QUISHING nie je len cudzie slovo

QR kódy v tejto dobe zažívajú "boom", pretože ich generovanie je veľmi jednoduché. Vo všeobecnosti sa využívajú na mnoho legitímnych účelov ako napríklad:

• v reštauráciách a baroch na zobrazovanie menu,
• platobné transakcie,
• reklamné materiály na poskytnutie doplnkových informácií o produkte,
• digitálne lístky a vstupenky na rôzne podujatia,
• digitálne zdravotné preukazy,
• pripojenie na WiFi siete bez nutnosti manuálneho zadávania prihlasovacích údajov,
• a ďalšie.

Pri používaní QR kódov treba však vždy ostať obozretný, pretože sa útočníci snažia existujúce QR kódy nahradiť svojim QR kódom obsahujúci odkaz na falošnú stránku s cieľom:

• získania osobných údajov alebo údajov o platobnej karte,
• smerovania k uskutočneniu platby,
• stiahnutia malvéru do zariadenia používateľa,
• ďalšie riziká

Na obrázku nižšie uvádzame jednu z modelových situácií, kedy útočník vytvoril QR kód za účelom "nalákania" potenciálnej obete na návštevu škodlivej webovej stránky, prostredníctvom ktorej získa citlivé údaje obete.

S falošnými QR kódmi sa môžeme stretávať v rôznych situáciách a na rôznych miestach:

• v podvodných e-mailoch,
• v súvislosti s falošnými kupónmi, výhrami,
• falošné QR kódy na platobných termináloch,
• falošné reklamy,
• a ďalšie.

Väčšina aplikácií, ktoré sa na čítanie QR kódov používajú, sú dvojkrokové:

1. načítanie QR kódu,
2. a až po kliknutí dochádza k prepojeniu na danú webovú stránku.

Je však potrebné poznamenať, že technicky existuje možnosť implementovať aplikáciu, ktorá webovú stránku navštívi bezprostredne po načítaní QR kódu. Z toho dôvodu je potrebné byť pri QR kódoch a aplikáciách na ich čítanie veľmi obozretný. Reálne však na čítanie QR kódov nepotrebujete žiadnu externú aplikáciu - moderné telefóny totižto umožňujú QR kódy načítať priamo pomocou vstavaného fotoaparátu.

QR kódy využívané na platby
Jedným z nezanedbateľných rizík je tiež využívanie webových služieb pri generovaní QR kódu - typickým použitím býva generovanie QR kódu pre prijatie bitcoin platby. Bolo identifikovaných nie málo falošných webových QR generátorov, ktoré pri generovaní QR podvrhnú útočníkovu neželanú (podvodnú) BTC adresu. Odporúčanie:

• nevyhľadávať webové služby pre generovanie QR prostredníctvom vyhľadávačov,
• využívať overené služby pri generovaní ako napríklad blockchain.com

QR kódy sa v dnešnej dobe takisto používajú na tzv. rýchle platby prostredníctvom rôznych služieb. Jednou z nich je napríklad služba "PAY by square", prostredníctvom ktorej je možné vygenerovať QR kód čitateľný pomocou bankovej aplikácie. Pri takýchto QR kódoch je tiež potrebné byť obozretný a nevykonávať platby pomocou QR kódu bez istoty, že sa jedná o legitímnu platbu.

Prečo začal byť quishing populárny?
Ukázalo sa, že e-maily s QR kódmi často obchádzajú e-mailové ochranné prvky, zatiaľčo e-maily so škodlivými odkazmi, resp. malvérom sú častokrát už priamo blokované rôznymi spamovými a inými filtrami.

Nahrádzanie legitímnych QR kódov falošnými
V poslednom období sme sa stretli s ďalším sofistikovaným podvodom využívajúcim QR kódy. Jedná sa konkrétne o nahrádzanie legitímnych QR kódov falošnými na verejných miestach. QR kódmi sa mnoho spoločností snaží nahradiť hypertextové odkazy, resp. platobné údaje. Dnes totižto aj bankové aplikácie poskytujú skener, pomocou ktorého si QR kód vieme naskenovať a nemusíme zadávať platobné údaje manuálne. Preto sa podvodníci vynašli a začali takéto QR kódy na voľne dostupných priestranstvách nahrádzať falošnými. Predstavme si modelovú situáciu, kedy sa na platenom parkovisku dá platiť prostredníctvom QR kódov alebo mincomatu. Mnoho ľudí pri sebe v dnešnej dobe nemá hotovosť, a teda využívajú možnosť platby kartou, resp. platbu prostredníctvom QR kódu. Jediné, čo musí podvodník spraviť je prelepenie legitímneho QR kódu falošným, čo na prvý pohľad vôbec nemusí byť viditeľné. Preto si vždy dôsledne skontrolujte, aký QR kód skenujete.

AKO SI OVERIŤ ČI JE QR KÓD BEZPEČNÝ?

1. Pozrite sa bez navštívenia stránky, kam QR kód skutočne smeruje - ak doména pôsobí podozrivo, určite nenavštevujte cieľovú webovú stránku.
2. Dbajte na to, kde sa QR kód vyskytol - ak Vám prišiel v podozrivom e-maili, určite nebude legitímny. Ak ste ho našli na legitímnej stránke, resp. ste ho získali od dôveryhodnej osoby, pravdepodobnosť, že je bezpečný, podstatne stúpa (aj keď to nie je pravidlo).
3. Pri fyzických QR kódoch (na výveskách, parkovacích zariadeniach, v reštauráciách a podobne vždy skontrolujte, či pôvodný kód nie je prekrytý (prelepený) falošnou nálepkou s podvodným QR kódom.
4. Z preventívnych dôvodov si preverte aj osobu/spoločnosť, ktorá QR kód distribuuje.
5. Niektoré antivírusové riešenia majú možnosť skenovania QR kódov - bezpečnosť viete overiť aj týmto spôsobom.
6. Ak si ani po týchto krokoch nie ste istý či sa jedná o bezpečný QR kód, najlepšou možnosťou je sa mu vyhnúť a vôbec s ním neinteragovať.