiedzą jak go „przerobić” i zarobić na tym
Proces stworzenia własnego kodu QR jest bardzo prosty: wystarczy skorzystać z dostępnych w Internecie generatorów, które umożliwiają ulokowanie logotypu firmy w etykiecie. Niestety otwiera to także szeroko furtkę cyberprzestępcom. Quishing (phishing opierający się na wykorzystaniu kodów QR) to rodzaj oszustwa, w którym wykorzystywany jest spreparowany kod: jego zeskanowanie, prowadzi np. do fałszywej witryny wskazanej przez przestępców. Warto wziąć to pod uwagę i nie skanować kodów QR z nieznanych źródeł. Taki kod pomimo obecności logo znanej firmy, może prowadzić do zupełnie innego miejsca niż się spodziewasz i zamiast otwarcia oczekiwanej strony internetowej, może zainstalować na twoim urządzeniu złośliwe oprogramowanie, zdalnie zrealizować szkodliwą kwerendę, a nawet pozwolić na przejęcie zdalnej kontroli nad Twoim urządzeniem. Bardzo groźnym może być przejęcie w ten sposób drugiego składnika uwierzytelniania poprzez możliwość wysyłania i odbierania wiadomości.
Jak przebiega atak Quishingowy?
Oto kilka potencjalnych scenariuszy:
- Miejski parkometr / biletomat / automat z przekąskami. Przestępca zakleja właściwy kod QR swoim własnym, który przekierowuje zrealizowaną płatność na konto przestępcy.
- Bilety na wydarzenia odkupione w sieci lub od tzw. koników, mogą zawierać fałszywy kod QR na podstawie którego użytkownik miałby się dostać na teren wydarzenia. Na podstawie sfałszowanego biletu, ochrona obiektu odmówi takiej osobie wstępu na teren eventu, co dla użytkownika będzie wiązać się ze stratą finansową, a co jeszcze boleśniejsze z wielkim rozczarowaniem.
- Fałszywy mail podszywający się pod zaufanego dostawcę usług. Znanym przykładem jest powoływanie się na uwierzytelnianie wieloskładnikowe usługi Microsoft Office 365, wymagające odnowienia. Kod przekierowuje użytkownika do spreparowanej strony, na której należy wpisać swój login i hasło. Przeprowadzony w taki sposób atak, omija sprytnie zabezpieczenia komputera i zmienia wektor na urządzenie mobilne, które z reguły posiada słabsze zabezpieczania od komputera.
QR kody – korzyści kontra zagrożenia
Kody QR to potężne narzędzie, które znacząco ułatwia dostęp do różnych treści i informacji. Wraz z rosnącą dostępnością i popularyzacją skanowania, wzrasta także ryzyko związane z bezpieczeństwem danych i prywatnością użytkowników. Dlatego tak ważna jest świadomość potencjalnych zagrożeń, zarówno ze strony użytkowników, jak i twórców, którzy powinni zachowywać odpowiednie środki ostrożności. Edukacja, zdrowy rozsądek, stosowanie się do najlepszych praktyk bezpieczeństwa oraz regularne aktualizacje bezpieczeństwa, to kluczowe elementy w zapewnieniu bezpiecznego korzystania z dobrodziejstw cyfrowego świata.
Choć ryzyk płynących z używania kodów QR nie należy lekceważyć, to wciąż stanowią one cenne narzędzie komunikacji, o ile są odpowiednio zaplanowane i wdrożone. W przeciwieństwie do tradycyjnych materiałów drukowanych, treści umieszczone pod kodem QR można łatwo i szybko aktualizować. Jest to szczególnie ważne w świecie, w którym dążymy do zrównoważonego rozwoju, ograniczenia emisji CO₂ i wycinki lasów.
Zastosowanie kodów QR
Dla marketingu niebagatelną zaletą jest możliwość śledzenia efektywności kampanii reklamowej, czyli np. wykorzystanie możliwości śledzenia liczby osób, które zeskanowały kod na danym nośniku. Pozwala to na prostszą interakcję z marką, np. za pomocą łatwych do pobrania quizów, ankiet czy konkursów, a także lepsze zrozumienie zachowań klientów i doskonalenie działań marketingowych.
Narzędzie to świetnie sprawdza się też w edukacji, umożliwiając dostarczenie dodatkowych materiałów, które wspierają proces uczenia się. Muzea mogą dzięki temu ułatwić zwiedzającym dostęp do informacji na temat wystawy w różnych językach, wzmacniając przekaz np. materiałami wideo przedstawiającymi realne zastosowanie antycznego narzędzia, proces wykopywania i restauracji, czy przedstawiając przebieg jakiegoś doświadczenia. Takie zastosowanie może zwiększyć efektywność nauczania, a samo muzeum może w bardziej wydajny sposób zbierać informacje od gości, w jaki sposób może ulepszać swoją wystawę, aby jeszcze skuteczniej trafiać do nowych pokoleń
Działania z kodami QR nie mają niestety powszechnie przyjętych i stosowanych standardów bezpieczeństwa, co w połączeniu z niedocenianą, aczkolwiek bardzo skuteczną inżynierią społeczną oraz niską świadomością ludzi w kwestiach bezpieczeństwa informatycznego, otwiera cyberprzestępcom szeroki wachlarz możliwości ataku. Czy należy się z tego powodu obawiać skanowania i pod żadnym pozorem tego nie robić? Absolutnie nie!
Świadomość zagrożeń to pierwszy krok do poprawy bezpieczeństwa
Będąc użytkownikiem technologii QR kodów, należy pamiętać o zasadzie ograniczonego zaufania i sprawdzać adresy URL przed ich otwarciem w przeglądarce. Organizacje i firmy stosujące kody QR – zwłaszcza jeśli zamieszczają je w przestrzeni publicznej – powinny natomiast pamiętać o ograniczeniu łatwego dostępu do nich osobom nieupoważnionym oraz cyklicznie weryfikować prawidłowe ich zastosowanie i ustawione w nich przekierowania.
***
