Kody QR – wielki wynalazek, czy zagrożenie? Według eksperta lepiej ich nie używać
Kody QR opracowało japońskie przedsiębiorstwo produkujące części do samochodów. Aktualnie możemy je znaleźć praktycznie wszędzie. W prosty sposób umożliwiają odesłanie właściciela smartfona do... no właśnie, do czego?
09.10.2020 16:37
Stworzenie własnego kodu QR to kwestia kilku chwil. Jego rozprzestrzenienie również nie należy do najtrudniejszych zadań. Można je wydrukować samemu i przykleić w dowolnym widocznym miejscu – w autobusie, na słupie informacyjnym, na ławce i tak dalej. Można też zlecić wykonanie tzw. "wlepek" prywatnej drukarni i niskim kosztem zebrać kilka tysięcy naklejek przedstawiających kod QR.
Kody QR przeżywają swój moment. Aktualnie wielu użytkowników smartfonów już kojarzy, do czego mają służyć. Nie wiedzą natomiast, do czego mogą służyć. Na sprawę zwraca uwagę Brian Foster, wiceprezes ds. Zarządzania produktami w MobileIron. Jego firma przeprowadziła ankietę wśród 2100 klientów restauracji. Aż jedna trzecia z nich zeskanowała co najmniej raz kod QR w restauracji. sklepie czy barze.
Prawie trzy czwarte z nich nie jest w stanie stwierdzić, czy dany kod QR może stanowić zagrożenie. 51 proc. z ankietowanych nie ma, lub nie wie, czy ich smartfon posiada jakiekolwiek zabezpieczenia. W żadnym z przypadków, klienci sklepów czy restauracji nie mają pewności, do czego ma posłużyć kod QR. Wykazują się zbyt dużą naiwnością i zaufaniem.
Takie zaufanie i bezmyślne działanie jest kopalnią złota dla cyberprzestępców. Hakowanie samego kodu QR stanowiłoby poważne wyzwanie nawet dla eksperta - twierdzi Foster. Zauważa też, że istnieje inny, dużo łatwiejszy sposób wykorzystania ich do ataku. Kod QR można wygenerować za darmo i nakleić jeden na drugi. Jego odbiorca niekoniecznie musi zdawać sobie sprawę z zagrożenia.
Do jakich zagrożeń może prowadzić korzystanie z kodów QR? Foster wymienia:
- Dodawanie nowej listy kontaktów w celu przeprowadzenia ataku typu spear phishing
- Inicjowanie połączenia telefonicznego – na przykład na płatny numer, lub udostępnianie w ten sposób numeru ofiary
- Wysłanie wiadomości SMS
- Wysłanie wiadomości e-mail
- Dokonanie płatności za pomocą złośliwego kodu QR
- Ujawnienie lokalizacji użytkownika
- Obserwowanie kont w mediach społecznościowych
- Dodanie niebezpiecznej sieci Wi-Fi do urządzenia