6 min czytaniaZgodność

Czy kody QR są bezpieczne? Quishing i jak pozostać chronionym

Skanowanie kodów QR jest bezpieczne - ryzykiem jest to, dokąd prowadzą. Jak działa quishing, jak rozpoznać złośliwy kod QR i co zrobić, jeśli zeskanowałeś fałszywy.

Sasha Ehrlich
Compliance · EU residency
Kod QR obok trójkąta ostrzegawczego i tarczy, pokazujący, że samo skanowanie jest bezpieczne, ale trzeba sprawdzić, dokąd prowadzi kod QR, aby uniknąć quishingu, w palecie marki Elido

Skanowanie kodów QR jest bezpieczne. Sam kod to po prostu zakodowany link, a otwarcie go nie jest groźniejsze niż ręczne wpisanie tego samego adresu internetowego. Prawdziwe ryzyko żyje w tym, dokąd kod Cię kieruje - i tam właśnie działają atakujący. Złośliwy kod QR może wskazywać na podrobioną stronę logowania zbudowaną, by ukraść Twoje hasło, albo na pobranie, które prosi o zainstalowanie czegoś szkodliwego. Szczera odpowiedź na pytanie "czy kody QR są bezpieczne" brzmi więc: skan jest bezpieczny, to cel musisz sprawdzić.

Atak ma teraz nazwę - quishing, połączenie "QR" i "phishing" - i rozrósł się, ponieważ obchodzi dwie obrony naraz. Kod QR ukrywa cel aż do momentu po zeskanowaniu, więc dawna rada, by sprawdzić link przed kliknięciem, jest trudniejsza do zastosowania. A ponieważ kod jest obrazem, wymyka się wielu filtrom pocztowym, które czytają tylko tekst i linki. Rządy i badacze bezpieczeństwa zwrócili uwagę na ten wzrost, a technika pojawia się teraz we wszystkim, od fałszywych tabliczek na parkomatach po faktury.

Patrzę na to z perspektywy compliance, gdzie pytanie zwykle brzmi: "czy możemy umieścić kod QR na czymś, co widzi klient, nie tworząc ryzyka?". Odpowiedź brzmi: tak, przy odpowiednich nawykach. Ten przewodnik omawia, jak działa quishing, jak odczytać kod, zanim mu zaufasz, i co zrobić, jeśli już zeskanowałeś zły. Jeśli tworzysz kody, a nie je skanujesz, jak utworzyć kod QR to miejsce, od którego warto zacząć.

Jak działa quishing#

Atak quishingowy ma tę samą anatomię co każda próba phishingu, tyle że link zastąpiono kodem. Zrozumienie kroków sprawia, że sygnały ostrzegawcze stają się oczywiste.

Atakujący tworzy kod QR, który rozwiązuje się do oszukańczego celu - fałszywego portalu logowania, strony płatności lub monitu o instalację złośliwego oprogramowania. Umieszcza go tam, gdzie ludzie skanują bezmyślnie: w e-mailu, który wygląda, jakby był od działu IT lub banku, jako naklejka przyklejona na prawdziwym kodzie na plakacie czy parkomacie, na ulotce lub w nieoczekiwanej przesyłce. Ofiara skanuje telefonem, widzi stronę naśladującą coś znajomego i wpisuje poświadczenia lub dane karty. Dane trafiają do atakującego.

To, co czyni go skutecznym, to ukrycie. Przy zwykłym linku phishingowym ostrożna osoba może najechać kursorem i najpierw odczytać URL. Kod QR nie pokazuje Ci niczego, dopóki już nie zdecydujesz się na zeskanowanie, a na małym ekranie pasek adresu łatwo zignorować. Analiza quishingu od Kaspersky podnosi tę samą kwestię: ukryty cel to cała przewaga. Powiązana sztuczka po stronie serwera, która pozwala nagiąć dowolne przekierowanie w stronę złośliwej witryny, jest tematem luk typu open redirect i warto wiedzieć, że te dwie rzeczy często działają razem.

Atak quishingowy pokazany etapami: atakujący tworzy złośliwy kod QR, umieszcza go jako naklejkę na prawdziwym, ofiara skanuje i trafia na fałszywą stronę logowania, która zbiera poświadczenia

Sygnały ostrzegawcze złośliwego kodu QR#

Większość prób quishingu możesz wychwycić, zanim dojdzie do jakiejkolwiek szkody, czytając kontekst i podgląd razem. Kilka sygnałów wykonuje większość pracy.

  • Nie spodziewałeś się go. Kod, który przybywa niezamówiony - w e-mailu, SMS-ie, liście lub dostarczonej przesyłce, której nie zamawiałeś - zasługuje na podejrzenie przede wszystkim.
  • To naklejka. Fizyczny kod, który wygląda na dodany na wierzchu istniejącej grafiki, zwłaszcza na parkomatach, plakatach i w menu, to najczęstsza sztuczka spotykana w praktyce.
  • Wytwarza pośpiech. Sformułowania w stylu "zeskanuj natychmiast, aby uniknąć zawieszenia" czy "zweryfikuj teraz" mają wypchnąć Cię poza moment, w którym normalnie byś sprawdził.
  • Podgląd wygląda nie tak. Po zeskanowaniu większość telefonów pokazuje URL przed jego otwarciem. Literówki, nieznana domena, domena niepasująca do marki lub skracacz, którego nie potrafisz rozwiązać - to wszystko powody, by się zatrzymać.
  • Od razu żąda poświadczeń lub płatności. Legalny cel rzadko prosi Cię o zalogowanie się lub zapłatę, zanim cokolwiek pokaże. Fałszywy zaczyna od tego.

Wytyczne amerykańskiej Federalnej Komisji Handlu (FTC) i brytyjskie porady NCSC dotyczące podejrzanych wiadomości sprowadzają się do tego samego instynktu: jeśli kod i jego kontekst nie wydają Ci się oba w porządku, nie reaguj na to, co otwiera.

Dwukolumnowa lista kontrolna: czerwone flagi złośliwego kodu QR, takie jak nieoczekiwane kody, naklejki, naglące sformułowania i niepasujące domeny, obok bezpiecznych nawyków, jak podgląd URL i niewpisywanie nigdy danych, do których popchnął Cię kod

Jak skanować kody QR bezpiecznie#

Bezpieczne skanowanie to krótki zestaw nawyków, a nie specjalna aplikacja. Żaden z nich nie spowalnia Cię zbytnio, gdy stanie się rutyną.

  1. Używaj wbudowanego aparatu telefonu lub skanera, który pokazuje podgląd URL. Czytaj ten podgląd przed otwarciem, za każdym razem.
  2. Porównaj domenę z tym, kto Twoim zdaniem przysłał kod. Marka na początku adresu powinna pasować do marki na plakacie, w e-mailu lub menu.
  3. Bądź ostrożny wobec kodów rozwiązujących się do skracacza, którego nie potrafisz rozwinąć - i odwrotnie, zaufanie jest łatwiejsze, gdy kod wskazuje na czytelną, markową domenę, którą rozpoznajesz.
  4. Nigdy nie wpisuj haseł, numerów kart ani kodów jednorazowych na stronie, na którą trafiłeś tylko dlatego, że kazał Ci to kod QR. Zamiast tego sam przejdź na witrynę.

Ten trzeci punkt działa w obie strony i to tutaj ci, którzy tworzą kody, mogą pomóc tym, którzy je skanują. Markowy krótki link na domenie, którą klient rozpoznaje, jest znacznie łatwiej zaufać niż nieprzejrzystemu, co jest częścią powodu, dla którego oznakowanie kodu marką jest funkcją bezpieczeństwa, a nie tylko projektową - zobacz projektowanie markowego kodu QR.

Jeśli publikujesz kody QR widoczne dla klientów i chcesz, by odczytywano je jako godne zaufania - Twoja domena, Twój branding, cel, który możesz przekierować, jeśli kiedykolwiek zostanie nadużyty - generuj śledzone kody QR z Elido, aby Twoi odbiorcy widzieli nazwę, którą znają, a nie losowy ciąg.

Jeśli już zeskanowałeś zły#

Zeskanowanie i podejrzenie złośliwego kodu samo w sobie prawie nic nie robi, więc jeśli zatrzymałeś się na podglądzie, bardzo prawdopodobnie nic Ci nie jest - zamknij go i działaj dalej. Narażenie pochodzi z kolejnych kroków, a jeśli je podjąłeś, działaj szybko.

Zamknij stronę i nie wpisuj nic więcej. Jeśli już wpisałeś hasło, zmień je na prawdziwej witrynie i włącz uwierzytelnianie dwuskładnikowe dla tego konta. Jeśli wpisałeś dane karty lub banku, zadzwoń do banku. Jeśli coś zainstalowałeś lub pobrałeś, uruchom skanowanie bezpieczeństwa i usuń to. Następnie zgłoś to - w USA przez FTC, a gdzie indziej przez krajowy organ ds. oszustw lub cyberprzestępczości - i miej oko na dotknięte konta przez kilka tygodni, bo skradzione poświadczenia są często wykorzystywane później, a nie natychmiast. Szerszą postawę przy weryfikacji każdego krótkiego lub skróconego celu znajdziesz w czy skracacze URL są bezpieczne oraz w liście kontrolnej bezpieczeństwa skracacza URL.

Kody QR warto zachować - z nawykami#

Nic z tego nie jest powodem, by porzucić kody QR. Są one autentycznie użytecznym mostem ze świata fizycznego do cyfrowego, a sam format nie jest problemem - jest nim socjotechnika owinięta wokół niego. Ta sama logika obowiązuje po stronie publikującego: kod, który kontrolujesz, kierujesz na własną domenę i możesz mierzyć oraz przekierowywać, jest bezpieczniejszy dla Twoich odbiorców niż statyczny jednorazówka, bo możesz zareagować, jeśli cel kiedykolwiek zostanie skompromitowany.

Dla organizacji widok compliance jest taki, że kod QR to po prostu kolejny kanał niosący link, a te same zasady minimalizacji danych i rezydencji obowiązują względem tego, dokąd prowadzi - szczegóły są w RODO dla skracaczy URL i na naszej stronie zaufania. Skanuj z podglądem, sprawdzaj domenę, nigdy nie wpisuj danych poufnych na stronie, do której popchnął Cię kod, a kody QR pozostaną tym, czym miały być: udogodnieniem, a nie obciążeniem.

Powiązane na blogu#

Wypróbuj Elido

Wklej URL, otrzymaj krótki link

Bez rejestracji. Link działa 30 dni. Zarejestruj się, aby zachować go na zawsze.

Za darmo, bez rejestracji · 2 dziennie

Wypróbuj Elido

Skracarka URL hostowana w UE: własne domeny, głęboka analityka i otwarte API. Darmowy plan - bez karty kredytowej.

Tagi
are qr codes safe
quishing
qr code phishing
qr code scam
malicious qr code
qr code security

Czytaj dalej