Kody QR - szybka odpowiedź, szybkie ryzyko

03-03-2012, 12:06

Kody QR mają za zadanie pomóc użytkownikom w szybki i prosty sposób otrzymać informacje na temat produktów i usług. Zaczęto je już jednak wykorzystywać do przeprowadzania ataków opartych na inżynierii społecznej.

Problem z kodami QR polega na tym, że wymagają one od użytkownika zaufania do dostawcy kodu oraz założenia, że docelowy element wskazywany przez kod jest bezpieczny. Dla przeciętnego użytkownika jest to praktycznie niemożliwe do ocenienia, gdyż kody QR tak naprawdę ukrywają stronę internetową i zawartość, do której prowadzą. Inżynieria społeczna ewoluowała od robaków rozsyłanych kiedyś w załącznikach do e-maili, jednak idea pozostała ta sama - chodzi o wykorzystanie ludzkiej ciekawości zobaczenia tego, co się stanie po kliknięciu na załącznik lub zeskanowaniu kodu.

Co więcej, aplikacje skanujące kody QR działające na smartfonach mogą dawać bezpośredni dostęp do innych funkcji telefonu, takich jak e-mail, SMS, usługi lokalizacyjne czy instalowanie programów, co jeszcze bardziej zwiększa potencjalne ryzyko ataku na urządzenie mobilne.

Czytaj także: Biznes ukryty w kodach QR - zeskanuj swoją firmę

Pierwszym krokiem do przeprowadzenia ataku z wykorzystaniem kodu QR jest rozprzestrzenienie kodu, tak aby znalazł się on bezpośrednio przed potencjalną ofiarą. Można tego dokonać, dołączając kod QR do wiadomości e-mail (realizując to jako wyrachowany atak phishingowy) lub poprzez rozpowszechnienie wiarygodnie wyglądających dokumentów z nadrukowanymi kodami QR, np. ulotek na prezentacjach handlowych lub nawet naklejek przyklejonych do prawdziwych ogłoszeń na billboardach.

Najprostszy atak polega na zwykłym przekierowaniu użytkownika na fałszywą stronę internetową w celu wyłudzenia poufnych danych - może to być np. podrobiona witryna e-sklepu lub systemu płatności online. Bardziej złożone ataki wykorzystują kody QR do przekierowania użytkownika na stronę, która dokona włamania na jego urządzenie przenośne. Jest to zasadniczo atak typu drive-by download, umożliwiający zainstalowanie bez wiedzy i zgody posiadacza smartfona dodatkowego oprogramowania, np. typu keylogger (rejestrującego zapis z klawiatury) lub śledzącego położenie urządzenia z wykorzystaniem GPS.

Największe potencjalne zagrożenie dla użytkowników wiąże się z rosnącą popularnością bankowości i płatności dokonywanych z użyciem smartfonów. Możliwość włamania się na urządzenie mobilne przy użyciu kodów QR (i manipulowania aplikacjami) daje przestępcom szansę na wirtualną kradzież kieszonkową portfeli.

Czytaj także: QRpedia, czyli wygodny dostęp do Wikipedii ze smartfona (wideo)

W jaki sposób przedsiębiorstwa i indywidualni użytkownicy mogą zapobiec zagrożeniom płynącym z kodów QR? Najważniejszym środkiem ostrożności jest ustalenie, do jakiej strony lub zasobu przekieruje nas kod po zeskanowaniu. Niektóre (niestety nie wszystkie) aplikacje do skanowania kodów QR umożliwiają sprawdzenie elementu docelowego i - co istotne - proszą użytkownika o potwierdzenie chęci wykonania akcji. Daje to możliwość sprawdzenia przez użytkownika poprawności docelowego odnośnika zanim kod zostanie aktywowany.

Jeżeli chodzi o firmowe smartfony, to warto rozważyć zastosowanie szyfrowania danych. Nawet gdy złośliwy kod QR zdoła zainstalować na urządzeniu szkodliwą aplikację, wrażliwe dane pozostaną chronione, a przestępca nie będzie miał do nich natychmiastowego dostępu i możliwości ich wykorzystania.


Źródło: Check Point
  
znajdź w serwisie



RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy