Termenul de cod QR reprezintă un acronim pentru Quick Response Code (Cod Răspuns Rapid) și sunt în esență coduri de bare pătrate (bidimensionale), inventate și utilizate inițial în Japonia în 1994. Ca orice alt cod de bare pe care toți îl știm de pe produsele din magazine, un cod QR este doar o altă metodă de stocare a informației într-o etichetă vizuală, ce poate fi citită rapid de o mașină (cititor de cod de bare sau cameră foto). Datele dintr-un cod QR pot fi orice, de la un simplu text, la link-uri de site-uri web, adrese de e-mail, numere de telefon etc.
Codurile QR sunt ușor de generat și de utilizat, reprezentând o metodă facilă de stocare de informații scurte într-un spațiu redus. Dacă datele conțin doar caractere alfanumerice, un singur cod QR poate să rețină până la 4000 de caractere, oferind astfel posibilitatea de a fi valorificat în numeroase situații.
De la izbucnirea pandemiei de COVID-19, tehnologia Quick-Response (cod QR) a fost bine primită și foarte folosită după ce oamenii au apelat la tranzacțiile fără contact, iar certificatele digitale COVID au făcut ca sintagma “cod QR” să apară în vorbirea curentă și chiar în vocabularul celor atehnici. Cu toate acestea, odată cu adoptarea și utilizarea codurilor QR la scară largă, au oferit noi oportunități pentru amenințări cibernetice, de care majoritatea oamenilor nu sunt conștienți.
Atacuri ce utilizează coduri QR
Quishing
Reprezintă termenul ce caracterizează un atac în care victima primește un mesaj email ce conține un cod QR atașat care odată scanat, va direcționa utilizatorul către o pagina falsă (phishing page) a cărui scop este colectarea de credențiale de acces, date bancare sau date personale.
QRLjacking
În ultimul timp, tehnologia QR a început să fie utilizată ca metodă de autentificare – Quick Response Code Login (QRL), fiind o alternativă la autentificarea clasică bazată pe parolă. Chiar și compania Google utilizează această metodă.
Deși pare un instrument facil care permite o autentificare rapidă, expertul în securitate cibernetică Mohamed Abdelbasset Elnouby a demonstrat cum poate fi exploatată pentru compromiterea contului unei victime. Astfel, a apărut denumirea QRLJacking (Quick Response code Login Jacking) și descrie procesul simplu prin care un atacator dobândește acces în contul unei victime cu ajutorul unei pagini false și tehnici de inginerie socială. Metoda de atac este asemănătoare Clickjacking.
Deși amenințarea cibernetică ce exploatează tehnologia QR nu este una cu un palmares considerabil, FBI a emis în luna ianuarie 2022 alerta intitulată “Cybercriminals Tampering with QR Codes to Steal Victim Funds” prin care atrage atenția că atacatorii fructifică slăbiciunile codurilor QR.
Alte amenințări exploatate de atacatori prin codurile QR
- Redirectarea victimei către link-uri malițioase
Așa cum spuneam mai devreme, atacatori pot utiliza codurile QR pentru stocarea unor link-uri malițioase, fiind distribuite ulterior prin intermediul mesajelor de tip SPAM în căutarea de victime.
- Descărcarea de fișiere malițioase pe dispozitivele mobile
În unele restaurante, codurile QR sunt utilizate pentru a oferi posibilitatea clienților să descarce meniul în format PDF sau pentru descărcarea unei aplicații ce permite plasarea de comenzi. Atacatorii ar putea exploata acest lucru prin schimbarea codurilor QR cu unele care descarcă aplicații malware.
- Declanșarea automată de acțiuni pe un dispozitiv
Unele aplicații mobile care citesc coduri de bare permit și interpretarea de comenzi precum conectarea la o rețea WiFi, expedierea unui mesaj email sau SMS cu un text predefinit sau salvarea în memoria telefonului a unor date de contact. Deși nu reprezintă amenințări în mod direct, aceste acțiuni ar putea fi valorificate în cadrul aplicării unor tehnici de inginerie socială.
- Deturnarea unor plăți sau emiterea de cereri de plăți
În decembrie anul trecut, în trei state din SUA au fost identificate coduri QR pe automatele de parcare pentru încasarea taxelor de parcare. Vezi articolul “Phishing prin automatele de parcare”.
Cum prevenim atacurile cibernetice QR?
Cea mai simplă metodă de prevenire o reprezintă încercarea de a nu scana coduri QR cu telefonul mobil, dar nu este o variantă ce poate fi respectată întotdeauna, uneori fiind singura alternativă ce poate fi utilizată pentru accesarea unor informații, așa că:
- Înainte de a scana un cod QR, verificați înainte dacă acesta nu a fost manipulat (ex. verificați dacă nu acoperă un alt cod QR).
- Evitați scanarea codurilor QR găsite aleatoriu sau a codurilor QR din mesaje nesolicitate (spam).
- Fii foarte atent când vine vorba de utilizarea unui cod QR pentru a plăti o factură sau pentru a efectua un alt tip de tranzacție financiară.
- Dezactivați opțiunea de a efectua acțiuni automate atunci când scanați un cod QR, cum ar fi vizitarea unui site web, descărcarea unui fișier sau conectarea la o rețea Wi-Fi.
- După scanare, verificați adresa URL dacă este legitimă.
- Nu distribuiți coduri QR care conțin informații sensibile, cum ar fi cele folosite pentru accesarea aplicațiilor sau cele incluse în documente (ex. certificatul COVID-19.
Concluzie
Deși apărută acum mai bine de 20 de ani, popularitatea tehnologiei QR a explodat odată cu pandemia COVID-19, iar inventivitatea atacatorilor cibernetici va transforma această mică etichetă vizuală într-un instrument de maximizare a profitului. Cu siguranță asistăm la un trend puternic ascendent privind atacurile ce utilizează acest instrument, fiind o piesă de puzzle ce permite instrumentarea unor atacuri cibernetice mult mai complexe.
Dacă v-a plăcut acest articol, sau dacă doriți să vă implicați în proiectul SecurityPatch.ro, ne puteți contacta pe [email protected]. Ne găsești și pe Twitter sau Facebook.