Niemal 60% wszystkich e-maili z kodami QR to spam
Cisco Talos ostrzega: niemal 60% wszystkich e-maili z kodami QR to spam. Rozwiązanie z jednej strony wygodne, z drugiej – niestety – potencjalnie niebezpieczne.
Kody QR, wprowadzone już w 1994 roku, szybko zyskały uznanie i stały się wręcz wszechobecne – znajdując zastosowanie w wielu branżach. W odróżnieniu od jednowymiarowych kodów kreskowych, które mogą przechowywać jedynie do 80 znaków alfanumerycznych, kody QR pozwalają na zapisanie tysięcy znaków, co uczyniło je niezwykle praktycznym rozwiązaniem. Choć mogą służyć do przedstawiania niemal dowolnych danych, najczęściej spotykamy je jako nośniki adresów URL.
Wraz z rosnącą popularnością QR kodów zaczęły pojawiać się również zagrożenia, wynikające z wykorzystania ich przez cyberprzestępców. Zespół Cisco Talos bada kody QR, poprzez wyodrębnianie ich z obrazów osadzonych w wiadomościach e-mail oraz załączonych plików PDF. Wyniki analiz pokazują, że aż 60% wszystkich e-maili zawierających kody QR to spam, a część z nich zawiera złośliwe linki, za pomocą których cyberprzestępcy próbują wykradać dane osobowe. To sprawia, że kody QR stanowią poważne wyzwanie zarówno dla użytkowników, jak i systemów ochrony przed zagrożeniami.
Kody QR występują w około 1 na 500 wiadomości e-mail na świecie. Jednak ich skuteczność w omijaniu filtrów antyspamowych sprawia, że znaczna część trafia do skrzynek odbiorczych użytkowników, przez co problem może wydawać się większy, niż jest w rzeczywistości. Niestety kody QR, w odróżnieniu od tradycyjnych adresów URL, są o wiele trudniejsze do wykrycia. Dlatego tak istotne jest, aby użytkownicy zawsze sprawdzali źródło kodu QR przed jego zeskanowaniem, chroniąc się w ten sposób przed potencjalnymi zagrożeniami.
Na szczęście, złośliwe kody QR występują w zdecydowanie mniejszym odsetku wiadomości. Na ogół są one używane w e-mailach z linkami do stron phishingowych. Jednym z najczęstszych zagrożeń związanych z tymi kodami są próby oszustw MFA (uwierzytelnianie wieloskładnikowe), które mają na celu wyłudzanie haseł użytkowników. Chociaż liczba takich wiadomości jest stosunkowo niewielka, ich skuteczność oraz trudność w wykryciu stanowią istotne wyzwanie dla użytkowników i narzędzi bezpieczeństwa. Warto zatem zachować czujność podczas korzystania z kodów QR, zwłaszcza przesyłanych w wiadomościach e-mail.
Jednym z problemów, z jakimi mierzą się specjaliści ds. bezpieczeństwa, jest brak możliwości monitorowania ruchu generowanego po zeskanowaniu kodów QR otrzymanych w wiadomościach e-mail, jeśli urządzenie użytkownika nie jest podłączone do firmowej sieci Wi-Fi. W takiej sytuacji cała komunikacja między użytkownikiem a atakującym odbywa się przez sieć komórkową, która zazwyczaj nie jest objęta monitoringiem korporacyjnych systemów bezpieczeństwa, a to znacząco utrudnia obronę.
Niestety kody QR, wyświetlane w formie obrazów, stanowią wyzwanie dla systemów antyspamowych, ponieważ ich identyfikacja wymaga kilku złożonych etapów. System musi najpierw rozpoznać obecność kodu QR w obrazie, następnie zdekodować jego zawartość, a na końcu przeanalizować uzyskane dane, takie jak linki czy inne informacje. Ta wieloetapowa procedura sprawia, że spamerzy chętnie wykorzystują kody QR, stale szukając nowych sposobów na obejście zaawansowanych filtrów antyspamowych. Jednym z nich jest tworzenie kodów QR z użyciem znaków Unicode, które umożliwiają osadzanie punktów danych w niestandardowych formatach, aby utrudnić ich analizę. Dodatkowo cyberprzestępcy coraz częściej wykorzystują tzw. „sztukę kodów QR” (QR Code Art), w której punkty danych kodu QR są sprytnie wkomponowane w artystyczny obraz, przez co kod QR jest niemal nierozpoznawalny. Użytkownicy mogą nieświadomie zeskanować taką grafikę i zostać przekierowani na złośliwą stronę.
Czy możemy się jakoś obronić? Jak nie dać się oszukać? Chociaż istnieją protokoły, które automatycznie neutralizują złośliwe adresy URL (proces znany jako „defanging”), wdrożenie podobnych rozwiązań dla kodów QR pozostaje wyzwaniem. Eksperci Cisco Talos wskazują dwie skuteczne metody ich unieszkodliwiania. Jednym z nich jest zaciemnienie modułów danych, czyli czarnych i białych kwadratów w obrębie kodu QR, które przechowują zakodowane dane. Jednak na podstawie badań Cisco Talos, znacznie łatwiejszym sposobem jest usunięcie jednego lub więcej wzorców wykrywania pozycji (tzw. finder patterns). Są to duże kwadratowe pola umieszczone w trzech z czterech rogów kodu QR, które służą skanerowi do określenia orientacji i położenia kodu. Usunięcie ich sprawia, że kod QR staje się nieskanowalny przez praktycznie wszystkie skanery, co uniemożliwia przekierowanie użytkowników na strony phishingowe lub inne niebezpieczne witryny.
Nie powinniśmy także omijać podstawowych zasad bezpieczeństwa – podawanie swojej nazwy użytkownika i hasła na nieznanej stronie zawsze wiąże się z pewnym ryzykiem. Oczywiście zawsze też lepszym rozwiązaniem jest ręczne wpisanie adresu witryny, do której chcemy się zalogować, zamiast korzystać z linków pochodzących od nieznanych osób.
