Moderní technologie často ulehčují náš život, ale zároveň vytvářejí nové příležitosti pro kyberzločince, kteří mohou narušit naše soukromí a ukrást naši identitu. S rostoucí popularitou Quick-Response kódů (QR) je nyní kyberzločinci využívají k provádění škodlivých aktivit.
QR kódy, vynalezené v 90. letech 20. století, získaly popularitu během pandemie. Od pandemie COVID-19 se využívání technologie QR kódů rapidně rozšířilo, protože zákazníci upřednostňovali bezkontaktní transakce. QR kódy se široce používají v různých odvětvích, od systémů sledování a dohledávání až po objednávání z jídelních lístků v restauracích nebo placení za parkování. Nicméně s tím, jak se tato technologie rozšířila, se kyberzločinci stále častěji zaměřují na naši rostoucí znalost této technologie.
QR kódy lze snadno skenovat pomocí chytrých telefonů, což spotřebitelům umožňuje přístup k propagačním akcím, digitálním vstupenkám a dalšímu obsahu pouhým namířením fotoaparátu telefonu na kód. Ne všechny QR kódy jsou však legitimní.
Proč jsou útoky pomocí kódů QR pro kyberzločince tak atraktivní?
Kódy QR jsou neodolatelným útokem už z několika důvodů. Nepřímá povaha QR kódů pomáhá skrýt nebezpečný obsah - nic nenasvědčuje tomu, že by sada pixelových čtverečků mohla představovat potenciální hrozbu. Zatímco mnoho jednotlivců si je vědomo, že by se měli mít na pozoru před phishingovými odkazy a podezřelými soubory v e-mailech, které se vydávají za e-maily od jejich banky, většina lidí se ale dvakrát nerozmýšlí, než naskenuje QR kód pomocí fotoaparátu svého chytrého telefonu. To v kombinaci s pohodlností této technologie zvyšuje pravděpodobnost, že spotřebitelé budou QR kódu důvěřovat i v situacích, kdy by ke standardnímu odkazu přistupovali podezřívavě, čímž se zvyšují šance útočníka na úspěch.
Obrázek 1: Příklad podvodného e-mailu.
Aktéři hrozeb používají různé návnady a strategie, aby uživatele oklamali a přiměli je naskenovat škodlivé QR kódy, podobně jako při phishingových útocích. Mezi běžné typy útoků pomocí QR kódů patří:
Clickjacking: Jedním z nejjednodušších podvodů k vytvoření je clickjacking. V některých případech jsou jednotlivci placeni za to, aby přiměli ostatní kliknout na konkrétní odkazy. Běžný přístup zahrnuje nahrazování QR kódů na známých památkách, kdy lidé očekávají, že po naskenování QR kódu získají základní informace o památce. Místo toho pozměněný QR kód uživatele přesměruje na pochybnou webovou stránku, kde tvůrce clickjackingu získá poplatek.
Phishing (quishing): QR phishing, známý také jako quishing, spočívá v oklamání obětí, aby naskenovaly škodlivý QR kód, který je přesměruje na falešnou webovou stránku nebo stáhne malware. QR kódy se často tváří důvěryhodně, pokud jsou umístěny na brožurách, reklamách nebo produktech, a to pochybnými subjekty, které napodobují důvěryhodné firmy. Po naskenování fotoaparátem chytrého telefonu se malware spustí, aniž by si uživatel uvědomil, že byl přesměrován na škodlivou stránku.
Malware útoky: Kyberzločinci mohou pomocí QR kódů nalákat nic netušící osoby na stránky, které automaticky stáhnou škodlivý software do jejich mobilních zařízení. Tento malware může způsobit značné škody, včetně otevření zadních vrátek pro další malwarové infekce nebo odcizení informací o cíli a jejich odeslání kyberzločincům. V některých případech mohou tyto malwarové infekce zahrnovat i útoky ransomwaru, který drží informace oběti jako rukojmí, dokud není zaplaceno výkupné.
QRLJacking: QRLJacking (Quick Response code Login Jacking) je typ útoku, který se zaměřuje na přihlašovací systémy založené na QR kódech. Při tomto typu útoku hacker nahradí QR kód poskytovatele služeb škodlivým kódem, což mu umožní neoprávněně získat přístupy uživatele. Uživatel naskenuje QR kód hackera namísto QR kódu poskytovatele služeb, což hackerovi umožní získat kontrolu nad uživatelským účtem.
Obrázek 2: Ukázka fungování útoku QRLJacking
Placení parkovného: Podvodné QR kódy jsou často umístěny na zadní straně parkovacích automatů a vedou oběti k domněnce, že mohou zaplatit za parkování pomocí QR kódu. Po provedení platby pomocí QR kódu se některé oběti vrátí k vozidlu a zjistí, že jim bylo odtaženo nebo že jim byla uložena pokuta za parkování. Navíc jsou často shromažďovány jejich platební údaje pro následné zneužití.
Bankovní phishingové podvody: Bankovní pobočky často vyvěšují na vstupních dveřích nebo na stojanech oznámení se speciálními akcemi, které vybízejí k registraci nového účtu nebo k využívání dalších služeb. Kyberzločinci mohou snadno nahradit legitimní QR kód kódem, který vede na jejich škodlivé webové stránky.
Peněženky s kryptoměnami: Vzestup kryptoměn zlákal mnoho lidí k transakcím, které jsou pro podvodníky hlavním cílem. Obchodování s kryptoměnami, jako je Bitcoin, probíhá online a QR kódy jsou pro legitimní i podvodné obchodníky nejpohodlnějším způsobem, jak nasměrovat investory do jejich digitálních peněženek.
Romantické podvody: Někteří kyberzločinci stráví měsíce rozvíjením online romantického vztahu se svou obětí a nakonec jí nabídnou finanční radu nebo ji požádají o finanční pomoc prostřednictvím bitcoinové burzy. Oběť pak pomocí poskytnutého QR kódu odešle požadované finanční prostředky přímo do digitální peněženky podvodníka.
Podvodníci z oblasti veřejných služeb a státní správy: Kyberzločinci se často vydávají za zástupce společností poskytujících veřejné služby, správy sociálního zabezpečení nebo daňového úřadu (IRS) v souvislosti s dluhem po splatnosti. Podvodník tvrdí, že nezaplacení může mít za následek zatčení, další pokuty nebo ukončení přístupu k elektřině, plynu nebo vodě. Kyberzločinec může oběť informovat, že obvyklý platební portál pro tyto služby je v současné době nedostupný, ale platbu lze provést prostřednictvím jiného portálu, a to následováním odkazu nebo naskenováním QR kódu.
Cílem tohoto dalšího kroku je zajistit, aby byl naskenovaný kód QR vygenerován na stejném fyzickém místě jako mobilní zařízení provádějící skenování, čímž se zamezí možnosti, že by vzdálený útočník oklamal uživatele a přiměl ho naskenovat škodlivý kód QR.
Obrázek 3: Ilustrace běžného přihlašovacího procesu s přihlášením pomocí QR kódu a zvukovým ověřením.
Obrázek 4: Ilustrace scénáře útoku a zmírnění dopadů pro přihlašovací proces s přihlášením pomocí QR kódu a zvukového ověřování.
Jednotlivci se mohou před útoky pomocí QR kódů chránit dodržováním těchto pokynů:
POUŽITÉ ZDROJE
https://www.csa.gov.sg/Tips-Resource/publications/cybersense/2020/quick-response-code-related-cyber-threats
https://owasp.org/www-community/attacks/Qrljacking
https://www.infosecurity-magazine.com/opinions/qr-codes-vulnerability-cybercrimes
https://www.alvareztg.com/fbi-warns-of-rising-qr-codes-attacks
autor: Marek Kovalčík
QR kódy, vynalezené v 90. letech 20. století, získaly popularitu během pandemie. Od pandemie COVID-19 se využívání technologie QR kódů rapidně rozšířilo, protože zákazníci upřednostňovali bezkontaktní transakce. QR kódy se široce používají v různých odvětvích, od systémů sledování a dohledávání až po objednávání z jídelních lístků v restauracích nebo placení za parkování. Nicméně s tím, jak se tato technologie rozšířila, se kyberzločinci stále častěji zaměřují na naši rostoucí znalost této technologie.
QR kódy lze snadno skenovat pomocí chytrých telefonů, což spotřebitelům umožňuje přístup k propagačním akcím, digitálním vstupenkám a dalšímu obsahu pouhým namířením fotoaparátu telefonu na kód. Ne všechny QR kódy jsou však legitimní.
Proč jsou útoky pomocí kódů QR pro kyberzločince tak atraktivní?
Kódy QR jsou neodolatelným útokem už z několika důvodů. Nepřímá povaha QR kódů pomáhá skrýt nebezpečný obsah - nic nenasvědčuje tomu, že by sada pixelových čtverečků mohla představovat potenciální hrozbu. Zatímco mnoho jednotlivců si je vědomo, že by se měli mít na pozoru před phishingovými odkazy a podezřelými soubory v e-mailech, které se vydávají za e-maily od jejich banky, většina lidí se ale dvakrát nerozmýšlí, než naskenuje QR kód pomocí fotoaparátu svého chytrého telefonu. To v kombinaci s pohodlností této technologie zvyšuje pravděpodobnost, že spotřebitelé budou QR kódu důvěřovat i v situacích, kdy by ke standardnímu odkazu přistupovali podezřívavě, čímž se zvyšují šance útočníka na úspěch.
Nejčastější přístupy, které útočníci používají ke zneužití QR kódů, jsou následující:
- Vkládání QR kódů se škodlivými adresami URL
- Nahrazování legitimních QR kódů kompromitujícími kódy jednoduchým vkládáním jejich QR kódů na již existující kódy
Obrázek 1: Příklad podvodného e-mailu.
Typy útoků pomocí kódů QR
Aktéři hrozeb používají různé návnady a strategie, aby uživatele oklamali a přiměli je naskenovat škodlivé QR kódy, podobně jako při phishingových útocích. Mezi běžné typy útoků pomocí QR kódů patří:Clickjacking: Jedním z nejjednodušších podvodů k vytvoření je clickjacking. V některých případech jsou jednotlivci placeni za to, aby přiměli ostatní kliknout na konkrétní odkazy. Běžný přístup zahrnuje nahrazování QR kódů na známých památkách, kdy lidé očekávají, že po naskenování QR kódu získají základní informace o památce. Místo toho pozměněný QR kód uživatele přesměruje na pochybnou webovou stránku, kde tvůrce clickjackingu získá poplatek.
Phishing (quishing): QR phishing, známý také jako quishing, spočívá v oklamání obětí, aby naskenovaly škodlivý QR kód, který je přesměruje na falešnou webovou stránku nebo stáhne malware. QR kódy se často tváří důvěryhodně, pokud jsou umístěny na brožurách, reklamách nebo produktech, a to pochybnými subjekty, které napodobují důvěryhodné firmy. Po naskenování fotoaparátem chytrého telefonu se malware spustí, aniž by si uživatel uvědomil, že byl přesměrován na škodlivou stránku.
Malware útoky: Kyberzločinci mohou pomocí QR kódů nalákat nic netušící osoby na stránky, které automaticky stáhnou škodlivý software do jejich mobilních zařízení. Tento malware může způsobit značné škody, včetně otevření zadních vrátek pro další malwarové infekce nebo odcizení informací o cíli a jejich odeslání kyberzločincům. V některých případech mohou tyto malwarové infekce zahrnovat i útoky ransomwaru, který drží informace oběti jako rukojmí, dokud není zaplaceno výkupné.
QRLJacking: QRLJacking (Quick Response code Login Jacking) je typ útoku, který se zaměřuje na přihlašovací systémy založené na QR kódech. Při tomto typu útoku hacker nahradí QR kód poskytovatele služeb škodlivým kódem, což mu umožní neoprávněně získat přístupy uživatele. Uživatel naskenuje QR kód hackera namísto QR kódu poskytovatele služeb, což hackerovi umožní získat kontrolu nad uživatelským účtem.
Útok QRLJacking funguje následovně:
- Útočník iniciuje na straně klienta QR relaci a replikuje přihlašovací QR kód na podvodnou webovou stránku. "Řádně navržená phishing stránka s aktivním a frekventovaně aktualizovaným QR kódem je připravena pro distribuci dané oběti."
- Útočník odešle oběti phishingovou stránku
- Oběť použije k naskenování kódu QR cílenou mobilní aplikaci
- Útočník převezme kontrolu nad účtem oběti
- Služba předá útočníkovi všechna data oběti během relace útočníka
Obrázek 2: Ukázka fungování útoku QRLJacking
Podvody s kódy QR
Placení parkovného: Podvodné QR kódy jsou často umístěny na zadní straně parkovacích automatů a vedou oběti k domněnce, že mohou zaplatit za parkování pomocí QR kódu. Po provedení platby pomocí QR kódu se některé oběti vrátí k vozidlu a zjistí, že jim bylo odtaženo nebo že jim byla uložena pokuta za parkování. Navíc jsou často shromažďovány jejich platební údaje pro následné zneužití.Bankovní phishingové podvody: Bankovní pobočky často vyvěšují na vstupních dveřích nebo na stojanech oznámení se speciálními akcemi, které vybízejí k registraci nového účtu nebo k využívání dalších služeb. Kyberzločinci mohou snadno nahradit legitimní QR kód kódem, který vede na jejich škodlivé webové stránky.
Peněženky s kryptoměnami: Vzestup kryptoměn zlákal mnoho lidí k transakcím, které jsou pro podvodníky hlavním cílem. Obchodování s kryptoměnami, jako je Bitcoin, probíhá online a QR kódy jsou pro legitimní i podvodné obchodníky nejpohodlnějším způsobem, jak nasměrovat investory do jejich digitálních peněženek.
Romantické podvody: Někteří kyberzločinci stráví měsíce rozvíjením online romantického vztahu se svou obětí a nakonec jí nabídnou finanční radu nebo ji požádají o finanční pomoc prostřednictvím bitcoinové burzy. Oběť pak pomocí poskytnutého QR kódu odešle požadované finanční prostředky přímo do digitální peněženky podvodníka.
Podvodníci z oblasti veřejných služeb a státní správy: Kyberzločinci se často vydávají za zástupce společností poskytujících veřejné služby, správy sociálního zabezpečení nebo daňového úřadu (IRS) v souvislosti s dluhem po splatnosti. Podvodník tvrdí, že nezaplacení může mít za následek zatčení, další pokuty nebo ukončení přístupu k elektřině, plynu nebo vodě. Kyberzločinec může oběť informovat, že obvyklý platební portál pro tyto služby je v současné době nedostupný, ale platbu lze provést prostřednictvím jiného portálu, a to následováním odkazu nebo naskenováním QR kódu.
Doporučení a zmírnění
Nejdůležitějším doporučením je vyhnout se použití "Přihlášení pomocí QR kódu", pokud to není nezbytně nutné. Existuje několik řešení, jak se tomuto problému vyhnout, a následující lze použít společně nebo samostatně:- Potvrzení relace: Nejúčinnějším doporučením je implementovat potvrzovací zprávu nebo oznámení, které zobrazí konkrétní informace o relaci klient/server
- Omezení IP: Omezení jakéhokoli procesu ověřování v různých rozsáhlých sítích (WAN) snižuje možnost útoku
- Omezení na základě polohy: Omezení ověřovacích procesů na základě polohy snižuje možnost útoku
- Ověřování podle zvuku: Možným řešením je začlenit do procesu ověřování pomocí zvuku. Existuje technologie, která dokáže vytvořit jedinečné údaje, převést je do zvukového formátu a rozpoznat je v původní podobě, takže tento postup dělá snadno realizovatelným.
Cílem tohoto dalšího kroku je zajistit, aby byl naskenovaný kód QR vygenerován na stejném fyzickém místě jako mobilní zařízení provádějící skenování, čímž se zamezí možnosti, že by vzdálený útočník oklamal uživatele a přiměl ho naskenovat škodlivý kód QR.
Obrázek 3: Ilustrace běžného přihlašovacího procesu s přihlášením pomocí QR kódu a zvukovým ověřením.
Scénář útoku (se zmírněním):
- Útočník navštíví webové stránky a zahájí relaci
- Webová stránka vygeneruje kód QR, který obsahuje klíč relace
- Útočník vytvoří pomocí přijatého kódu QR podvodnou webovou stránku a odešle ji uživateli
- Uživatel naskenuje QR kód útočníka na phishingové stránce
- Mobilní aplikace vygeneruje ověřovací zvuk a odešle jej na podvodnou webovou stránku
- Podvodná webová stránka není schopna zpracovat a shromáždit ověřovací zvuk, protože vyžaduje další oprávnění prohlížeče
- I když se útočník pokusí vygenerovat ověřovací zvuk pomocí ID uživatele, stále mu chybí tajný klíč
Obrázek 4: Ilustrace scénáře útoku a zmírnění dopadů pro přihlašovací proces s přihlášením pomocí QR kódu a zvukového ověřování.
Jak se chránit před útoky pomocí QR kódů
Jednotlivci se mohou před útoky pomocí QR kódů chránit dodržováním těchto pokynů:
- Vyhněte se stahování aplikací z kódů QR. Pro bezpečnější stahování používejte obchod s aplikacemi v telefonu.
- Při skenování kódu QR se ujistěte, že adresa URL je správná a vypadá autenticky. Název škodlivé domény se může velmi podobat požadované adrese URL, ale může obsahovat překlepy nebo chybně umístěná písmena.
- Vyhněte se skenování QR kódů v e-mailech, zejména pokud se zdají být od organizací nebo osob, které znáte.
- Při skenování fyzického QR kódu na ceduli, výloze nebo plakátu dbejte na to, aby nebyl překrytý.
- Pokud obdržíte oznámení o provedení platby prostřednictvím kódu QR, kontaktujte společnost nebo navštivte její webové stránky a ověřte si jeho oprávněnost.
- Pokud obdržíte kód QR od někoho, koho znáte, kontaktujte ho na známém telefonním čísle nebo adrese a ověřte si, že je kód pravý.
- Nainstalujte si mobilní bezpečnostní aplikaci pro ochranu před viry a malwarem, abyste zajistili bezpečnost svého smartphonu, nebo si do zařízení nainstalujte blokátor podvodů či webový filtr, abyste se chránili před rozpoznanými podvody.
Závěr
Aby se organizace nestaly obětí hrozeb, jako je QRLJacking, měly by zvážit zavedení potvrzovací zprávy nebo oznámení pro uživatele, které zobrazí konkrétní informace o relaci iniciované klientem-serverem, a také nastavení časového limitu (obvykle do 3 minut) pro dokončení každé přihlašovací relace. Omezení ověřovacích procesů na konkrétní sítě anebo místa dále sníží plochu útoku. Organizace by také měly zvážit nasazení ochrany před mobilními hrozbami na zařízeních, která mají přístup k podnikovým aplikacím a datům. To pomůže identifikovat a zmírnit mobilní útoky, včetně těch, které zahrnují škodlivé QR kódy.POUŽITÉ ZDROJE
https://www.csa.gov.sg/Tips-Resource/publications/cybersense/2020/quick-response-code-related-cyber-threats
https://owasp.org/www-community/attacks/Qrljacking
https://www.infosecurity-magazine.com/opinions/qr-codes-vulnerability-cybercrimes
https://www.alvareztg.com/fbi-warns-of-rising-qr-codes-attacks
autor: Marek Kovalčík