Bezbednosni izazovi QR koda

Iako je uveden u upotrebu još pre 30 godina, QR kod tek u poslednje 2-3 godine doživljava naglu ekspanziju u pogledu broja onih koji ga upotrebljavaju. Velika popularnost donela je i niz bezbednosnih problema sa kojima se nije lako nositi.

QR kodovi su 2D slike („dvodimenzionalni bar-kodovi“) odštampane na nekom fizičkom predmetu ili prikazane na ekranu uređaja, koje se mogu skenirati kamerom mobilnog telefona. Pomoću specijalizovanog softvera, Web browser prevodi zapis unutar koda na konkretnu Web adresu (URL), čime se internet saobraćaj koji potiče od osobe koja je kod skenirala usmerava na određen naziv domena, tj. sajt.

Boca kečapa eksplicitnog sadržaja

Poznati slučaj sa QR kodom desio se 2015, a žrtva je bio proizvođač kečapa Heinz. Kod koji se nalazio na pakovanju proizvoda služio je da korisnike odvede na mikrosajt kompanije posvećen jednokratnoj, vremenski ograničenoj promociji. Grubim propustom, registracija naziva domena tog mikrosajta je istekla i nije obnovljena od strane Heinza, a šansu da registruje nanovo slobodan naziv domena iskoristili su vlasnici jednog sajta za odrasle što je uzrokovalo to da svi oni koji su od jednog momenta skenirali QR kod sa boce kečapa budu usmereni na sajt sa eksplicitnim sadržajem. Zato treba biti vrlo oprezan sa „domenima za jednokratnu upotrebu“ i registrovati ih na duži period od trajanja same kampanje ili projekta, da ne bi dolazilo do ovakvih situacija.

QR slikom direktno na Web

Ove sve prisutnije „sličice“ su danas najčešći način povezivanja virtuelnog sveta interneta sa fizičkim svetom. Više skorašnjih fenomena je zaslužno za njihovu sve veću popularnost, ali se dva izdvajaju – promovisanje beskontaktnih plaćanja i evolucija pametnih mobilnih uređaja među kojima praktično svaki ima kvalitetnu i brzu kameru, kao i odgovarajući softver za skeniranje QR kodova.

Ovu evoluciju svesrdno su prihvatili bankari i marketari koji QR kod vide kao najlakši oblik obavljanja plaćanja, odnosno instant povezivanja korisnika sa brendom koji se prezentuje.

Brendovi i kompanije uočljivo prikazuju QR kodove na pakovanjima proizvoda, bilbordima, u časopisima… na bilo kom fizičkom medijumu gde će QR privući pažnju. Njega susrećemo i na TV ekranima, displejima elektronskih uređaja, reklamama na stajalištima javnog prevoza, ali i na nalepnicama na najrazličitijim površinama koje su izraz „gerila marketinga“.

Gerila tehnike napada

U prošlosti, omiljen alat kriminalaca za phishing napad je bila e-pošta. Problem (za kriminalce) u vezi sa ovim pristupom je u tome što postoje znakovi da e-pošta nije legitimna, kao što su pogrešno napisane reči ili linkovi koji dižu alarm. Sem toga, phishing poruka često od žrtve traži da preduzme radnje koje izgledaju potpuno nelogično – da plati robu koju nije naručila ili pošalje novac nepoznatoj osobi ili firmi.

Čak i kada je phishing poruka uverljiva, uvek postoje pokazatelji da je nelegitimna. Svako ko zna šta da traži i ko odvoji vreme da pažljivo prouči takvu poruku neće imati problema da utvrdi da je poruka lažna. Ovo nije slučaj sa QR kodovima. Kada osoba skenira QR kod, nema načina da unapred sazna da li je kod legitiman i to je ono što napade zasnovane na QR kodu čini efikasnim. Kako žrtva ne može da proceni validnost koda, veća je verovatnoća da će uspeti napad zasnovan na QR kodu nego napad zasnovan na e-pošti.

Još jedan problem sa ovim kodovima je taj što hakeri mogu lako zameniti legitimni kod zlonamernim. Na primer, ako restoran sačini kod koji posetioca povezuje sa njegovim menijem, napadač bi mogao da napravi nalepnice koje sadrže zlonamerni QR kod i zatim da ih prelepi preko originalnih.
Zabeleženi su slučajevi gde se prevarni QR kodovi postavljaju na javna mesta, za slučaj da je neko dovoljno radoznao da skenira kod.

QR sigurnosna pretnja

Upravo zbog svoje raširenosti, QR kodovi su novi „favorit“ među sajber-kriminalcima koji ih koriste u svrhe širenja malicioznog softvera i krađe osetljivih podataka. Za razliku od običnih, jednodimenzionalnih kodova, QR kodovi su nosioci dugačkih nizova podataka, što ih čini savršenim za čuvanje URL adresa. Svako ko skenira kod biva direktno odveden na neku Web lokaciju, bez potrebe da ručno unosi adresu sajta.

Postoje dve glavne vrste eksploatacije QR kodova koje koriste sajber-kriminalci. Prvi je phishing napad zasnovan na QR kodu, koji se ponekad naziva i quishing. Ova vrsta napada koristi kod da bi se žrtva namamila na Web stranicu koju su hakeri napravili sa namerom da ukradu žrtvin novac, lične podatke ili druge osetljive informacije.

Drugi tip napada na QR kod se naziva QRLjacking, gde hakeri koriste kod za plasiranje zlonamernog softvera na uređaj žrtve. Napadač navede korisnika da skenira QR kod, čime uređaj korisnika usmerava na zlonamernu URL adresu na kojoj se uređaj inficira malverom.

QR kodovima se mogu pokrenuti i druge vrste akcija na nivou uređaja. Na primer, haker može da koristi kod kako bi automatski uputio telefonski poziv ili poslao tekstualnu poruku sa uređaja koji je skenirao kod. Hakeri su u stanju čak i da kodovima iniciraju plaćanje sa zaraženog uređaja korisnika ili da ga silom povežu na određenu Wi-Fi mrežu.

Zaštita kompanija i brendova

Zaštita od ovih novostvorenih onlajn bezbednosnih pretnji zasniva se na brendiranju QR kodova, pravilnom izboru domena (sajta) na koji oni vode, izboru dobrog provajdera za njihovo generisanje, kao i na stalnu edukaciju korisnika i kupaca.

Brendirajte svoje QR kodove Verovatno ste primetili da QR kod ne mora da bude u potpunosti crno-beli i da može da sadrži određene boje, oblike i slike koje dodatno privlače pažnju. Zato QR kod predstavlja novi predmet brendiranja. Kada budete dizajnirali sopstveni QR kod, obavezno integrišite boje i logotipe povezane sa vašim brendom.

Nadalje, trebalo bi da prilagodite internet link unutar koda tako da on vodi na osnovni domen vaše kompanije. Iako se pojedini marketari odlučuju da za individualne kampanje pokrenu zaseban („jednokratan“) sajt na koji QR kod upućuje, daleko bezbednije rešenje je da osoba koja skenira kod prvo bude upućena na stranicu na matičnom sajtu posvećenu kampanji, odakle će potom moći da pređe na drugi kompanijski sajt, ukoliko on postoji. Brendiranjem koda i pravilnim linkovanjem umanjuje se rizik od lansiranja uspešnog phishing napada.

Izaberite bezbednu QR kod platformu Adekvatna platforma za generisanje QR kodova je ona koja primenjuje dobre bezbednosne prakse i time štiti svoje klijente. Poštovanjem bezbednosnih standarda, QR kod provajderi sprečavaju mogućnost da loši akteri hakuju vaš poslovni nalog, pristupe vašem QR kodu i preusmere ga na svoj domen.

Edukujte svoju publiku

Ne propuštajte nijednu priliku da svoje korisnike podsetite da QR kod može predstavljati bezbednosni rizik, da na svojim uređajima treba da imaju instaliran ažuriran bezbednosni softver protiv preuzimanja kontrole nad njim od strane hakera. Takođe se preporučuje da se posetioci na vaše onlajn platforme loguju pomoću višefaktorske autentikacije umesto klasične lozinke, s obzirom na to da je veliki deo napada putem QR koda usmeren upravo ka krađi lozinki.

Prodor QR kodova širom sveta

U obimnoj studiji sprovedenoj u SAD, UK, Japanu, Nemačkoj, Kini i Francuskoj, bezbednosna kompanija Ivanti publikovala je sledeće nalaze:

• 47% ispitanika zna da QR kod može da odvede na Web adresu.
• 37% je svesno da se kodom može preuzeti aplikacija
• 22% njih zna da se putem QR koda može otkriti nečija fizička lokacija
• 39% anketiranih veruje da ume da prepozna zlonamerni QR kod
• 49% je iznelo da nema ili ne zna da li ima instalirano sigurnosno rešenje na svom mobilnom uređaju.

Najpopularniji QR kod provajderi

Monika Adarsh, stručnjak za QR kodove, tvrdi da su najbolje platforme za generisanje QR kodova u 2023. godini:

• Beaconstac’s QR Code solution (9.8/10)
• QR-Code-generator.com (8.2/10)
• QR Code Monkey (8/10)
• Scanova (7.4/10)
• the-qrcode-generator (6/10)
• GoQR (5/10)
• Shopify’s QR Code generator (5/10)
• QR Stuff (4/10)

domen.rs

Autor: Dušan Katilović