Kľúčové poznatky
- QR kódy sú rovnako nebezpečné ako škodlivé odkazy v e-mailoch.
- Tieto kódy obsahujú odkazy, ktoré môžu otvárať aplikácie, telefonovať, zdieľať svoju polohu a pod.
- Chráňte sa tak, že sa vyhnete QR kódom a namiesto toho použijete odkaz.
Namiesto vyberania špinavého jedálneho lístka reštaurácie holými rukami sme si zvykli na hygienu QR kódov. Ale tie môžu byť trochu špinavšie a oveľa nebezpečnejšie, než si myslíte.
V roku 2015 nemecký milovník kečupu naskenoval QR kód na svojej fľaši Heinz a bol poslaný priamo na porno stránku. Mohlo by to byť trápne, no horšie následky má slepé skenovanie QR kódov. Podľa služby správcu hesiel 1Password môžu QR kódy spúšťať telefónne hovory, prezradiť vašu polohu, začať telefonický hovor, ktorý odhalí vaše ID volajúceho a ďalšie. Čo s tým teda môžeme urobiť?
„Všetci sme sa naučili skenovať QR kód, aby sme si mohli prezerať menu alebo dokonca platiť účty, a kyberzločinci to teraz využívajú pomocou škodlivých QR kódov,“Craig Lurey, expert na kybernetickú bezpečnosť a spol. -zakladateľ Keeper Security, povedal Lifewire e-mailom. „Takže to, čo môže vyzerať ako kód na zaplatenie parkovacieho automatu a stránka bude vyzerať neuveriteľne legitímne, v skutočnosti zadávate údaje o svojej kreditnej karte priamo do databázy zlodejov.“
Zlé odkazy
QR kód je len skratka k odkazu, ktorý dokáže prečítať fotoaparát vášho telefónu a potom ho dekódovať. Všetci sme boli vyškolení, aby sme nikdy neklikali na odkaz v e-maile, aj keď to vyzerá legálne. Odkazy s QR kódom sú však rovnako nebezpečné a majú ďalší problém, že neuvidíte, kam vedú, kým ich nenaskenujete.
Keď myslíme na odkazy, myslíme na adresy URL, ktoré nás vedú na webové stránky. A v prípade hacknutia porna od Heinza s kečupom to bol problém – Heinz nechal doménové meno prepadnúť a niekto iný ho kúpil a potom naň naložil špinavé obrázky. Webové adresy sú nebezpečné, ako ukazuje Lureyho phishingový podvod s parkovacími automatmi, ale odkazy dokážu oveľa viac.
„Jedným z najväčších problémov je, že na rozdiel od webových stránok, odkazy QR na skrátené adresy URL len zriedka identifikujú obchodné meno,“povedal pre Lifewire e-mailom Monti Knode, bývalý veliteľ 67. skupiny kyberpriestorových operácií USA. „Človek naň klikne a predpokladá, že mu poskytne menu reštaurácie, program konferencie alebo dokonca charitatívny odkaz, pričom veľmi dobre môže ísť o sfalšovanú stránku alebo škodlivý odkaz, ktorý stiahne kód do vášho počítača alebo mobilného zariadenia."
V našich telefónoch môžu odkazy spúšťať aplikácie. Napríklad v mapovej aplikácii sa otvorí odkaz na Mapy Google. Odkazy môžu tiež spúšťať telefónne hovory, pridávať kontakty do vášho adresára (a preto sa budúce hovory a e-maily zdajú byť legitímne), môžu zdieľať vašu polohu a ďalšie.
Jeden dômyselný podvod zahŕňa nešikovnú úpravu existujúceho legitímneho QR kódu a jeho použitie na presmerovanie obetí. Inzerent Robert Barrows zdieľal príbeh o svojom Video Enhanced Gravemarker.
„Uvedomil som si, že s QR kódmi na náhrobných kameňoch môže byť niekoľko problémov,“povedal Barrows Lifewire e-mailom. "Čo sa stane, ak sa atrament na QR kóde časom rozpadne? Budete odkazovať na úplne inú webovú stránku? Čo sa stane, ak niekto zmení QR kód pomocou značky?"
To isté sa môže stať s reklamnými plagátmi, menu alebo akýmkoľvek QR kódom.
Chráňte sa
Prvým krokom, ako sa chrániť, je byť si vedomý. Nikdy neskenujte QR kód, pokiaľ si nie ste istí, že je bezpečný. Čo naozaj znamená, nikdy neskenujte QR kód.
Ak sa však musíte naskenovať, aby ste sa mohli prihlásiť do reštaurácie alebo baru alebo si pozrieť menu, najprv sa uistite, že kód nebol sfalšovaný alebo prekrytý nálepkou s iným QR kódom. Jedným z tipov je vypnúť automatické skenovanie QR kódu v nastaveniach telefónu, ak je to možné. Ale naozaj, najlepšou ochranou je byť opatrný.
„Ak je to možné, rovnako ako v prípade potenciálnych phishingových odkazov, odporúča sa prejsť priamo na webovú stránku poskytovateľa, aby ste získali informácie, ktoré hľadáte,“povedal Dave Cundiff, CISO spoločnosti Cyvatar pre kybernetickú bezpečnosť, prostredníctvom e-mailu Lifewire. "Vo väčšine prípadov sú informácie umiestnené na webe a sú prístupné niekde priamo na webovej stránke poskytovateľa."
Ak odkaz nie je dostupný, neskenujte ho. Je to oveľa menej pohodlné, ale nie také nepohodlné ako hovoriť dni alebo týždne, keď sa vysporiadate s dôsledkami škodlivého odkazu.