A legfontosabb elvitelek
- A QR-kódok ugyanolyan veszélyesek, mint az e-mailekben található rosszindulatú linkek.
- Ezek a kódok linkeket tartalmaznak, amelyek alkalmazásokat nyithatnak meg, telefonhívásokat indíthatnak, megoszthatják tartózkodási helyét stb.
- Védje magát a QR-kódok elkerülésével, és helyette használjon linket.
Ahelyett, hogy puszta kézzel felvennénk egy koszos éttermi menüt, megszoktuk a QR-kódok higiéniáját. De ezek egy kicsit piszkosabbak és sokkal veszélyesebbek lehetnek, mint gondolná.
2015-ben egy német ketchup szerelmese beszkennelte a QR-kódot a Heinz-üvegén, és egyenesen egy pornóoldalra küldték. Ez kínos lehet, de rosszabb következményekkel járhat a QR-kódok vak beolvasása. Az 1Password jelszókezelő szolgáltatás szerint a QR-kódok telefonhívásokat indíthatnak, elárulhatják tartózkodási helyét, telefonhívást indíthatnak, amely felfedi a hívóazonosítóját, és így tovább. Szóval mit tehetünk ellene?
"Mindannyian készen állunk arra, hogy beolvassunk egy QR-kódot a menü böngészéséhez vagy akár a számláink kifizetéséhez, és a kiberbűnözők ezt most rosszindulatú QR-kódok használatával kamatoztatják." Craig Lurey, kiberbiztonsági szakértő és munkatársai - mondta a Lifewire-nek e-mailben a Keeper Security alapítója. "Tehát ami úgy néz ki, mint egy kód, amellyel egy parkolóautomatáért fizetni kell, és az oldal hihetetlenül legitimnek fog kinézni, valójában közvetlenül a tolvajok adatbázisába írja be hitelkártyaadatait."
Rossz linkek
A QR-kód csak egy hivatkozásra mutató hivatkozás, amelyet a telefon kamerája elolvashat, majd dekódolhat. Mindannyian arra tanítottak minket, hogy soha ne kattintsunk egy e-mailben lévő linkre, még akkor sem, ha az legitimnek tűnik. De a QR-kód hivatkozások ugyanolyan veszélyesek, és további problémájuk van, hogy nem látja, hová vezetnek, amíg be nem olvassa őket.
Amikor linkekre gondolunk, olyan URL-ekre gondolunk, amelyek webhelyekre vezetnek bennünket. A Heinz ketchup pornó hack esetében pedig ez volt a probléma – Heinz hagyta, hogy a domain név elveszítsen, és valaki más megvette, aztán megrakta piszkos képekkel. Az URL-ek veszélyesek, amint azt Lurey parkolóórás adathalászata is szemlélteti, de a linkek sokkal többre képesek.
"Az egyik legnagyobb probléma az, hogy a webhelyekkel ellentétben a rövidített URL-ekre mutató QR-hivatkozások ritkán azonosítják a vállalkozás nevét" - mondta Monti Knode, az USAF 67. kibertér-műveleti csoportjának korábbi parancsnoka a Lifewire-nek e-mailben. "Egy személy rákattint, és azt feltételezi, hogy éttermi menüt, konferencia napirendet vagy akár jótékonysági linket is tartalmaz, és nagyon jól lehet, hogy ez egy hamisított oldal vagy egy rosszindulatú link, amely kódot tölt le számítógépére vagy mobileszközére."
Telefonjainkon a hivatkozások alkalmazásokat indíthatnak el. Megnyílik például egy Google Térkép hivatkozás a térképalkalmazásban. A linkek telefonhívásokat is indíthatnak, névjegyeket adhatnak a címjegyzékhez (és ezért a jövőbeli hívások és e-mailek jogszerűnek tűnhetnek), megoszthatják tartózkodási helyét stb.
Egy zseniális átverés magában foglalja azt, hogy egy létező, törvényes QR-kódot nem jól csinálnak, és ezzel átirányítják az áldozatokat. Robert Barrows hirdető megosztott egy történetet Video Enhanced Gravemarkerjéről.
"Rájöttem, hogy számos probléma lehet a sírkövek QR-kódjaival" - mondta Barrows e-mailben a Lifewire-nek. "Mi történik, ha a QR-kódon lévő tinta idővel lecsökken? Teljesen más webhelyre fog hivatkozni? Mi történik, ha valaki megváltoztatja a QR-kódot egy markerrel?"
Ugyanez megtörténhet reklámplakátokkal, menükkel vagy bármilyen QR-kóddal.
Védd magad
Az első lépés önmaga védelmében az, hogy legyen tudatában. Soha ne olvasson be QR-kódot, hacsak nem biztos abban, hogy biztonságos. Ami valójában azt jelenti, hogy soha ne olvass be QR-kódot.
De ha be kell szkennelnie egy étterembe vagy bárba, vagy meg szeretne tekinteni egy menüt, először győződjön meg arról, hogy a kódot nem manipulálták, vagy nem fedték le egy másik QR-kód matricával. Az egyik tipp, hogy ha lehetséges, kapcsolja ki az automatikus QR-kód beolvasást a telefon beállításaiban. De valójában a legjobb védelem az óvatosság.
"Amennyiben lehetséges, csakúgy, mint a potenciális adathalász hivatkozások esetében, azt javasoljuk, hogy menjen közvetlenül a szolgáltató webhelyére a keresett információk lekéréséhez" - mondta Dave Cundiff, a Cyvatar kiberbiztonsági vállalat CISO-ja a Lifewire-nek e-mailben. "A legtöbb esetben az információ az interneten van tárolva, és valahol közvetlenül elérhető a szolgáltató webhelyén."
Ha a link nem érhető el, ne olvassa be. Sokkal kevésbé kényelmes, de nem olyan kényelmetlen, mint napokig vagy hetekig beszélni egy rosszindulatú link kihullásával.