16/02/2015

Kody QR: wygodne i … niebezpieczne

Porady

Te kwadratowe obrazki możesz zobaczyć już wszędzie: w reklamach, magazynach i na plakatach. Można powiedzieć, że są najprostszym i najtańszym sposobem na połączenie dwóch światów – realnego i wirtualnego. Zrób zdjęcie kodu QR swoim smartfonem, a specjalna aplikacja przekieruje Cię na odpowiednią stronę, zapisze kontakt telefoniczny lub pobierze aplikację. Ludzie zajmujący się marketingiem uwielbiają tę technologię za jej prostotę, jednak nie są oni w tej miłości osamotnieni – cyberprzestępcy również docenili to narzędzie, dlatego powinieneś zachować czujność za każdym razem, gdy chcesz z niego skorzystać.

qrcode-feat

Kody QR (ang. quick response – szybka reakcja) mogą zawierać wiele informacji tekstowych i/lub odnośniki do źródeł internetowych. Rozwiązanie to stało się niezwykle popularne już jakiś czas temu w Azji, a dzisiaj obserwujemy, jak zyskuje uznanie w Europie i obydwu Amerykach. Można je zobaczyć już wszędzie: na bilbordach, towarach wystawionych na sklepowych półkach, stronach internetowych, różnych biletach i kuponach … lista jest długa. Jednak równolegle wzrasta również rynek oszustw wykorzystujących technologię QR. Zdarzały się sytuacje, gdy oryginalne kody QR zostały starannie podmienione szkodliwymi. Ta praktyka ma wiele wspólnego z powszechnie już znanym phishingiem, dlatego została nazwana QRishingiem.

Nie trzeba zbytnio wytężać swojej wyobraźni, aby dostrzec, jak niebezpieczne mogą się okazać takie fałszywe kody QR – zwłaszcza że mogą one być umieszczane w miejscach publicznych: metro, lotnisko, dworzec kolejowy, bank, czy nawet bankomat. Większość ludzi ma nadal bezwzględne zaufanie do reklam i nie jest w stanie wyobrazić sobie, że w budynku popularnego banku może istnieć jakieś zagrożenie.

qrcode

Gdy użytkownik robi zdjęcie kodu QR, na ekranie urządzenia jest wyświetlany powiązany z nim odnośnik. Cyberprzestępca może jednak użyć serwisu skracającego linki (jak na przykład bit.ly), aby ukryć prawdziwy adres witryny. W ten sposób kod QR może zaprowadzić użytkownika np. na szkodliwą stronę kradnącą poufne dane logowania lub do serwisu phishingowego.

Sytuację dodatkowo komplikuje fakt, że mobilna przeglądarka nie zawsze jest w stanie wyświetlić pełny adres URL otwieranej strony. W przypadku próby weryfikacji, czy dana strona jest zaufana, stanowi to prawdziwą udrękę. Co gorsza, urządzenia mobilne często nie są tak dobrze chronione przed szkodliwym oprogramowaniem.

W celu zminimalizowania zagrożeń tego typu pamiętaj o trzech prostych założeniach:

  1. Bądź ostrożny. Zanim zeskanujesz kod QR, upewnij się, że nie jest zakryty przez inny kod. Jeżeli masz jakiekolwiek wątpliwości – zeskanuj go raz jeszcze.
  2. Po otworzeniu sklepu z aplikacjami lub strony internetowej w przeglądarce upewnij się, że kod QR przeniósł Cię do miejsca, w którym chciałeś się znaleźć. Jeśli masz zamiar zainstalować jakąś aplikację, upewnij się, że została ona opracowana przez firmę, której reklamę widziałeś lub o której czytałeś informacje. Sprawdź oceny i komentarze od jej użytkowników. Jeżeli jest ich niewiele lub nie ma żadnej, najlepiej wstrzymaj się z instalacją. Jeśli kod prowadzi do strony internetowej, sprawdź pełen adres URL, w przeciwnym razie możesz stać się ofiarą phishingu. Zachowaj szczególną ostrożność zwłaszcza wtedy, gdy planujesz wprowadzić swoje dane osobowe lub loginy i hasła (poczta e-mail, dane bankowe).
  3. Jeśli Twój smartfon umożliwia instalację aplikacji bezpieczeństwa, które sprawdzają strony pod kątem szkodliwych treści oraz weryfikują wiarygodność aplikacji – zainstaluj je bez wahania. Jest to szczególnie zalecane dla smartfonów z systemem Android, które obecnie są głównym celem ataków tysięcy wersji szkodliwych programów.

Pod koniec stycznia 2015 roku nasza firma udostępniła nowy i wygodny sposób na ochronę przed szkodliwymi linkami ukrytymi w kodach QR – aplikację Kaspersky QR Scanner. Jest ona przeznaczona zarówno dla urządzeń z systemem iOS, jak i tych z Androidem, w obu przypadkach oferuje skuteczny pakiet skanowania i wiele funkcji bezpieczeństwa.

Aplikacja działa jak wiele innych narzędzi do skanowania kodów QR, jednak ponadto wykorzystuje inteligentne dodatki: natychmiastową weryfikację odnośników umieszczonych w kodach, a także powiadomienia o ewentualnych zagrożeniach na stronie docelowej.