Sajber-kriminalci sve više koriste prednosti QR kodova, čija upotreba je naglo zaživela sa pandemijom, kako bi ovu tehnologiju pretvorili u „nevidljivi “ vektor napada , kako je Chek Point upozorio s obzirom na povećanje njene upotrebe od strane kompanija iz svih sektora.
Iako je tehnologija prisutna od ranih 90-ih, kodovi za „brzi odgovor“ ili „QR“ su doživeli masovnu upotrebu tokom pandemije. Jedinstveni crno-beli kvadrati – koji služe kao neka vrsta bar koda – zamenili su fizičke menije u restoranima i druge papirne forme tokom ranog pokušaja da se pruži usluga bez dodira.
Kompanije su smatrale da je neophodno da se ponovo osmisle i usvoje tehnološki alati za rešavanje nastalih problema koje je izazvala pandemija, kao što je potreba za održavanjem fizičke distance ili pooštravanjem higijene.
U tom kontekstu, QR kodovi koji se koriste u ugostiteljskim objektima za zamenu tradicionalnih menija u paprinoj formi, ali i za prikazivanje turističkih informacija ili olakšavanje promocija, popusta ili čak institucionalnih procedura, pojavili su se kao alternativa bez kontakta.
Iz Check Point-a objašnjavaju da su QR kodovi dvodimenzionalni kodovi za brzi odgovor koji sadrže URL ugrađen u sliku koja, kada se skenira, omogućava pristup veb lokaciji.
Upotreba QR kodova je porasla poslednjih meseci prema studiji koju je sproveo MobileIron, koja pokazuje da je 86 odsto mobilnih korisnika skeniralo QR kod u poslednjih godinu dana. Međutim, to takođe odražava da 34 procenta ispitanika ne brine o svojoj bezbednosti kada koriste ove kodove.
Poboljšano praćenje
Iako usmeravanje gostiju na digitalni meni pomoću QR koda može izgledati bezazleno, stručnjaci za privatnost izrazili su zabrinutost oko toga koji se lični podaci prikupljaju i kako bi se mogli koristiti kada kupac poseti određenu veb lokaciju.
Na primer, klijent može biti odveden na veb lokaciju restorana ili na dobavljača usluga treće strane koji koristi kolačiće za praćenje ponašanja posetilaca. Ako restoran naruči direktno sa digitalnog menija, restoran ili dobavljač usluga bi mogli da sačuvaju te preferencije i druge informacije, kao što je vreme posete, kako bi ciljali svoje oglase ili kupcu dodatno prodali personalizovane ponude i podsticaje.
NEDOSTATAK SAGLASNOSTI?
Jedan od problema koji se javlja upotrebom QR kodova na globalnom nivou jeste i nedostatak saglasnosti da se podaci korisnika usluga prikupljaju, čuvaju i koriste u reklamne ili promotivne svrhe.
Čak i ako se pruži opcija saglasnosti, kako bi trebalo da bude u sladu sa regulativama koje regulišu zaštitu podataka o ličnosti, korisnici usluga obično nemaju drugog izbora osim da prihvate ono što piše ako žele da nastave sa uslugom.
Neophodno je da preduzeća zatraže saglasnost kupaca da prate njihove podatke kada prvi put skeniraju QR kod. Prema GDPR-u , koji reguliše zaštitu privatnosti, kao i drugi brojni Zakoni u svetu CCPA u Kaliforniji, PIPL u Kini, LGPD u Brazilu, PDP u Singapuru i drugi, zahtevaju da lični podaci koje o nama prikupi komercijalni subjekt treba da budu zasnovani na saglasnosti. Dakle, nije samo lepo tražiti saglasnost, ipak je zakonski obavezno.
Nažalost, pošto je široko rasprostranjeno usvajanje QR kodova još uvek relativno novo, preduzeća nisu nužno svesna svojih obaveza ili načina na koji bi trebalo da traže saglasnost kada koriste aplikacije trećih strana.
Fantomska pretnja “crno- belih kvadrata“
Praktični slučaj koji je sproveo Univerzitet Carnegie Mellon (SAD) naglašava nedostatak brige u vezi sa zaštitom ličnih podataka prilikom korišćenja ovog sistema. Istraživači su postavili stotine postera sa QR kodovima na različite lokacije, a nakon mesec dana, 225 ljudi je skeniralo postere, od kojih je 85 odsto posetilo povezanu veb stranicu.
Korisnici moraju biti svesni da kada kliknu na link koji u mnogim slučajevima čak i ne vide , tako da to može biti ‘phishing’ – lažno predstavljanje legitimnog izvora – i preusmeravanje na zlonamernu web lokaciju.
QR kodovi se uglavnom koriste preko pametnog telefona, tako da mogu poslužiti kao kapija za informacije koje uređaj čuva, kao što su podaci o lokaciji, ili pokrenuti preuzimanje zlonamernog softvera na računar (trojansko bankarstvo, malver itd.) pa čak i da plaćaju.
U tom smislu, iz Check Pointa upozoravaju na potrebu da se poveća nivo bezbednosti i svesti o tehnologijama kao što su QR kodovi koji naizgled ne nose nikakav rizik, ali mogu da ugroze poverljivost naših podataka. Zbog toga je neophodno instalirati sigurnosne alate koji štite uređaje.
Ovako sajber kriminalci hakuju QR kodove
Postoji nekoliko načina na koje sajber kriminalci mogu da hakuju QR kodove. Jedna od njih je, kao što smo spomenuli, hakovanje sajta kompanije i zamena QR kodova svojim. Skeniranjem, korisnici bi mogli da budu preusmereni na phishing adresu na kojoj bi kriminalci mogli da zatraže svoje akreditive, a zatim preuzmu kontrolu nad njihovim mejlovima ili nalozima na društvenim mrežama, na primer.
Takođe bi mogli da preusmere korisnike na prodavnice aplikacija trećih strana gde bi mogli nesvesno da preuzmu zaraženu aplikaciju koja sadrži virus, špijunski softver, trojannca ili bilo koju drugu vrstu malvera koji dovodi do krađe podataka, povreda privatnosti i poverljivosti (krađa GPS podataka ili presretnuta lista kontakata, pozivi ili poruke), ucena ransomware-a ili ponekad kripto prodiranje.
Još jedna tehnika napada koju sajber kriminalci mogu da koriste je honeypot . Kriminalci bi mogli da postave neobezbeđenu WiFi mrežu obećavajući besplatan pristup svakom ko skenira njen QR kod. Kada se uređaj poveže, hakeri mogu da vide ili presretnu sve razmenjene podatke i da ukradu lične , poslovne, onlajn bankarske ili kreditne kartice.
Uz rad na daljinu, koji će se predvidljivo nastaviti tokom ove godine, a u mnogim kompanijama je i ostao, važno je da smo svi svesni ovih metoda i da se povezujemo samo na bezbedne WiFi mreže.
Kako možemo da se zaštitimo?
Golim okom nemoguće je otkriti QR kod koji su preuzeli sajber kriminalci, ali postoji nekoliko mera predostrožnosti koje možete preduzeti da ne biste postali žrtva ove vrste obmane.
- Preduzeća i IT administratori treba da povremeno vrše testove integriteta na svojoj lokaciji i aplikaciji kako bi se uverili da su kod i povezani linkovi u skladu sa očekivanjima.
- Oni to mogu da urade redovnim skeniranjem koda da bi proverili da li je link koji sadrži ispravan.
- To bi trebalo da urade i na veb verziji i na mobilnoj verziji, jer kriminalci mogu da ugroze veb verziju kako bi smanjili šanse za otkrivanje.
- Poslodavci takođe moraju da obezbede obuku svojim zaposlenima kako bi znali kako da deluju i štite svoje uređaje.
