Lucie MudrákováMožná si už ani nepamatujete, kdy jste QR kód naskenovali poprvé. Jistě ale můžeme říct, že se stávají běžnou součástí našich životů. Najdeme je na elektronických koloběžkách a sdílených kolech, fungují jako vstupenka do divadla nebo na koncert, lékaři nám je posílají jako elektronický recept nebo nám usnadňují bankovní platby. S blížícími se prázdninami je určitě potkáme také na výletech v ZOO, při prohlídkách kulturních památek a na stolech v restauracích.
Většina z nás už má zažito, že klikat na odkazy nebo spouštět soubory z nevyžádané komunikace je velmi riskantní. Přemýšlíme tak ale i při skenování QR kódu? QR kódy jsou přitom daleko náchylnější ke zneužití – jsou na každém kroku a veřejně přístupné. A největším rizikem jsou pro naši peněženku.
QR kód je zkratka pro„Quick Response“ (rychlá reakce). Jedná se o typ strojově snímatelného čárového kódu, který je určen k okamžitému přečtení digitálním zařízením. QR kód může obsahovat až 4 296 alfanumerických znaků. Běžně jich QR kódy obsahují ale ještě mnohem méně. Díky tomu je můžeme snadno naskenovat naším chytrým telefonem.
Pomocí čtečky QR kódu, tedy speciální aplikace v našem zařízení. Novější chytré telefony umožňují skenovat QR kód také prostřednictvím fotoaparátu. Jednoduše otevřete fotoaparát, jako byste chtěli fotit, a namíříte ho na QR kód, který tím naskenujete. Následná akce pak závisí na údajích, které QR kód obsahuje. Kódy mohou sloužit k otevření webové stránky, stažení souboru, přidání kontaktu, připojení k síti Wi-Fi, k provedení platby a mnoha dalším akcím. QR kódy jsou velmi univerzální a lze je přizpůsobit tak, aby obsahovaly loga. Dynamické verze QR kódů dokonce umožňují kdykoli změnit obsah nebo akci.
Jak útočníci zneužívají QR kódy ke krádeži našich peněz?
1. Přesměrují nás na škodlivé webové stránky
Phishing, tedy zasílání podvodných odkazů e-mailem nebo zprávami v chatovacích aplikacích či přes SMS, již dobře známe. Útočníci nás ale mohou přesměrovat na podvodné stránky i prostřednictvím QR kódů. Zvlášť nebezpečné je to v případě, pokud jsou kódy umístěny na frekventovaných a snadno dostupných místech, jako jsou například lampy veřejného osvětlení, nebo v blízkosti bank či jiných finančních institucí, kde uvěříme, že jsou důvěryhodné.
V jednom z nedávných případů z USA podvodníci umístili podvodné nálepky s QR kódy na veřejné parkovací automaty v několika městech v Texasu a nasměrovali lidi na falešné platební brány. Pokud uživatelé kódy naskenovali a na zobrazených webových stránkách zadali platební údaje, dali útočníkům do rukou klíče ke svým účtům.
🚨Scam Alert🚨
APD Financial Crimes detectives are investigating after fraudulent QR code stickers were discovered on City of Austin public parking meters. People attempting to pay for parking using those QR codes may have been directed to a fraudulent website and made a payment. pic.twitter.com/Gb8gytCYn7— Austin Police Department (@Austin_Police) January 3, 2022
K vytvoření QR kódů slouží celá řada free generátorů na internetu i generátory se čtečkami kódů v podobě mobilních aplikací. Vytvořit QR kód tak může prakticky kdokoliv, i podvodníci. A stejně tak platí – pokud si i vy chcete vygenerovat QR kód, měli byste pečlivě vybírat, jaký volně dostupný generátor využijete. Zde se vám vyplatí udělat si malý průzkum napříč recenzemi a hodnocením jednotlivých nástrojů.
2. Podvodem nás přinutí ke stažení škodlivého souboru nebo aplikace
Mnoho barů a restaurací používá QR kódy ke stažení jídelního lístku ve formátu PDF nebo k instalaci aplikace, která umožní objednávat jídlo a pití. Útočníci mohou kód snadno zfalšovat a pokusit se přimět oběť ke stažení škodlivého PDF souboru nebo podvodné mobilní aplikace. Ty mohou obsahovat třeba bankovní malware.
⇒ Dropper: Skrytý dárek v aplikaci
3. Spustí přes QR kód akci v našem zařízení
QR kódy mohou spouštět akce přímo v zařízení. Tyto akce pak závisí na aplikaci, která je čte. A také tato aplikace může být falešná a nastrčená podvodníky.
Existuje několik základních akcí, které je schopna spustit každá základní čtečka QR kódů. Patří mezi ně například připojení zařízení k síti Wi-Fi, odeslání e-mailu nebo zprávy SMS s předem daným textem nebo uložení kontaktních údajů do zařízení. Všechny tyto aktivity mohou být zneužity k připojení zařízení do kompromitované sítě nebo k odesílání zpráv jménem oběti.
4. Odkloní naše platby nebo je budou podvodem přijímat
Většina finančních aplikací dnes umožňuje provádět QR platby. Kódy v tomto případě obsahují údaje o příjemci peněz. Mnoho obchodů tyto kódy poskytuje svým zákazníkům a usnadňuje tak peněžní transakce. Útočníci však mohou údaje v těchto QR kódech nahradit vlastními bankovními detaily a přijímat platby na své účty. Mohou také generovat falešné QR kódy s požadavky na inkaso.
5. Ukradnou uživateli přístup k účtu nebo jeho identitu
Některé aplikace (WhatsApp, Discord nebo Telegram) používají QR kódy k ověření uživatelských relací a umožňuje tak přihlášení k účtům. Zkrátka tak nahrazují přihlašování heslem. QR kód například skenujeme při otevírání aplikace WhatsApp ve svém počítači. Právě na této chatovací platformě se již objevil útok označovaný jako QRLjacking. Útočníci oklamali uživatele tím, že se vydávali za provozovatele chatovací aplikace a přiměli je k naskenování jejich podvodný QR kódů. A dveře k jejich účtům měli otevřené.
V našich chytrých telefonech nosíme v různých aplikacích velmi citlivé údaje. QR kódy se již v některých zemích používají jako certifikáty k ověření údajů o dané osobě, tedy jako forma občanského průkazu nebo očkovacího průkazu. V Česku takto funguje například aplikace Tečka k ověření platnosti očkování proti COVID-19. A tyto informace podvodníky velmi zajímají.
Útoky prostřednictvím manipulativní komunikace spadají pod metody takzvaného sociálního inženýrství. Jejich cílem je z nás vylákat co nejvíce osobních informací a zneužít je k dalším útokům – zasílání phishingových zpráv nebo podvodným telefonátům.
Jak naskenovat QR kód bezpečně?
- Před skenováním QR kódu na veřejném místě si zkontrolujte, zda s ním nebylo manipulováno, například zda nezakrývá jiný QR kód.
- Neskenujte náhodně nalezené QR kódy nebo kódy v nevyžádaných zprávách.
- S kódy pracujte stejně opatrně jako s odkazy nebo přílohami v e-mailech nebo chatovacích aplikacích. Neznáte odesílatele? V tom případě kód neskenujte.
- Buďte velmi opatrní, pokud chcete QR kód použít k platební transakci. Zvažte použití jiné dostupné platební metody.
- Pokud to čtečka QR kódů ve vašem zařízení umožňuje, zakažte provádět automatické akce při skenování QR kódu, jako je návštěva webové stránky, stahování souboru nebo připojení k síti Wi-Fi.
- Po naskenování se pečlivě podívejte na URL adresu a zkontrolujte, zda je legitimní. Přesto je často lepší nezadávat přihlašovací údaje nebo osobní údaje na webu, na který jste se dostali prostřednictvím QR kódu. Pokud se vám něco nezdá, otevřete prohlížeč a zadejte adresu sami.
- Nesdílejte QR kódy, které obsahují citlivé údaje, například kódy používané pro přístup k aplikacím nebo kódy obsažené v dokumentech a zdravotních potvrzeních.
- Pro generování QR kódu používejte ověřený generátor. Aplikace na generování kódů mohou také ověřit, zda je nějaký QR kód pravý a provádí požadovanou akci.
- Operační systém svého chytrého telefonu i všechny aplikace pravidelně aktualizujte.
- Používejte na svém chytrém telefonu kvalitní bezpečnostní software.
Martin Dohnal
