Öryggi QR kóða

Eftirfarandi er um öryggismál, QR kóða og netöryggismenningu. Greinin er byggð á nokkrum greinum um málið sem finnast á netinu. Hægt er að finna margar greinar um efnið sem leiða allar að sömu niðurstöðu. Eftirfarandi samantekt ætti að varpa skýru ljósi á þessi öryggismál ásamt öryggismenningu fyrirtækja, hvar og hvernig að henni er staðið.

Skilningur á öryggisvandamálum og notkun á QR kóðum

QR kóðar eru til margs gagns, en netglæpamenn geta líka nýtt sér þá. Það ætti að hafa þessa áhættu í huga og læra hvernig á að forðast þær við notkun á QR kóðum.

QR kóðar eru t.d. algeng sjón, á veitingahúsum, til að auðvelda viðskiptavinum að panta af matseðlum veitingahússins og á auglýsingaskiltum, að því virðist góðkynja kóðar en geta valdið alvarlegri ógn við öryggi farsímatækja fyrirtækisins.

Undanfarin ár hefur skönnun á hrað-svörunarkóða (QR kóða – Quick Response) orðið vinsæl leið til að nálgast og fá aðgang að pappírslausum valmyndum, framkvæma snertilaus viðskipti og fleira. Vegna þæginda þeirra og vaxandi notkunar, þá eru QR kóðar hins vegar einnig vinsælt skotmark tölvuþrjóta sem leita nýrra leiða til að dreifa spilliforritum og stela upplýsingum. Fyrirtæki og einstaklingar ættu að læra inná mismunandi ógnir sem geta birst í skjóli þægilegs QR kóða - og hvernig á að forðast þær.

Hvað eru QR kóðar?

QR kóði heitir í raun Quick Response code og er tvívítt strikamerki sem var fundið upp árið 1994 af japanska fyrirtækinu Denso Wave.

Fólk lýsir stundum QR kóða sem 3D strikamerki. Þeir samanstanda af röð ferninga sem raðað er í stærri ferning og virka svipað og strikamerki. Þó strikamerki geti venjulega aðeins táknað stutta strengi með tölum og bókstöfum, getur QR kóða geymt meira magn af gögnum.

QR kóðar eru oft notaðir til að auglýsa vegna þess að þeir geta geymt langa gagnastrengi, sem gerir þá fullkomna til að geyma vefslóðir. Þessi hæfileiki hefur reynst sérstaklega gagnlegur í ljósi þess að snjallsímanotkun er svo útbreidd og þeir geta virkað sem QR kóða skannar. Nánast hver sem er getur skannað QR kóða og farið beint á samsvarandi vefsíðu án þess að þurfa að slá inn heimilisfang síðunnar handvirkt.

Þennan hæfileika QR kóðans nýta auglýsendur sér til að birta QR kóða á áberandi hátt á auglýsingaskiltum, í tímaritum, á sýningarbásum og nánast hvar sem er þar sem líklegt er að QR kóða veki athygli. En það eru ekki bara auglýsendur sem nýta sér þetta. Reyndar hafa QR kóðar orðið áberandi í mörgum öðrum geirum á undanförnum árum. Frá upphafi COVID-19 heimsfaraldursins hafa margir veitingastaðir hætt með hefðbundna matseðla. Þess í stað birta þessir staðir QR kóða á borðum eða á öðrum áberandi stöðum. Gestir geta skannað þessa kóða til að skoða valmyndina í farsímum sínum og pantað af matseðli.

Öryggisvandamál með QR kóða

Þrátt fyrir ágæti QR kóðunar geta leynst hættur og hakkarar geta nýtt sér þessa tækni í illgjörnum tilgangi.

Það eru tvær megingerðir af QR kóðum sem netglæpamenn nota. Hið fyrra er phishing-árás sem byggir á QR kóða, sem stundum er kölluð quishing. Þessi árás notar QR kóða til að lokka fórnarlambið inn á vef-veiðisíður sem tölvuþrjótar hafa hannað til að stela skilríkjum fórnarlambsins, persónulegum gögnum eða öðrum viðkvæmum upplýsingum.

Önnur aðaltegund af QR kóða árás er stundum kölluð QRLjacking. Í þessari tegund árása nota tölvuþrjótar QR kóða til að dreifa spilliforritum í tæki fórnarlambsins. Árásarmaðurinn blekkir notandann til að skanna QR kóða sem beinir tæki notandans inn á illgjarna vefslóð sem sýkir tækið af spilliforritum.

Fyrir utan þessar tvær grunngerðir árása geta QR kóðar komið af stað öðrum gerðum aðgerða. Til dæmis gæti tölvuþrjótur notað QR kóða til að hringja sjálfkrafa eða senda textaskilaboð úr tækinu sem skannaði kóðann. Við réttar aðstæður geta tölvuþrjótar jafnvel notað QR kóða til að hefja greiðslu úr tæki notandans eða þvinga tækið til að tengjast ákveðnu Wi-Fi neti.

Hérna áður og reyndar ennþá í dag, ef netglæpamenn vildu hefja vefveiðar eða lokka hugsanlega fórnarlömb inná illgjarna vefsíðu, þá myndu þeir venjulega grípa til þess að nota tölvupóst. Vandamálið við þessa nálgun, frá sjónarhóli glæpamannsins, er að það eru vísbendingar um að tölvupóstur sé ekki lögmætur, svo sem stafsetningarvillur eða tenglar á rangar vefslóðir. Oft mun vef-veiðaskilaboð biðja fórnarlamb um að grípa til aðgerða sem virðast algjörlega órökréttar.

Jafnvel þegar vef-veiðaskilaboð eru sannfærandi eru alltaf vísbendingar um að skilaboðin séu ólögmæt. Sá sem veit hvað á að leita að og gefur sér tíma til að rýna í slík skilaboð mun ekki eiga í vandræðum með að komast að því að skilaboðin séu fölsuð.

Þetta á ekki við um QR kóða. Fólk getur lesið phishing tölvupóst til að athuga hvort hann sé grunsamlegur, en QR kóðar bjóða ekki upp á slíkt tækifæri. Þegar einstaklingur skannar QR kóða hefur hann enga leið til að vita fyrirfram hvort kóðinn sé lögmætur. Það er það sem gerir árásir sem byggjast á QR kóða svo erfiðar að varast. Grunnþættir árásarinnar eru ekkert öðruvísi en árás sem tölvuþrjótar dreifa með tölvupósti. Vegna þess að fórnarlambið getur ekki metið réttmæti QR kóða er líklegra að árás byggð á QR kóða takist en árás sem byggir á tölvupósti.

Annað vandamál með QR kóða er að tölvuþrjótar geta auðveldlega skipt út lögmætum QR kóða. Til dæmis, ef veitingastaður gefur upp QR kóða sem tengjast valmyndum sínum, gæti árásarmaður einfaldlega búið til límmiða sem innihalda skaðlega QR kóða og sett þá límmiða ofan á lögmætan QR kóða. Einnig hafa komið upp atvik þar sem tölvuþrjótar hafa skipt út lögmætum QR kóða í tölvupósti. Það eru jafnvel tilvik þar sem tilviljunarkenndir QR kóðar eru settir á opinbera staði þar sem einhver hætta er á að einhver verði nógu forvitinn til að skanna kóðann.

Hvernig er hægt að varast illgjarna QR kóða

Það er þrennt sem fyrirtæki verða að gera til að vernda notendur gegn árásum sem byggjast á QR kóða. Íhugaðu eftirfarandi skref til að forðast hugsanlegar afleiðingar sviksamlegs QR kóða:

1. Gakktu úr skugga um að notendur séu að keyra öryggishugbúnað á öllum tækjum sem hafa aðgang að fyrirtækjaauðlindum. Hugbúnaðurinn ætti að geta varið tækið gegn yfirtökuárásum, vefveiðaárásum og annarri misnotkun farsíma.
2. Fræddu notendur um netöryggishætturnar sem fylgja því að skanna QR kóða. Annars geta notendur ekki áttað sig á því að QR kóðar geta verið varasamir.
3. Innleiða kröfur um fjölþátta auðkenningu (MFA) og vinna síðan smám saman að því að taka upp auðkenningarlausn sem ekki byggir á lykilorðum. Margar árásir sem byggjast á QR kóða eru hannaðar til að blekkja notendur til að slá inn lykilorð sín svo að netglæpamenn geti stolið skilríkjum þeirra. Vinna þarf því að útrýma lykilorðum, það getur hjálpað til við að koma í veg fyrir þessar tegundir árása.

Bestu venjur:

• Þegar þú hefur skannað QR kóða skaltu athuga slóðina og ganga úr skugga um að þetta sé ætluð síða og lítur út fyrir að vera ekta. Illgjarnt lén getur verið eins og ætluð vefslóð en með innsláttarvillum eða svipar til réttrar síðu.
• Farðu varlega þegar þú slærð inn innskráningarupplýsingar, persónulegar upplýsingar eða fjárhagsupplýsingar af síðu sem þú ferð á með QR kóða.
• Ef þú skannar QR kóða skaltu ganga úr skugga um að ekki hafi verið átt við kóðann, svo sem með límmiða sem settur er ofan á upprunalega kóðann.
• Ekki hlaða niður forriti úr QR kóða. Notaðu app-verslun símans þíns fyrir öruggara niðurhal.
• Ef þú færð tölvupóst um að greiðsla hafi mistekist frá fyrirtæki sem þú keyptir nýlega og fyrirtækið segir að þú getir aðeins klárað greiðsluna með QR kóða skaltu hringja í fyrirtækið til að staðfesta. Finndu símanúmer fyrirtækisins í gegnum trausta síðu frekar en númerið sem gefið er upp í tölvupóstinum.
• Ekki hlaða niður QR kóða skanna-forriti. Þetta eykur hættuna á að hlaða niður spilliforritum í tækið þitt. Flestir símar eru með innbyggðan skanni í gegnum myndavélar appið.
• Ef þú færð QR kóða sem þú telur að sé frá einhverjum sem þú þekkir skaltu hafa samband við hann í gegnum þekkt númer eða heimilisfang til að staðfesta að kóðinn sé frá þeim.
• Forðastu að gera greiðslur í gegnum síðu sem farið er inn á með QR kóða. Í staðinn skaltu slá inn þekkta og trausta vefslóð handvirkt til að ljúka greiðslunni.

Heimildir: Greinar frá Techtarget.com, InfosecIQ, Makeuseof.com og fleiri internet vefsíðum.

Höfundur er formaður Félags rafeindatæknifyrirtækja og rekur eigið tölvuþjónustufyrirtæki H. Árnason ehf.