Uważajcie na quishing – skanowany kod nie musi być tym, co sugeruje nalepka
Z pewnością wielokrotnie skanowaliście kody QR, by np. sprawdzić menu restauracji, warunki usługi, czy choćby zatwierdzić elektroniczny bilet komunikacji miejskiej. Cyberprzestępcy „doceniają” popularność kodów QR.
Kody QR stały się w zasadzie częścią naszej cyfrowej rzeczywistości. Nie ulega wątpliwości, że stanowią one wygodny, znacznie wygodniejszy od niejednokrotnie bardzo długich i niezrozumiałych odsyłaczy tekstowych, sposób na dotarcie do potrzebnej informacji. Niestety, niektóre QR kody nie są tym, czym możemy pomyśleć, że powinny być. Amerykańska Federalna Komisja Handlu (FTC) ostrzega, że oszuści ukrywają szkodliwe linki w kodach QR i wykorzystują je w atakach phishingowych, co jest taktyką znaną jako quishing. Oczywiście fakt, że o sprawie informuje FTC wcale nie oznacza, że problem dotyczy wyłącznie rynku amerykańskiego. To problem globalny.
Kody QR, zwane także kodami szybkiej odpowiedzi, zostały wynalezione przez Masahiro Harę, pracownika japońskiej firmy motoryzacyjnej Denso Waves, w 1994 roku. Firma stanęła przed wyzwaniami związanymi z tradycyjnymi kodami kreskowymi, wymagającymi maksymalnie 10 znaków na jednym produkcie. Takie podejście doprowadziło do opóźnień w produkcji, ponieważ skanery miały trudności z odczytaniem ich z jednego kierunku. Masahiro Hara znalazł inspirację dla kodów QR podczas gry w Go. Uświadomił sobie, że podobny system oparty na siatce, jak plansza do gry Go, może przechowywać więcej informacji w jednym kodzie i być odczytywany z wielu kierunków, kątów i odległości. Popularność kodów QR znacząco wzrosła wraz z rozpoczęciem się pandemii w 2020 roku, kiedy wszyscy unikali kontaktu fizycznego.
Gdzie możesz napotkać złośliwy kod QR? Tak naprawdę wszędzie, ale często pojawiają się one w następujących miejscach:
- E-maile i wiadomości: cyberprzestępcy często wysyłają kody QR za pośrednictwem e-maili lub wiadomości, udając, że pochodzą z legalnych źródeł, takich jak znane firmy lub marki.
- Fałszywe promocje: wiele zwodniczych kodów QR prowadzi do przekonania, że otrzymasz zniżkę lub ofertę specjalną.
- Przestrzeń fizyczna: fałszywe kody QR strategicznie umieszczone w przestrzeni publicznej, na plakatach, na przystankach, a nawet na opakowaniach produktów.
W jaki sposób możemy chronić się przed quishingiem? Na początek wystarczy uważnie sprawdzać jaki link jest ukryty pod danym QR kodem. Np. gdy wykonujecie zdjęcie takiego kodu iPhonem (standardową aplikacją Apple), to urządzenie rozpoznaje kod i wyświetla link, zanim jeszcze go użyjemy. To pozwala stwierdzić czy np. dany kod prowadzi faktycznie do domeny usługi/firmy, której dotyczy, czy też na jakiś „dziwny” adres.
Ponadto eksperci z firmy Marken Systemy Antywirusowe zalecają również, by nie skanować żadnych kodów QR przesłanych w wiadomościach e-mail, czy MMS-ach, których się nie spodziewaliśmy. Ale to nie jedyna rada.
„Jeśli chcesz sprawdzić, czy dany kod QR jest niebezpieczny to, użyj Bitdefender Scamio, czyli bezpłatnego narzędzia antyphishingowego. Możesz z nim rozmawiać na Messengerze lub w przeglądarce. Jeśli napotkasz podejrzany kod QR, to przeskanuj go za pomocą Scamio i poczekaj, aż narzędzie go przeanalizuje i wskaże czy dany kod QR jest złośliwy, czy nie” – mówi Arkadiusz Kraszewski z firmy Marken Systemy Antywirusowe, polskiego dystrybutora oprogramowania Bitdefender.
