Külön figyelmet érdemel, hogy
egy friss kutatás szerint az amerikaiak 73 százaléka ellenőrzi a QR-kódot beolvasás előtt, mégis eddig már 26 millióan jutottak kártékony oldalakra a NordVPN adatai alapján. Az FTC (Szövetségi Kereskedelmi Bizottság – Federal Trade Commission) is riasztást adott ki, miután gyanús csomagokat kézbesítettek, melyeken elhelyezett QR-kódok leolvasása személyes adatokat csalt ki az áldozatokból, vagy észrevétlenül rosszindulatú programot telepítettek a készülékükre. New York város közlekedési hivatala pedig kiemelte, hogy a csalók hamis fizetőoldalakra mutató QR-matricákat ragasztanak a parkolóautomatákra.
Mindenütt jelen vannak – ezért különösen veszélyesek
A QR-kóddal történő csalás egyszerűsége – egy hamis matrica egy parkolóautomatán vagy egy fizetendő számlán – teszi különösen hatékonnyá a módszert. A bűnözők az emberi sietségre és figyelmetlenségre építenek: ha gyorsan kell fizetni vagy információhoz jutni, kevésbé vagyunk óvatosak, ha beolvasunk egy kódot. Jellemző példa erre, hogy Gaurav Sharma, a Rochesteri Egyetem professzora szerint a hagyományos adathalász e-mailekkel szemben már annyi biztonsági lépést vezettek be, hogy a csalók inkább QR-kódon keresztül próbálnak célba érni.
Mindezek ellenére kevesen gondolják, hogy akár olyan nyilvános helyeken is, mint a benzinkutak vagy a játszóterek, a másodperc töredéke alatt veszélyes oldalakra irányíthatnak minket, vagy kéretlen alkalmazást telepítenek. Több állami és helyi intézmény is figyelmeztette a lakosságot a nyáron országszerte, hogy ne olvassanak be ismeretlen, új QR-kódokat.
Miért ennyire kedvelik a csalók?
A csalók számára a QR-kódok „alacsony befektetés, magas megtérülés” kategóriájába tartoznak: alig kerül valamibe egy hamis matricát kinyomtatni és felragasztani, miközben rengeteg áldozat érhető el egy mozdulattal. A QR-kódok nehezen ellenőrizhetők, hiszen nem lehet egyértelműen olvasni, hova vezet a leolvasott link – gyakran még a kódhoz tartozó nyomtatott URL-t is módosítják a csalók.
Külön érdekesség, hogy a legújabb visszaélések között már olyan esetről is beszámoltak, amikor titkosszolgálatok QR-kódon keresztül fértek hozzá katonai dolgozók üzenetküldő alkalmazásaihoz (például Signal), sőt, mobil eszközökhöz távoli hozzáférést biztosító vírusokat is ezen keresztül juttattak be.
iPhone vagy Android? Mindegy, csalni fogják – megszokásból
A Malwarebytes felmérése szerint mind az Apple, mind az Android rendszerek veszélyeztetettek. Jellemző, hogy a kutatás alapján az iPhone-felhasználók 70 százaléka kezdeményezett vagy zárt le QR-kóddal vásárlást, míg az androidosoknál ez az arány csak 63 százalék. A szakértők szerint az almás készülékeken nagyobb a vak bizalom: az iPhone-tulajdonosok 55 százaléka hiszi, hogy telefonja megvédi, szemben az androidosok 50 százalékával. Ez a túlzott bizalom könnyebb célponttá teszi őket.
Védekezési lehetőségek és törekvések
Múzeumok, kiállítóhelyek, sőt, egyre több vállalat próbál jobban védekezni a hamis QR-kódok ellen: saját logót vagy színeket ágyaznak a kódba, részletesen tájékoztatják a látogatókat arról, mi található a link mögött, és rendszeresen ellenőrzik, nem ragasztottak-e oda idegen kódokat. Sharma professzor szerint azonban még a logóval ellátott QR-kód sem tökéletes, hiszen azt is le lehet másolni.
A szoftveres háttér fejlesztése is folyamatban van: Sharma csapata az SDMQR-t (Önhitelesítő kettős modulációjú QR – Self-Authenticating Dual-Modulated QR) fejleszti, amely önhitelesítéssel akadályozná meg a csalást. Ehhez azonban óriáscégek, például a Google vagy a Microsoft együttműködése szükséges, hiszen a kameraalapú leolvasás alapvetően meghatározza a védelmet.
Kit, hogyan lehet átverni?
A közintézmények, ahol nem történik pénzmozgás – például múzeumok –, kevésbé vonzóak a csalók számára, mégis előfordulhat, hogy egy QR-kód adathalász oldalra vezet vagy kártevőt rejt. A mindennapi életben azonban, például parkoláskor vagy közüzemi fizetéskor, könnyebb áldozattá válni, hiszen itt a gyorsaság és a fizetési szándék összeadódik.
További veszélyt jelent, hogy az eredeti, hivatalos plakátokat vagy kiadványokat a csalók könnyedén – egyszerűen felragasztott vagy digitális cserével – pótolhatják hamis QR-kóddal, a felhasználó pedig többnyire nem veszi észre a cserét.
A fentiek tükrében
A QR-kódok mára a mindennapi élet szerves részévé váltak, de árnyoldaluk, az elmúlt évek csaláshulláma komoly kockázatot jelent a tájékozatlan vagy figyelmetlen felhasználók számára. Ha nem vagyunk körültekintőek, a leolvasással máris támadási felületet szolgáltatunk a bűnözőknek – legyen szó magánszemélyekről vagy akár állami szereplőkről. A leghatékonyabb védekezés, ha csak megbízható, jól láthatóan ellenőrzött QR-kódokat használunk, és ellenőrizzük, milyen webcímre mutatnak – minden mást érdemes gyanakvással kezelni.
