QR kod – wygodny i szybki sposób komunikacji czy zagrożenie będące idealnym narzędziem w rękach hakerów?

Wygodny i szybki sposób komunikacji czy zagrożenie?

Kod QR (Quick Response code) to rodzaj matrycowego kodu kreskowego, lub dwuwymiarowego kodu kreskowego, wynaleziony w 1994 roku przez Masahiro Hara, z japońskiej firmy Denso Wave.

Jego zadaniem było śledzenie pojazdów podczas produkcji. Został zaprojektowany tak, aby umożliwić szybkie skanowanie komponentów. Kody QR często zawierają dane dla lokalizatora, identyfikatora lub trackera, który wskazuje na stronę internetową lub aplikację. Kod QR wykorzystuje cztery znormalizowane tryby kodowania - numeryczny, alfanumeryczny, bajtowy/binarny i kanji.

Obecnie kody QR używane są w znacznie szerszym kontekście, obejmującym zarówno komercyjne aplikacje śledzące, jak i aplikacje zorientowane na wygodę, skierowane do użytkowników telefonów komórkowych (tzw. tagowanie mobilne). Mogą być używane do wyświetlania tekstu użytkownikowi, otwierania strony internetowej na urządzeniu użytkownika, dodawania kontaktu vCard do urządzenia użytkownika, otwierania jednolitego identyfikatora zasobów (URI), łączenia się z siecią bezprzewodową lub by napisać e-mail czy też wiadomość tekstową. Istnieje wiele generatorów kodów QR dostępnych jako oprogramowanie lub narzędzia online, które mogą być także dostępne bezpłatnie. Kod QR stał się jednym z najczęściej używanych typów kodu dwuwymiarowego.

Jakie zagrożenia może nieść za sobą przeskanowanie kodu QR?

Poniżej znajduje się lista kilku najpopularniejszych nadużyć:

  • Pobranie złośliwej aplikacji – kod najczęściej przekierowuje do szkodliwej aplikacji wyświetlonej na stronie łudząco podobnej do sklepu z aplikacjami jak np. Google Play. Nieuważny użytkownik może pobrać i zainstalować taką aplikacje, czego skutkiem będzie narażenie naszych wrażliwych danych i pieniędzy;
  • Dodanie kontaktu – może prowadzić do dodania kontaktu np. „Bank” co może ułatwić ataki spear phishingowe;
  • Wykonanie połączenia – na przykład na płatny numer lub uzyskanie numeru telefonu ofiary;
  • Dodanie niebezpiecznej sieci Wi-Fi;
  • Wysłanie SMS;
  • Przygotowanie wiadomości email wraz z treścią i tematem, a także listą odbiorców;
  • Dokonanie płatności za pomocą podmienionego kodu QR;
  • Utworzenie konta w social mediach;
  • Dodanie wydarzenia w kalendarzu.

Jak zminimalizować ryzyko?

Wystarczy racjonalne podejście i kilka prostych zasad:

  • Najważniejsze to nie skanować kodów z podejrzanych i nieznanych źródeł.
  • Należy zwracać uwagę na URL do którego będziemy przekierowani. jeśli został skrócony, twórca mógł chcieć zataić dokładne miejsce do którego trafimy. Bezpieczniej skorzystać z wyszukiwarki lub sklepu z aplikacjami, aby pobrać poszukiwane treści.
  • Przed zeskanowaniem kodu w miejscu publicznym upewnij się, że nie został na niego naklejony inny kod.
  • Jeśli masz alternatywę dla kodu QR użyj jej.