eWAY s.r.o.

(Ne)bezpečné QR kódy

QR kód

(Ne)bezpečné QR kódy

QR kód
Image by Freepik

QR kódy sú všade okolo nás. Ponúkajú rýchly spôsob, ako sa zúčastniť prieskumov, sťahovať užitočné veci a navštevovať webové stránky, ktoré vás zaujímajú, či zaplatiť za služby. Koniec koncov, nasmerovanie kamery telefónu na obrázok je oveľa jednoduchšie ako písanie dlhej adresy URL.

Ich samotné pohodlie však skrýva významnú nevýhodu. S bežnými URL odkazmi je možné spozorovať možný podvod voľným okom. Červené vlajky URL adries sú dobre známe: preklepy alebo znaky navyše v adrese stránky, skryté presmerovanie, zvláštne zóny domény a podobne. Ale pokiaľ ide o QR kódy, kam Vás vlastne môže zaviesť spleť čiernych štvorcov?

Na príklade uvedenom nižšie Vám ukážeme, ako môžu tieto neškodne vyzerajúce štvorce predstavovať hrozbu a ako sa ľahko dá stať obeťou podvodníkov. Príkladom je príbeh ženy, ktorá stratila až 20 000 USD naskenovaním QR kódu pri kúpe bubble tea.

Bubble tea za 20 000 dolárov

Mnohí ste sa už určite a stretli s propagačnými akciami kaviarní, keď boli návštevníci pozvaní na krátky online prieskum výmenou za bezplatný nápoj alebo zľavu na nákup. Takýto prieskum si často vyžaduje naskenovanie QR kódu na pulte – známa, takmer rutinná akcia. Čo by sa mohlo pokaziť?

To si musela myslieť aj 60-ročná Singapurčanka. Aby dostala pohár bubble tea zadarmo, ako sľuboval nápis, naskenovala nálepku s QR kódom na skle dverí kaviarne. Ako sa neskôr ukázalo, nálepku nalepili kyberzločinci a nie samotná kaviareň. Podvodný kód obsahoval odkaz na stiahnutie aplikácie pre Android tretej strany, aby sa mohla zúčastniť prieskumu. Aplikácia bola samozrejme škodlivá.

Po nainštalovaní si program vyžiadal prístup ku kamere a mikrofónu a aktiváciu služieb Android Accessibility. Ľudia často pri inštalácii nekontrolujú, aké povolenia aplikácii potvrdzujú. Táto vstavaná služba pre Android umožňuje zločincom zobraziť a ovládať obrazovku obete, ako aj deaktivovať rozpoznávanie tváre a odtlačkov prstov – týmto spôsobom môžu útočníci prinútiť obeť, aby v prípade potreby manuálne zadala heslo napríklad svojej bankovej aplikácie. Podvodníci museli len čakať, kým sa do nej prihlási, zachytiť prihlasovacie údaje a neskôr ich použiť na prevod všetkých peňazí na svoje účty.

Ako sa nestať obeťou

Mnohí ste sa už určite a stretli s propagačnými akciami kaviarní, keď boli návštevníci pozvaní na krátky online prieskum výmenou za bezplatný nápoj alebo zľavu na nákup. Takýto prieskum si často vyžaduje naskenovanie QR kódu na pulte – známa, takmer rutinná akcia. Čo by sa mohlo pokaziť?

To si musela myslieť aj 60-ročná Singapurčanka. Aby dostala pohár bubble tea zadarmo, ako sľuboval nápis, naskenovala nálepku s QR kódom na skle dverí kaviarne. Ako sa neskôr ukázalo, nálepku nalepili kyberzločinci a nie samotná kaviareň. Podvodný kód obsahoval odkaz na stiahnutie aplikácie pre Android tretej strany, aby sa mohla zúčastniť prieskumu. Aplikácia bola samozrejme škodlivá.

Keďže je nepraktické (a nie je to naozaj nutné) úplne sa vyhýbať skenovaniu QR kódov, odporúčame nasledovné:

  • Starostlivo skontrolujte adresy stránok, ktoré sú prepojené v rámci QR kódov, a hľadajte typické červené vlajky.
  • Uistite sa, že sa očakávaný a skutočný obsah zhodujú. Ak mal kód napríklad viesť k prieskumu, logicky by tam mal byť nejaký formulár s možnosťami odpovede. Ak nie a vyžaduje od vás niečo iné, okamžite stránku zatvorte.
    Ale aj keď stránka nevzbudzuje žiadne podozrenie, mali by ste byť stále opatrní – môže ísť o vysokokvalitný falzifikát.
  • Nesťahujte aplikácie prostredníctvom QR kódov. Aplikácie možno spravidla vždy nájsť v službe Google Play, App Store alebo na akejkoľvek inej oficiálnej platforme. Aplikácie zo zdrojov tretích strán by sa v žiadnom prípade nemali inštalovať.
  • Chráňte svoje zariadenia spoľahlivým bezpečnostným riešením. Vstavaný QR skener vám umožní skontrolovať odkaz pochovaný v bludisku štvorcov. Takéto riešenia tiež blokujú pokusy o návštevu škodlivých stránok a chránia Vás pred množstvom iných hrozieb v kybernetickom priestore.