QR kódy: nová hrozba, na kterou si dejte pozor

Obliba QR kódů stoupá. Rychle nás přesměrují na webové stránky nebo umožní provést okamžitou platbu. Jenže i tady útočníci našli na svou příležitost. Často totiž slouží ke krádežím citlivých informací, phishingovým útokům a také šíření malwaru.

Podle magazínu The WIRED jsou podvodné QR kódy na vzestupu. Bezpečnostní analytici pro některé útoky s nimi spojené už používají název quishing. Ten je spojením slov „QR kód“ a „phishing“ a označuje situaci, kdy hackeři pomocí falešných kódů a podvodných e-mailů získávají od lidí soukromé informace a osobní údaje.

Americká Federální obchodní komise zase varovala před falešnými QR kódy umístěnými na nenápadných veřejných místech (například na parkovacím automatu), které návštěvníky parkoviště navádějí k tomu, aby zaplatili pomocí aplikace. Tím je přimějí zadat platební údaje namísto parkovacího automatu na účet hackera.

Co jsou to QR kódy?

QR kódy (zkratka quick response) přitom samy o sobě nebezpečné nejsou. Představují další prostředek k ukládání dat a využívají se hlavně kvůli rychlému skenování pomocí fotoaparátu v chytrém telefonu. Funkce skenování QR kódů je integrovaná v mnoha aplikacích fotoaparátů pro operační systémy Android a iOS. Když naskenujete QR kód, čtečka ve fotoaparátu vašeho telefonu ho dešifruje a výsledná informace spustí akci v telefonu. Pokud kód obsahuje adresu URL, telefon vás na ni rovnou přesměruje. QR kódy ale můžou uchovávat i jakákoliv další data jako samostatné texty nebo obrázky.

QR kódy se skládají z čtvercové sítě bodů, která může mít 21 × 21 až 177 × 177 bodů. Černé tečky a bílé mezery reprezentují binární data. Polohové značky v rozích a klidová zóna okolo kódu pomáhají zařízením s kamerou orientovat se při skenování. QR kódy mohou obsahovat volitelné logo a podporovat rozšířené protokoly s metadaty, jako jsou časová razítka nebo geolokace.

Kde se nejčastěji používají QR kódy?

QR kódy se staly běžnou součástí našeho života, mají široké využití:

1. Platby: QR kódy umožňují rychlé a bezpečné provedení plateb skenováním kódu přes mobilní aplikaci. A to ať už mezi přáteli, nebo na fakturách firem.

2. Sdílení kontaktů: Lidé mohou rychle sdílet své kontaktní informace skenováním QR kódu, který obsahuje vCard informace.

3. Wi-Fi připojení: Hosté podniku nebo události se mohou snadno připojit k Wi-Fi síti naskenováním QR kódu, který obsahuje síťové přihlašovací údaje.

4. Vstupenky: QR kódy na vstupenkách umožňují rychlé ověření a přístup na koncerty, veletrhy, do kina a na další akce.

5. Informace o produktech: Na obalech produktů mohou být QR kódy, které po naskenování poskytují dodatečné informace, jako jsou instrukce k použití, původ produktu nebo nutriční hodnoty.

Jaká jsou rizika při používání QR kódů?

Ze zdokumentovaných případů zatím vyplývá, že nejčastěji dochází k nahrazování nebo falšování QR kódů. Jedním z typických příkladů mohou být parkovací automaty. Uživatelé škodlivý kód v domnění, že plní svou bezpečnou funkci, snadno naskenují. Způsobů, jak útočníci zneužívají QR kódy, je ale mnohem víc.

• Quishing: specifická forma phishingu, která využívá QR kódy jako lákadlo k odkázání nic netušících uživatelů na podvodné webové stránky.
• Cloning: útočník vytvoří autenticky vypadající kopii legitimního QR kódu a originální kód přelepí nebo distribuuje online.
• Reklama: umísťování škodlivých QR kódů na veřejná místa v naději, že je kolemjdoucí lidé naskenují.
• Cílený quishing (spear quishing): umožňuje útočníkům proniknout do firemních sítí, krást data, nasazovat ransomware a pomocí podvržených QR kódů odcizovat finanční informace nebo údaje z platebních karet, často zacílením na finanční oddělení pro převody peněz.
• Skenovací aplikace: využívání podvržených skenovacích aplikací, které šíří malware nebo získávají přístup k některým nastavením soukromí v mobilním zařízení (například k prohlížení síťových připojení).
• QRLjacking: útočníci oklamají nic netušícího uživatele, který naskenováním škodlivého QR kódu předá zločincům přístup ke svému účtu.

Jak eliminovat rizika spojená s QR kódy?

Pokud se chcete vyvarovat nepříjemných následků falešných QR kódů, měli byste se řídit několika doporučeními:

• Buďte obezřetní při skenování QR kódů a překontrolujte URL adresu webu, na který vedou.
• Zkontrolujte fyzickou podobu QR kódu (aby nebyl původní kód přelepený).
• Neskenujte QR kódy, pokud si nejste jisti jejich původem.
• Udržujte všechna zařízení aktualizovaná a zakažte automatické skenování QR kódů v zařízeních.
• Zkontrolujte výchozí nastavení skenovacích aplikací a oprávnění týkající se sdílení citlivých informací.
• Používejte na svých zařízeních bezpečnostní software s filtrováním obsahu, který kontroluje odkazy a přílohy a blokuje přístup k podezřelým položkám.

Zároveň existuje několik opatření, která je možné udělat na firemní úrovni:

• Zařaďte téma QR kódů do školení o kyberbezpečnosti.
• Udržujte ve firmě přísné kontroly přístupu, abyste omezili škody způsobené podvodníky, pokud získají přihlašovací údaje.
• Využívejte systémy dvoufaktorového ověřování, které přidají další vrstvu ochrany pro případ, že by došlo ke kompromitaci hesel nebo přihlašovacích údajů zaměstnanců.
• Omezte používání QR kódů v elektronické obchodní komunikaci, abyste kyberzločince odradili od jejich využívání k cílení na vaše zákazníky.

Podniky, které chtějí QR kódy používat, mohou také přijmout opatření na ochranu svých zákazníků. Mezi techniky, které stojí za zvážení, patří třeba využití renomovaného generátoru QR kódů a testování QR kódu před jeho distribucí. Nebo přizpůsobení QR kódu tak, aby v metadatech obsahoval značku společnosti a odkazované webové stránky byly silně šifrované a měly viditelné označení ochrany SSL.

Co si z článku odnést?

• Kvůli narůstajícímu využívání se na QR kódy stále více zaměřují i kyberzločinci.
• Na veřejných místech nebo v podvodných e-mailech se pak můžou objevit falešné QR kódy, které lákají uživatele do pasti – ať už s cílem ukrást přihlašovací údaje, nebo donutit oběť k falešné platbě.
• Některé podvodné QR kódy podvodníci využívají také k šíření malwaru, což může narušit chod organizace a vést ke ztrátě reputace.
• Firmy by proto měly dbát zvýšené opatrnosti a naučit zaměstnance neskenovat QR kódy, jejichž původem si nejsou jistí.
• Pro obchodní účely se vyplatí dát přednost renomovaným generátorům QR kódů a začlenit do kódu metadata, která potvrzují identitu společnosti.

Petra Javornická
Marketingový specialista pro B2B