Naskenování QR kódu může být nebezpečnější, než si uvědomujete

Místo abychom sbírali špinavé menu restaurace holýma rukama, už jsme si zvykli na hygienu QR kódů. Ale ty mohou být trochu špinavější a mnohem nebezpečnější, než si myslíte.

V roce 2015 německý milovník kečupu naskenovali QR kód na jejich láhvi Heinz a byl poslán přímo na porno stránku. To by mohlo být trapné, ale horší důsledky má slepé skenování QR kódů. Podle služby správce hesel 1Password, QR kódy mohou spouštět telefonní hovory, prozradit vaši polohu, zahájit telefonní hovor, který odhalí vaše ID volajícího a další. Co s tím tedy můžeme dělat?

"Všichni jsme byli zvyklí skenovat QR kód, abychom mohli procházet menu nebo dokonce platit účty, a kyberzločinci toho nyní využívají pomocí škodlivých QR kódů," Craig Lurey

, expert na kybernetickou bezpečnost a spoluzakladatel Keeper Security, řekl Lifewire e-mailem. "Takže to, co může vypadat jako kód k zaplacení parkovacího automatu, a stránka bude vypadat neuvěřitelně legitimně, ve skutečnosti zadáváte údaje o své kreditní kartě přímo do databáze zloděje."

Špatné odkazy

QR kód je jen zkratka k odkazu, který může být načten fotoaparátem vašeho telefonu a poté dekódován. Všichni jsme byli vyškoleni, abychom nikdy neklikali na odkaz v e-mailu, i když to vypadá legitimně. Ale odkazy s QR kódem jsou stejně nebezpečné a mají další problém, že nevidíte, kam vedou, dokud je nenaskenujete.

Když myslíme na odkazy, myslíme na adresy URL, které nás zavedou na webové stránky. A v případě Heinz kečupového pornohacku to byl problém – Heinz nechal doménové jméno zaniknout a někdo jiný ho koupil a pak na něj naložil špinavé obrázky. Adresy URL jsou nebezpečné, jak ukazuje Lureyho phishingový podvod s parkovacími automaty, ale odkazy toho dokážou mnohem víc.

„Jedním z největších problémů je, že na rozdíl od webových stránek odkazy QR na zkrácené adresy URL jen zřídka identifikují název firmy,“ Monti Knode, bývalý velitel USAF 67th Cyberspace Operations Group, řekl Lifewire e-mailem. „Člověk na to klikne a předpokládá, že to nabídne menu restaurace, program konference nebo dokonce charitativní odkaz, a velmi dobře to může být podvržená stránka nebo škodlivý odkaz, který stahuje kód do vašeho počítače nebo mobilu přístroj."

Na našich telefonech mohou odkazy spouštět aplikace. V aplikaci mapy se například otevře odkaz na Mapy Google. Odkazy mohou také spouštět telefonní hovory, přidávat kontakty do vašeho adresáře (a proto se budoucí hovory a e-maily zdají být legitimní), mohou sdílet vaši polohu a další.

Jeden důmyslný podvod zahrnuje nedokonalou úpravu existujícího legitimního QR kódu a jeho použití k přesměrování obětí. Inzerent Robert Barrows sdílel příběh o svém Video Enhanced Gravemarker.

"Uvědomil jsem si, že s QR kódy na náhrobcích může být několik problémů," řekl Barrows Lifewire e-mailem. „Co se stane, když se inkoust na QR kódu časem rozloží? Uzavřete odkaz na úplně jiný web? Co se stane, když někdo změní QR kód pomocí značky?"

Totéž se může stát s reklamními plakáty, menu nebo jakýmkoli QR kódem.

Chránit se

Prvním krokem v ochraně sebe je být vědomý. Nikdy neskenujte QR kód, pokud si nejste jisti, že je bezpečný. Což ve skutečnosti znamená, nikdy neskenujte QR kód.

Pokud ale musíte skenovat, abyste se přihlásili do restaurace nebo baru nebo si prohlédli menu, nejprve se ujistěte, že kód nebyl zfalšován nebo překryt nálepkou s jiným QR kódem. Jedním z tipů je vypnout automatické skenování QR kódu v nastavení telefonu, pokud je to možné. Ale opravdu, nejlepší ochranou je být opatrný.

"Pokud je to možné, stejně jako u potenciálních phishingových odkazů, doporučujeme přejít přímo na webovou stránku poskytovatele a získat informace, které hledáte," Dave Cundiff, CISO společnosti Cyvatar pro kybernetickou bezpečnost, řekl Lifewire prostřednictvím e-mailu. "Ve většině případů jsou informace hostovány na webu a jsou přístupné někde přímo na webu poskytovatele."

Pokud odkaz není k dispozici, neskenujte jej. Je to mnohem méně pohodlné, ale není to tak nepohodlné jako mluvení po dnech nebo týdnech, které se vypořádají s dopadem škodlivého odkazu.