Kody QR: ułatwienie czy ryzyko?

Wyjaśniamy, jak uniknąć wpadki podczas użycia kodu QR.

Kody QR można znaleźć na wszystkim: na kubeczkach z jogurtem, wystawie w muzeum, rachunku za media czy na losie w loterii. Używamy ich do otwierania stron internetowych, pobierania aplikacji, zbierania punktów w programie lojalnościowym, dokonywania płatności i przelewania pieniędzy, a nawet do wspierania akcji charytatywnych. Ta łatwo dostępna i praktyczna technologia jest wygodna, także dla cyberprzestępców, którzy już stosują wiele różnych schematów oszustw wykorzystujących kody QR. Poniżej opisujemy zagrożenia związane z tymi wszechobecnymi czarno-białymi kwadratami, a także podpowiadamy, jak bezpiecznie z nich korzystać.

Czym są kody QR i w jaki sposób są używane

Dziś prawie każdy posiada smartfon. Wiele nowszych modeli ma już wbudowany skaner QR, ale w rzeczywistości na każde takie urządzenie można pobrać aplikację, która czyta wszystkie kody QR, lub wybrać taką, która ma zawężone działanie i jest przeznaczona wyłącznie do użytku na przykład w jakimś muzeum.

Aby zeskanować kod QR, należy otworzyć aplikację skanera i skierować aparat telefonu na kod. W większości przypadków smartfon zapyta, czy użytkownik chce otworzyć określoną stronę internetową lub pobrać aplikację. Może się jednak wydarzyć coś zupełnie innego.

Skanery wyspecjalizowane wykorzystują określony zestaw kodów QR. Taki kod można znaleźć na przykład na historycznie ważnym drzewie w parku — wówczas zeskanowanie kodu za pomocą oficjalnej aplikacji parku może rozpocząć wycieczkę z wirtualnym przewodnikiem. W przypadku standardowego skanera zostanie otwarty opis na stronie internetowej parku.

Ponadto niektóre aplikacje mogą tworzyć kody QR, umożliwiając przekazanie konkretnych informacji każdej osobie, która je zeskanuje. W ten sposób możesz udostępnić komuś na przykład nazwę i hasło swojej gościnnej sieci Wi-Fi lub dane konta bankowego.

Do czego cyberprzestępcy używają kodów QR

Kody QR są tylko bardziej zaawansowaną wersją kodów kreskowych, więc w czym może tkwić zagrożenie? Jak się okazuje, przykładów nadużycia tej technologii jest wiele. Ludzie nie potrafią samodzielnie odczytywać kodów QR ani w inny sposób sprawdzać, co się stanie po zeskanowaniu takiej czarno-białej grafiki. W tej materii jesteśmy więc zmuszeni polegać na uczciwości twórców tych kodów. Nie wiemy również, co dokładnie zawiera kod QR — nawet wtedy, gdy tworzymy własny. Taki system jest bardzo podatny na wykorzystanie.

Fałszywe łącza

Kod QR, który został stworzony przez cyberprzestępców, może prowadzić do strony wyłudzającej informacje przypominającej wyglądem stronę logowania do sieci społecznościowej lub banku. Dlatego zawsze należy sprawdzać łącza przed kliknięciem ich; niestety w przypadku kodu QR jest to niemożliwe. Co więcej, atakujący często używają skróconych linków, co utrudnia rozpoznanie wśród nich fałszywych.

W ten sposób użytkownicy mogą na przykład pobrać zamiast wybranej gry lub narzędzia szkodliwe oprogramowanie, które może mieć różne funkcje: kradzież haseł, wysyłanie złośliwych wiadomości do osób znajdujących się na liście kontaktów itd.

Polecenia zakodowane w kodach QR

Oprócz otwierania konkretnej strony internetowej kod QR może także mieć inne zadanie, np. zawierać polecenie wykonania określonej czynności. Możliwości jest wiele:

  • dodawanie kontaktu,
  • nawiązywanie połączenia,
  • przygotowanie wiadomości e-mail, wpisanie jej odbiorców i tematu,
  • wysłanie wiadomości tekstowej,
  • udostępnienie swojej lokalizacji aplikacji,
  • utworzenie konta w mediach społecznościowych,
  • zaplanowanie wydarzenia w kalendarzu,
  • dodanie preferowanej sieci Wi-Fi oraz danych logowania w celu automatycznego łączenia się z nią.

Wszystkie te zadania mogą zostać zautomatyzowane. Poprzez zeskanowanie kodu QR możesz Na przykład dodać dane kontaktowe z wizytówki, zapłacić za parking lub udzielić dostępu do gościnnej sieci Wi-Fi.

Tak wiele możliwości sprawia, że kody QR są podatne na manipulację. Oszuści mogą m.in. dodać swoje dane kontaktowe do Twojej książki adresowej pod nazwą „Bank”, aby uwiarygodnić próbę oszustwa, zadzwonić na płatny numer na Twój koszt lub dowiedzieć się, gdzie jesteś.

Jak cyberprzestępcy maskują kody QR

Aby ktoś mógł zaszkodzić Ci za pomocą kodu QR, najpierw musi przekonać Cię do zeskanowania go. W tym celu używanych jest wiele sposobów.

Szkodliwe źródła. Cyberprzestępcy mogą umieścić kod QR z linkiem prowadzących do ich zasobów na stronie internetowej, na banerze, w wiadomości e-mail, a nawet w reklamie papierowej. Zazwyczaj chodzi o to, aby ofiara pobrała złośliwą aplikację. W wielu przypadkach w celu zwiększenia wiarygodności obok kodu umieszczane jest logo sklepów Google Play i App Store.

Podmiana. Czasami atakujący wykorzystują działalność i reputację legalnych podmiotów, zastępując prawdziwy kod QR na plakacie lub znaku — fałszywym.

Jednak taką podmianę kodu QR stosują nie tylko cyberprzestępcy; kiedyś pozbawieni skrupułów działacze społeczni rozpowszechniali w ten sposób swoje pomysły. Na przykład w Australii pewien mężczyzna został niedawno aresztowany za rzekome zmienianie kodów QR w centrach związanych z chorobą COVID-19, tak aby kierowały one osoby odwiedzające na stronę internetową o tematyce antyszczepionkowej.

Możliwości są praktycznie nieograniczone. Kody QR często są umieszczane na rachunkach za media, broszurach, przedmiotach biurowych i prawie wszędzie indziej, gdzie można znaleźć informacje lub instrukcje.

Jak uniknąć kłopotów podczas korzystania z kodów QR

Ze względów bezpieczeństwa podczas korzystania z kodów QR należy przestrzegać kilku prostych zasad:

  • Nie skanuj kodów QR ze źródeł, które są w oczywisty sposób podejrzane.
  • Zwracaj uwagę na linki wyświetlane podczas skanowania kodu. Jeśli adres URL został skrócony, zachowaj czujność, ponieważ w przypadku kodów QR nie ma takiej potrzeby. W zamian skorzystaj z wyszukiwarki lub oficjalnego sklepu, aby znaleźć to, czego szukasz.
  • Przed zeskanowaniem kodu QR na plakacie lub znaku upewnij się, że nie został on przyklejony na oryginalny.
  • Korzystaj z programu, który sprawdza kody QR pod kątem szkodliwej zawartości. Świetnie sprawdzi się tu np. Kaspersky QR Scanner (dostępny dla systemów Android i iOS).

Kody QR mogą również zawierać cenne informacje, takie jak numery biletów elektronicznych, więc nigdy nie należy publikować w mediach społecznościowych dokumentów, które je przedstawiają.

Porady