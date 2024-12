Kody QR obchodzą właśnie swoje 30. urodziny. Przez ten czas udało im się zdobyć dość dużą popularność. Chętnie sięga po nie m.in. marketing, turystyka czy transport. Nie jest w zasadzie żadnym zaskoczeniem, że stały się one interesujące również dla cyberprzestępców. Potwierdzeniem tego jest badanie zrealizowane przez Cisco Talos, z którego wynika, że aż 60% wszystkich e-maili zawierających kody QR to spam, a część z nich to nośniki złośliwych linków.

Wraz z rosnącą popularnością QR kodów zaczęły pojawiać się również zagrożenia, wynikające z wykorzystania ich przez cyberprzestępców. Zespół Cisco Talos bada kody QR, poprzez wyodrębnianie ich z obrazów osadzonych w wiadomościach e-mail oraz załączonych plików PDF. Wyniki analiz pokazują, że aż 60% wszystkich e-maili zawierających kody QR to spam, a część z nich zawiera złośliwe linki, za pomocą których cyberprzestępcy próbują wykradać dane osobowe. To sprawia, że kody QR stanowią poważne wyzwanie zarówno dla użytkowników, jak i systemów ochrony przed zagrożeniami.Kody QR występują w około 1 na 500 wiadomości e-mail na świecie. Jednak ich skuteczność w omijaniu filtrów antyspamowych sprawia, że znaczna część trafia do skrzynek odbiorczych użytkowników, przez co problem może wydawać się większy, niż jest w rzeczywistości. Niestety kody QR, w odróżnieniu od tradycyjnych adresów URL, są o wiele trudniejsze do wykrycia. Dlatego tak istotne jest, aby użytkownicy zawsze sprawdzali źródło kodu QR przed jego zeskanowaniem, chroniąc się w ten sposób przed potencjalnymi zagrożeniami.Na szczęście, złośliwe kody QR występują w zdecydowanie mniejszym odsetku wiadomości. Na ogół są one używane w e-mailach z linkami do stron phishingowych. Jednym z najczęstszych zagrożeń związanych z tymi kodami są próby oszustw MFA (uwierzytelnianie wieloskładnikowe), które mają na celu wyłudzanie haseł użytkowników. Chociaż liczba takich wiadomości jest stosunkowo niewielka, ich skuteczność oraz trudność w wykryciu stanowią istotne wyzwanie dla użytkowników i narzędzi bezpieczeństwa. Warto zatem zachować czujność podczas korzystania z kodów QR, zwłaszcza przesyłanych w wiadomościach e-mail.Jednym z problemów, z jakimi mierzą się specjaliści ds. bezpieczeństwa, jest brak możliwości monitorowania ruchu generowanego po zeskanowaniu kodów QR otrzymanych w wiadomościach e-mail, jeśli urządzenie użytkownika nie jest podłączone do firmowej sieci Wi-Fi. W takiej sytuacji cała komunikacja między użytkownikiem a atakującym odbywa się przez sieć komórkową, która zazwyczaj nie jest objęta monitoringiem korporacyjnych systemów bezpieczeństwa, a to znacząco utrudnia obronę.Niestety kody QR, wyświetlane w formie obrazów, stanowią wyzwanie dla systemów antyspamowych, ponieważ ich identyfikacja wymaga kilku złożonych etapów. System musi najpierw rozpoznać obecność kodu QR w obrazie, następnie zdekodować jego zawartość, a na końcu przeanalizować uzyskane dane, takie jak linki czy inne informacje.Ta wieloetapowa procedura sprawia, że spamerzy chętnie wykorzystują kody QR, stale szukając nowych sposobów na obejście zaawansowanych filtrów antyspamowych. Jednym z nich jest tworzenie kodów QR z użyciem znaków Unicode, które umożliwiają osadzanie punktów danych w niestandardowych formatach, aby utrudnić ich analizę.Dodatkowo cyberprzestępcy coraz częściej wykorzystują tzw. „sztukę kodów QR” (QR Code Art), w której punkty danych kodu QR są sprytnie wkomponowane w artystyczny obraz, przez co kod QR jest niemal nierozpoznawalny. Użytkownicy mogą nieświadomie zeskanować taką grafikę i zostać przekierowani na złośliwą stronę.Chociaż istnieją protokoły, które automatycznie neutralizują złośliwe adresy URL (proces znany jako „defanging”), wdrożenie podobnych rozwiązań dla kodów QR pozostaje wyzwaniem. Eksperci Cisco Talos wskazują dwie skuteczne metody ich unieszkodliwiania. Jednym z nich jest zaciemnienie modułów danych, czyli czarnych i białych kwadratów w obrębie kodu QR, które przechowują zakodowane dane.Jednak na podstawie badań Cisco Talos, znacznie łatwiejszym sposobem jest usunięcie jednego lub więcej wzorców wykrywania pozycji (tzw. finder patterns). Są to duże kwadratowe pola umieszczone w trzech z czterech rogów kodu QR, które służą skanerowi do określenia orientacji i położenia kodu. Usunięcie ich sprawia, że kod QR staje się nieskanowalny przez praktycznie wszystkie skanery, co uniemożliwia przekierowanie użytkowników na strony phishingowe lub inne niebezpieczne witryny.Nie powinniśmy także omijać podstawowych zasad bezpieczeństwa – podawanie swojej nazwy użytkownika i hasła na nieznanej stronie zawsze wiąże się z pewnym ryzykiem. Oczywiście zawsze też lepszym rozwiązaniem jest ręczne wpisanie adresu witryny, do której chcemy się zalogować, zamiast korzystać z linków pochodzących od nieznanych osób.