Hackeři mají snahu se k penězům nebo datům obětí dostat jakýmkoliv způsobem. Běžný přístup k informacím nebo na webové stránky, jaký zprostředkovává dnes zcela běžná a široce rozšířená metoda, může být pro mnoho uživatelů smartphonů nebezpečná. Řeč je o QR kódech.
Po naskenování černobílého čtvercového vzoru zařízení prostřednictvím čtečky QR kódů rozpozná obsah sdělení, kterým je často i URL adresa. U informativních QR kódů to například bývá odkaz na místo v Mapách Google, aplikaci ke stažení nebo stažení dokumentu PDF.
S QR kódy se můžete setkat i na stolech v restauracích. Po naskenování mobilem vám zobrazí jídelní lístek. Aplikace, kterou je například Google Lens, dokáží QR kód načíst pomocí fotoaparátu mobilu okamžitě. U modernějších zařízení je tato funkce už integrována do aplikace fotoaparátu.
Při častém skenování QR kódů se ale snadno můžete stát obětmi podvodníků. Některé QR kódy totiž vedou na škodlivé webové stránky, jejichž cílem je získat citlivé údaje. Tomuto podvodu s QR kódy se také říká "quishing".
Falešné parkovací lístky: podvody mohou číhat všude
IT experti ze společnosti HP zjistili, že QR kódy lze zneužít jako návnadu ke krádeži údajů o platebních kartách. Podvodníci například předstírají, že jsou doručovateli balíků, a posílají falešné e-maily nebo textové zprávy, ve kterých žádají platbu.
Ze zahraničí jsou známy i případy, kdy pachatelé zneužili QR kódy na parkovacích lístcích. Na čelní skla vozidel umísťovali falešná oznámení o povinnosti zaplatit parkovné, včetně QR kódů pro provedení platby.
Quising prostřednictvím e-mailu: nenechte se zmanipulovat do naskenování kódu
Manipulativní QR kódy se opakovaně objevují i v e-mailových schránkách nic netušících uživatelů. V rozesílaných zprávách se podvodníci často snaží vyvolat pocit naléhavosti. Setkat se můžete například s formulací: "Naskenujte tento QR kód, abyste zabránili smazání svého účtu."
Mohlo by vás zajímat
Pastí mohou být i časově omezené nabídky nebo údajná urgentní kontrola totožnosti prostřednictvím QR kódu. Stejně jako u běžných phishingových e-mailů je důležité věnovat pozornost odesílateli zprávy, pravopisu a kontextu (Opravdu jsem si něco objednal u DHL?).
Při skenování QR kódů pomocí mobilního telefonu se obvykle zobrazí URL adresa, na kterou odkaz vede. Jeho podoba může být první indicií, napovídající, zda se jedná o pokus o phishing. Pokud odkazuje na neznámou stránku, doporučujeme opatrnost.
Šíření škodlivého kódu prostřednictvím QR kódů: jde o reálnou hrozbu?
Sdružení IEEE Computer Society varuje, že kromě phishingových útoků kybernetičtí zločinci zneužívají QR kódy také k šíření malwaru. Metoda je velmi jednoduchá: oběť si naskenuje QR kód, poté navštíví webovou stránku, na kterou kód odkazuje, a už jen to stačí k tomu, aby se na pozadí systému spustilo stahování malwaru.
Stažený malware může otevřít zadní vrátka pro další přísun škodlivého kódu, nebo nepozorovaně ukrást data oběti a přeposlat je na připojený server, ovládaný zločinci. V horších případech mohou být infekce zaměřené na útok ransomwaru, což vede k zašifrování napadeného zařízení a požadování výkupného.
Mohlo by vás zajímat
Automatické stahování ze škodlivých webů je zpravidla blokováno nastavením zabezpečení a instalovaným bezpečnostním softwarem, který bývá součástí systémů smartphonů ve výchozím nastavení už od výrobců. Přesto ale stále představují potenciální riziko.
Útok medúzy: nebezpečí, které zprostředkoval skener v aplikaci
Nebezpečné jsou také útoky zaměřené na QR skenery, integrované do aplikací. V bezpečnostních kruzích se jim říká "útoky medúzy". Mezinárodní skupina výzkumníků ze sdružení Advanced Computing Systems Association před nimi vydala varování.
Ačkoli většina chytrých telefonů má dnes skenery QR kódů instalované ve výchozím nastavení, někteří poskytovatelé aplikací používají vlastní řešení, například populární online komunikátor WhatsApp. Naskenováním QR kódu v aplikaci se uživatelé například mohou přihlásit ke svému účtu ve webovém prohlížeči, aniž by museli zadávat jakékoli údaje.
Mohlo by vás zajímat
Při testu s osmi sty aplikacemi pro Android a iOS výzkumníci zjistili, že útokem "Medúza" lze kompromitovat 123 aplikací. U 46 z nich se dokonce jednalo o vysoké až kritické zranitelnosti.
Uživatel prostřednictvím aplikace naskenuje zmanipulovaný QR kód, který je falešně interpretován jako žádost o provedení konkrétních funkcí. Útočník tak může získat plnou kontrolu nad aplikací. Tento postup je také známý jako "QRjacking".
Jak se můžete před hackováním prostřednictvím QR kódu chránit
V rámci ochrany před nákazou prostřednictvím QR kódů je dobré dodržovat několik zásad. Předně: každý QR kód, který obdržíte jako příjemci v elektronické komunikaci, považujte za podezřelý.
To platí i pro soukromé zprávy prostřednictvím komunikačních aplikací, jako je WhatsApp, Facebook nebo Telegram. Přátelé, kolegové a rodinní příslušníci, se mohli stát obětmi hackerského útoku. Pokud podvodníci získají přístup k soukromému účtu, často připojené kontakty zneužívají jako distribuční seznam pro přeposílání podvodných zpráv.
Zvlášť ostražití byste měl být v případech, pokud vám osoba, od které jste obdrželi pochybnou zprávu, nikdy předtím QR kód neposlala. Je velmi pravděpodobné, že se jedná o pokus o podvod.
Používejte dvoufaktorové ověření
Bezpečnostní experti také doporučují, abyste si nastavili dvoufaktorové ověřování. Také si nastavte záložní e-mailové adresy a telefonní čísla pro případné obnovení účtů. Tímto způsobem si zachováte přístup ke svým účtům i v případě, že byste jej například ovládnutím kyberzločincem ztratili.
Software v chytrých telefonech a počítačích byste vždy měli mít aktuální. Mobilní webové prohlížeče mají integrovanou technologii pro rozpoznání podvodných odkazů.
Čím aktuálnější máte verze prohlížeče a mobilního operačního systému, tím větší je šance, že se při přístupu na nebezpečnou stránku na obrazovce zobrazí varování.
Pokud skenujete QR kódy na veřejných místech, například na reklamním plakátu, při výletu na informačních tabulích nebo v restauracích, zkontrolujte si, zda někdo QR kód nějakým způsobem neupravil nebo zcela nepřelepil jiným.
Zdroj: Wired, HP Wolf, IEEE Computer Society, Usenix
5 foto
