Ključni izsledki
- Kode QR so enako nevarne kot zlonamerne povezave v e-pošti.
- Te kode vsebujejo povezave, s katerimi lahko odprete aplikacije, začnete telefonske klice, delite svojo lokacijo in drugo.
- Zaščitite se tako, da se izognete kodam QR in namesto tega uporabite povezavo.
Namesto da bi z golimi rokami pobirali umazan restavracijski meni, smo se navadili na higieno QR kod. Toda te so lahko nekoliko bolj umazane in veliko bolj nevarne, kot si morda mislite.
Leta 2015 je nemški ljubitelj kečapa skeniral kodo QR na njihovi steklenici Heinza in bil poslan naravnost na porno stran. To bi lahko bilo neprijetno, vendar so slepo skeniranje kod QR hujše posledice. Glede na storitev upravitelja gesel 1Password lahko kode QR sprožijo telefonske klice, izdajo vašo lokacijo, začnejo telefonski klic, ki razkrije vaš ID klicatelja, in še več. Torej, kaj lahko storimo glede tega?
"Vsi smo postali pogojeni s skeniranjem kode QR za brskanje po meniju ali celo za plačilo računov, kiberkriminalci pa to zdaj izkoriščajo z uporabo zlonamernih kod QR," Craig Lurey, strokovnjak za kibernetsko varnost in sodelavec -ustanovitelj Keeper Security, je povedal Lifewire po elektronski pošti. "Torej, kar lahko izgleda kot koda za plačilo parkirnega avtomata in bo spletno mesto videti neverjetno zakonito, dejansko vnašate podatke o svoji kreditni kartici neposredno v bazo podatkov tatov."
Slabe povezave
Koda QR je le bližnjica do povezave, ki jo lahko prebere kamera vašega telefona in nato dekodira. Vsi smo bili izurjeni, da nikoli ne kliknemo povezave v e-poštnem sporočilu, tudi če je videti zakonita. Toda povezave s kodo QR so prav tako nevarne in imajo dodatno težavo, da ne vidite, kam vodijo, dokler jih ne skenirate.
Ko pomislimo na povezave, pomislimo na URL-je, ki nas vodijo na spletna mesta. In v primeru vdora v pornografijo Heinz ketchup je bila to težava - Heinz je pustil, da ime domene zastara, nekdo drug pa jo je kupil in nato naložil z umazanimi slikami. URL-ji so nevarni, kot ponazarja Lureyjeva prevara z lažnim predstavljanjem parkirnih avtomatov, vendar lahko povezave naredijo veliko več.
»Eden največjih problemov je, da v nasprotju s spletnimi stranmi povezave QR do skrajšanih URL-jev redko prepoznajo ime podjetja,« je za Lifewire po e-pošti povedal Monti Knode, nekdanji poveljnik 67. operativne skupine USAF Cyberspace. "Oseba klikne nanjo in domneva, da bo ponudila restavracijski meni, dnevni red konference ali celo dobrodelno povezavo, in prav lahko gre za ponarejeno spletno mesto ali zlonamerno povezavo, ki prenese kodo na vaš računalnik ali mobilno napravo."
Na naših telefonih lahko povezave sprožijo aplikacije. Povezava Google Maps se na primer odpre v aplikaciji za zemljevide. Povezave lahko sprožijo tudi telefonske klice, dodajo stike v vaš imenik (in tako poskrbijo, da bodo prihodnji klici in e-poštna sporočila videti legitimni), lahko delijo vašo lokacijo in še več.
Ena domiselna prevara vključuje napačno spreminjanje obstoječe zakonite kode QR in njeno uporabo za preusmerjanje žrtev. Oglaševalec Robert Barrows je delil zgodbo o svojem Video Enhanced Gravemarker.
"Spoznal sem, da bi lahko prišlo do več težav s kodami QR na nagrobnikih," je Barrows povedal Lifewire po elektronski pošti. "Kaj se zgodi, če črnilo na kodi QR sčasoma zbledi? Ali se bo povezava povezala na popolnoma drugo spletno mesto? Kaj se zgodi, če nekdo spremeni kodo QR z markerjem?"
Enako se lahko zgodi z oglaševalskimi plakati, meniji ali katero koli kodo QR.
Zaščitite se
Prvi korak pri zaščiti je zavedanje. Nikoli ne skenirajte kode QR, razen če ste prepričani, da je varna. Kar v resnici pomeni, da nikoli ne skenirajte kode QR.
Če pa morate skenirati, da se prijavite v restavracijo ali bar ali si ogledate meni, se najprej prepričajte, da koda ni bila spremenjena ali prekrita z nalepko druge kode QR. En nasvet je, da izklopite samodejno skeniranje kode QR v nastavitvah telefona, če je to mogoče. Toda v resnici je najboljša zaščita ta, da smo previdni.
»Ko je mogoče, tako kot pri morebitnih povezavah do lažnega predstavljanja, priporočamo, da greste neposredno na spletno mesto ponudnika, da pridobite informacije, ki jih iščete,« je za Lifewire po e-pošti povedal Dave Cundiff, CISO podjetja Cyvatar za kibernetsko varnost. "V večini primerov informacije gostujejo na spletu in so dostopne neposredno nekje na spletnem mestu ponudnika."
Če povezava ni na voljo, je ne skenirajte. To je veliko manj priročno, vendar ne tako neprijetno kot dnevi ali tedni govorjenja o posledicah zlonamerne povezave.
