QR КОДОВИ – НОВ НАЧИН НА НАПАД ВРЗ ПРИВАТНОСТА

Обликувајќи го секојдневниот живот, технологијата го пласира QR кодот, кој значително го олеснува трансферот на информацијата. Црно-белиот квадрат води кон толку шарени содржини, што е невозможно да не сретнете барем неколку од нив во текот на еден ден.

Како следбеник на баркодот, QR кодовите ја зацврстуваат својата улога во речиси секоја сфера. Денес, секој човек има уред за скенирање на QR код во својот џеб –  паметен телефон. Овој факт, дотолку повеќе ги прави привлечни и ефикасни во својата намена, па експанзијата беше неизбежна. Рестораните своите менија ги заменија со единствена налепница со QR код. Компаниите на своите производи го поставуваат својот QR код, кој води до нивната онлајн страна, исто како што бизнис картичките водат до профилот со информации за засегнатото лице.

Интересни историски факти

QR кодот бил измислен во 1994 година од страна на Масахиро Харa, јапонски инженер. Името го добива како кратенка од изразот „Quick Response Code“ Создавачот одговорил на потребата за создавање на код што ќе може да генерира во себе повеќе од 20 карактери – лимитот на баркодовите, кој бил главна пречка за работење со нив. Така, Хара ги исполнил очекувањата со тоа што QR кодот може да содржи до 7 089 карактери и препознава повеќе азбуки и симболи. QR кодот зема замав особено со негово имплементирање во автомобилската индустрија. Преку кодот, залепен на кутијата во која се наоѓале автомобилски делови, лесно се следело до каде е нивниот транспорт. Исто значајно, во прехранбената индустрија, QR кодот кој бил прилепен на прехранбениот производ, при скенирањето го прикажувал процесот низ кој што поминала храната.

QR кодот како начин за малициозен упад

Иако примарната мисија на Хара кога го создавал QR кодот била целосно насочена кон олеснување на функционирањето на производството, а екстензивно гледано – на човекот, сепак QR кодот го нашол своето место и во малициозниот домен. Во интервју дадено по повод освојување на награда, Хара изјавил:

„Не се осмелувам да прецизирам какви луѓе ќе го користат. Само сакам да им дозволам на многу луѓе да го користат кодот, да смислат нови начини како да го користат и да ги применат овие идеи во пракса. Ова е начинот на кој, би сакал да мислам дека се направени еволутивни подобрувања во QR кодот“.

Така, покрај луѓето кои ја искористија подобноста на овој код за да ни го олеснат секојдневието, постојат и такви кои настојуваат да го дестабилизираат.

Начините за малициозен упад во личните податоци и информации се безбројни

1. QRLjacking – е кратенка од целиот израз Quick Response Code Login Jacking. Ова е напад преку кој се манипулира со сите апликации што ја користат функцијата „Најави се со QR код“ (Whatsapp, Viber), за да лицата кои го спроведуваат нападот, ги добијат вашите информации за вклучување – корисничко име и лозинка. Потоа, секако, цел профил е во нивни раце.
2. Quishing или целиот израз – QR code phishing, е процес во кој овој код се користи за фишинг напади. Фишинг е поим на дигиталното време кој претставува виртуелна измама со цел крадење на податоци. Сајбер криминалците ги праќаат фишинг пораките до својата мета, во име на веќе постоечки и легитимен ентитет (компанија, институција или личност). Во таа порака најчесто се бара да се внесат некои лични податоци, кои по самото внесување, веднаш преоѓаат во владение на сајбер измамниците. Разликата е во средството за пренесување до малициозната страница за впишување на податоците. Кај фишинг нападите тоа е линкот, а во процесот на quishing, се користи QR кодот.
3. Baiting или „примамување“ е вид на социјален инженерски напад, каде QR кодовите се користат како мамки, поставени на јавни места, упадливи во очите на случајните минувачи. Истите, поради содржината која е напишана заедно со нив, ќе ги скенираат и оттогаш – нападот е веќе активен. Baiting е многу сличен процес на фишингот, а главната разлика е тоа што во процесот на baiting постои елементот на ветување дека лицето – мета ќе добие нешто. Совршено плодно поле за овој вид измами се понудите за бесплатно преземање музика или филмови, кои за да го остварат посакуваното, претходно мора да ги впишат податоците за најавување.

• Клонирање. Самиот назив нè упатува во суштината на овој напад – „хакерите“ создаваат идентичен код како веќе постоечки и легитимен QR код. За да се добие чувство на легитимитет, малициозниот QR код се наоѓа на веб страница или е дел од содржината на е-пошта на легитимни, постоечки лица, компании или институции. Така, лицето пред да го скенира кодот, нема да се сомнева во веродостојноста, мислејќи дека го познава изворот на QR кодот.
• Апликациите за скенирање на QR кодови се вообичаено безбедни, но можна е злоупотреба и преку нив. Имено, во 2020 година апликацијата Barcode Scanner која може да се преземе од Google Play „инфицирала“ 10 милиони корисници. Ова било постигнато преку само едно надградување (update) на апликацијата, кое се докажало дека не е изведено од оригиналниот издавач, туку од лице/лица под псевдонимот „The space team“.

Што ги прави QR кодовите посебни?

Тие се многу слични едни на други. За жал, малициозноста на QR кодовите визуелно е незабележлива. Тие се толку збунувачки и еднолични, што е невозможно да се забележи некаква важна разлика. Така, лесно ги поминуваат филтрите за безбедност на антивирусните програми. Ова ги прави подобни за погореспоменатите видови за измами. Фактот што сме навикнати на нивна употреба, само го зголемува ризикот од измами.

Сепак, она што е заедничко со сите други видови на сајбер напади е чувството на итност. Вообичаениот наратив постои и тука, и таргетираното лице кое добило мејл кој содржи QR код заедно со него ќе добие упатство дека е потребно да го изврши побаруваното дејството во одреден краток рок. 

Измами со QR кодови кај нас

Најактуелна измама кај нас беше quishing нападот, во кој таргет беа студентите кои го користат правото на средства за студентски оброк.

Во текот на октомври – ноември, 2023 година, започна процесот на исплаќање на средствата на студенти, наменети за студентски оброк. Шпаркасе Банка е партнер во овој процес, преку чии картички, студентите ќе можат да ги употребуваат префрлените средства.

Сајбер измамниците совршено го темпираа овој момент. Беа пратени бројни е-мејлови на е-мејл адресите на студентите. Мејлот содржеше наратив кој е поврзан со остварувањето на студентскиот оброк и QR код, кој водеше до веб страна.

Веб страната инсинуираше на легитимната веб страна на Шпаркасе Банка и таму, меѓудругото, се бараа следниве информации: број на картичка од родител и CVV кодот од картичката. Сомнително беше тоа што за испраќање на средства не е потребен ниту бројот на картичката, ниту CVV кодот.

На што да внимаваш?

Со оглед на дизајнот и фактот дека не може да се пронајде опасност при едноставно набљудување на самиот QR код, она што прво треба да се истражи е – изворот на QR кодот (е-мејл испраќач, веб страница, налепница со QR код на јавно место).

Доколку е-пошта не е позната, се препорачува да не се пристапи веднаш кон отворање на пратената содржина. Ако пак поштата е испратена во име на некоја институција, најдобро е преку понатамошна комуникација со истата, да се провери легитимноста на пораката.

Кога се работи за QR код затекнат на одредена веб страница, потребно е да се погледне URL линкот. Доколку е премногу долг и сомнителен, може да стане збор за страница која е клон на веќе постоечка и легитимна.

За авторот: Јана Иванова е магистер по правни науки. Во текот на своето студирање била вклучена во повеќе невладини организации, а почетоците на нејзината кариера се во Македонско здружение на млади правници, како теренски правник. Нејзината цел е да има импакт врз општествените текови преку својата правничка кариера.

Текстот е напишан како дел од кампањата „Приватноста е бесценета. Заштити го твојот дигитален свет!“. Оваа иницијатива е посветена на зајакнување на дигиталната генерација со цел да ја преземе контролата врз своите лични податоци.