QR koodid kui turvarisk

QR-koodid: uus oht digimaailmas

QR-koodidest on viimastel aastatel saanud igapäevane nähtus – neid kohtab kohvikutes, bussipeatustes, kontserdil ja isegi arve peal. Need väikesed mustvalged ruudustikud lubavad kiiret ligipääsu menüüdele, makselahendustele või infolehtedele. Kuid just nende nähtamatu ja mugav olemus teebki nad ohtlikuks.

Viimasel ajal on sagenenud juhtumid, kus kurjategijad kasutavad QR-koode ära pahatahtlikul viisil. See ründeviis, mida rahvusvahelises turvamaailmas tuntakse nimega quishing (QR phishing), tähendab seda, et näiliselt usaldusväärne QR-kood viib inimese võltsitud veebilehele. Leht võib meenutada näiteks Microsofti või Google’i sisselogimisvaadet või suunata "autentimiseks" sinna, ent tegelikult varastab see sisestatud andmed või suunab kasutaja pahavaraga nakatatud sisule.

Raskelt tuvastatavaks teeb selle asjaolu, et QR-kood ei näita oma sisu enne, kui see on juba skaneeritud. Inimene ei näe silmaga, kuhu link viib, ja just seetõttu on neid lihtne usaldada. Paljud QR-koodid trükitakse füüsilistele pindadele ja neid on lihtne asendada – näiteks kleepida kohviku ametliku koodi asemele uus, mis viib hoopis pahatahtlikule saidile.

Probleemi ei saa aga lahendada ainult tehnilise tarkusega. Siin tuleb appi Kevin Mitnicki poolt tuntuks saanud turvapõhimõte, mille järgi tõhus kaitse koosneb kolmest osast: tehnoloogia, koolitus ja reeglid. QR-koodide turvalisuse puhul tähendab see näiteks nutikaid skannimisrakendusi, mis kuvavad enne avamist täieliku lingi; inimeste teadlikkuse tõstmist QR-koodidega seotud ohtudest; ning selgete põhimõtete kehtestamist, kust ja kellelt pärinevaid koode usaldada.

Ühiskond vajab sel teemal rohkem haridust. Väga paljud ei mõtle QR-koodide skaneerimisele samamoodi nagu nad mõtleksid näiteks kahtlasele e-kirjale. Tegelikult on tegu täpselt samaväärse ohuga, sest mõlemad võivad viia andmevarguseni või seadme nakatumiseni pahavaraga.

QR-koodid ise ei ole ohtlikud – oht peitub selles, kui nad muutuvad läbipaistmatuks aknaks tundmatule sisule. Et see aken ei avaneks kunagi valesse kohta, vajame paremat infot, paremaid tööriistu ja natuke rohkem skeptilist meelt - ära skänni kõike, mida sa näed.

Skänni seda ja võidad 10 tugrikut.

Allikad:

1. https://www.ibm.com/think/insights/quishing-growing-threat-hiding-plain-sight

2. https://www.zdnet.com/article/quishing-is-the-new-phishing-why-you-need-to-think-before-you-scan-that-qr-code/