Plakaty reklamowe, stoły w restauracjach czy autobusy komunikacji miejskiej – w tych miejscach coraz częściej napotkamy kody QR. Chociaż technologia ta liczy już niemal 26 lat, to sporo jej zalet dostrzegliśmy dopiero w trakcie pandemii. Dzięki kodom właściciele smartfonów mogą nie tylko szybko pozyskać niezbędne informacje, ale również realizować płatności online w szybki i bezpieczny dla zdrowia sposób. Niestety wzrost popularności kodów QR to kolejna furtka, która może zostać wykorzystana przez cyberprzestępców.
Nieprzemyślane skanowanie kodów QR nieznajomego pochodzenia jest niczym klikanie w załącznik z wiadomości email. Może wiązać się z ryzykiem przeniesienia nieświadomego użytkownika na stronę zawierającą złośliwe oprogramowanie.
Kod QR na słupie ogłoszeniowym? Zastanów się zanim go zeskanujesz!
W ostatnim czasie amerykańska organizacja Surveillance Technology Oversight Project przeprowadziła eksperyment w Nowym Jorku. Umieszczono w mieście ulotki reklamujące wydarzenie kulturalne zawierające kod QR.
W rzeczywistości kod przekierowywał na stronę ostrzegającą przed zagrożeniem związanym ze skanowaniem kodów pochodzących z nieznanego źródła. Jak się okazało, ulotka przyciągnęła wielu zainteresowanych, którzy bez namysłu postanowili sprawdzić zawartość kodu.
Organizacja stojąca za eksperymentem w bardzo krótkim czasie odnotowała setki wejść na stronę, do której przenosił kod QR przygotowany na potrzeby badań. Eksperyment dowiódł łatwości z jaką można umieścić fałszywe kody QR w przestrzeni publicznej – na ulotkach informacyjnych czy bankomatach.
Niepokojący jest fakt, że wiele osób bez namysłu postanowiło sprawdzić, co kryje się za kodem.
Jak się bronić?
Chociaż kody QR zostały stworzone, aby usprawnić proces pozyskiwania informacji, to w dalszym ciągu są to najzwyczajniejsze przekierowania do stron internetowych, które można wyszukać za pomocą zwykłej wyszukiwarki. Nieco dłuższa forma dotarcia do informacji może okazać się bezpieczniejszą alternatywą w obliczu potencjalnego ataku cyberprzestępców.
Eksperci Eset radzą, że aby mieć wgląd w zawartość pod graficzną przykrywką kodu QR, można korzystać z aplikacji skanujących kody, które umożliwiają podgląd całego adresu URL przed przejściem na stronę internetową. Ewentualne błędy lub dodatkowe litery w adresie pomogą wówczas odróżnić sfałszowane strony od tych prawdziwych. Dla polepszenia poziomu ochrony zaleca się również zaopatrzenie w rozwiązanie anty-malware, które ostrzeże przed potencjalnym zagrożeniem.
