S QR kódy se setkáváme nejen při placení složenek, ale také v restauracích, na úřadech, v obchodech, ve zpravodajství, zkrátka jsou zobrazeny v celé řadě případů. Během pandemie se staly známými nástroji pro pohodlné a bezkontaktní sdílení informací. Ze své podstaty nejsou nebezpečné (technologie je sama o sobě bezpečná), ale lze ji zneužít.
Tip Nejen o historii, ale i možnosti, jak generovat QR kódy, si přečtěte v našem článku Vychytávka: Šikovným QR kódem potěšíte návštěvu i oslovíte zákazníka. |
QR kód je vlastně obdoba zkracovače URL adres. Místo snadno zapamatovatelného, a především lehce přepsatelného internetového odkazu nabízí obrázek, na který stačí namířit chytré zařízení s fotoaparátem, nejčastěji se používá smartphone, ten kód přečte a zobrazí informace, odkaz atd.
Pouhým pohledem na QR kód však nezjistíte, co se za ním skrývá. Po načtení však umí přesměrovat na určité místo na internetu, což kyberzločincům poskytuje příležitost zapojit se do tohoto procesu.
Nevěřte
Nikdy nepředpokládejte, že zkrácená URL adresa nebo QR kód jsou legální – vždy předpokládejte, že tomu tak není. Oboje lze totiž snadno generovat a nálepky s nekalými QR kódy lze snadno aplikovat na běžný QR kód, například v restauraci. Takže i když si myslíte, že otevíráte seznam piv svého oblíbeného pivovaru nebo menu restaurace, můžete se ocitnout na zcela jiné stránce. Falšovat QR kódy na veřejných místech je totiž velmi snadné.
Jak mohou kyberzločinci zneužít QR kódy
Existuje několik způsobů, jak mohou kyberzločinci využít QR kódy pro svůj vlastní prospěch. Jednou z metod je například pokus nabourat se do webových stránek firem a nahradit jejich QR kódy vlastními. Vzhledem k tomu, že QR kódy vypadají velmi podobně, bylo by neuvěřitelně těžké najít zaměněný kód pouhým mrknutím oka.
V roce 2018 společnost Juniper Research předpověděla, že do roku 2022 se využívání QR kódů zčtyřnásobí. Nyní, když je funkce skenování QR zabudována do většiny smartphonů, a také díky pandemii, se už stala běžnou součástí našich životů. |
Následné naskenování tohoto kódu by mohlo automaticky nasměrovat nic netušícího člověka na phishingovou URL, respektive phisingový web, kde by si kyberzločinci mohli vyžádat přihlašovací údaje uživatele a poté například převzít kontrolu nad jeho e-mailovým účtem nebo účty na sociálních sítích, případně získat informace o platební kartě.
Podvržený QR kód mohl uživatele přivést k ne zcela prověřenému obchodu s aplikacemi, kde by si mohli nevědomky stáhnout škodlivou aplikaci obsahující virus, spyware, trojského koně nebo jiný typ malwaru, který by opět mohl vést ke krádeži dat, narušení soukromí (využití GPS souřadnic nebo seznamu kontaktů, volání a zpráv), vydírání ransomwarem atd.
Další kyberzločineckou technikou je zřízení honeypotu (návnady). Jinými slovy zřízení nebezpečné wi-fi sítě slibující bezplatný internet každému, kdo se k ní připojí naskenováním QR kódu. Jakmile je zařízení připojeno, hackeři mohou odposlouchávat nebo zachytit sdílená data a ukrást osobní či obchodní informace, přihlašovací údaje k online bankovnictví atd. Je tedy více než důležité si uvědomit riziko takových metod a přihlašovat se pouze do zabezpečených wi-fi sítí.
Před načtením je vhodné přemýšlet
Jak nenaletět a chránit se? Jak jsme uvedli, pouhou oční kontrolou neexistuje žádný způsob, jak zjistit, zda je QR kód nebezpečný. Existuje však několik preventivních opatření, která lze učinit a která mohou pomoci, abyste se nestali obětmi.
Majitelé firem a správci IT musí pravidelně kontrolovat integritu svých webů a aplikací, aby se ujistili, že QR kódy a odkazy, které prostřednictvím nich poskytují, jsou ty správné. Z pohledu uživatele je potom nejdůležitější naučit se přemýšlet o hrozbách. QR kódy totiž nejsou jedinými, které skýtají potenciální riziko.
Všichni bychom se tak měli naučit bezprostředně přemýšlet před tím, než na něco klikneme. V případě podezřelého odkazu nebo e-mailu jsme si na to již zvykli, ale nyní je čas to dělat i v případě QR kódů – takže ještě před jeho naskenováním zvažte, zda jde o legitimní zdroj apod. Neskenujte QR kód, pokud nevíte, kam povede. A ještě, než na odkaz přejdete, prohlédněte si webovou adresu a název domény, abyste mohli případně odhalit nebezpečí.
Třetím a asi největším pomocníkem je to, že už existuje mnoho bezpečných aplikací pro skenování QR kódů, které vám umožní ještě před využitím QR kódu zobrazit náhled toho, co skrývá – jde o jakousi pojistku před tím, než navštívíte odkaz, kam směřuje. Vy to zkontrolujete a teprve poté dáte pokyn k provedení – například přesměrování na web. (vč. Google aplikace, která pro skenování QR kódů využívá Google Lens).
Mnoho internetových prohlížečů navíc umožňuje zakázat automatické přesměrování na webové stránky. A ještě jednu vychytávku zmíníme, pokud si telefon odpojíte od internetu (zakážete wi-fi či datové připojení) a přejdete na uvedený odkaz, potom máte možnost prostřednictvím URL zkontrolovat celou adresu – kam směřuje.
Tip Jednou z aplikací poskytujících nejkvalitnější bezpečnostní kontrolu URL všech kódů, které naskenujete, je QR Scanner-Safe QR Code Reader společnosti TrendMicro (odborník na kyberbezpečnost). Zajistí, že po naskenování prověří svými algoritmy, zda odkaz, respektive web, na který odkazuje, nepředstavuje riziko – je bezpečnou webovou stránkou bez podvodů nebo škodlivého a nebezpečného obsahu. |
Vždy se také ujistěte, že stahujete aplikace pouze z důvěryhodných zdrojů, jako je obchod Apple Store nebo Google Play. A průběžně aktualizujte všechna chytrá zařízení, aby měla nejnovější prvky zabezpečení a ochrany.
Závěrem
Povědomí o potenciálních problémech plynoucích z QR kódů je nízké. QR kódy se staly rychle samozřejmostí našich běžných životů a uživatelé si uvědomili, že pouhým naskenováním ušetří čas, nervy a mohou získat to, o co žádají. Čím větší je závislost na QR kódech, tím větší je pravděpodobnost, že škodlivé QR kódy uspějí. A na to je třeba si dávat pozor.
Stejně jako u každé technologie, která se stále více používá, je pravděpodobné, že v nadcházejících měsících zaznamenáme nárůst pokusů kyberzločinců o zneužití QR kódů, takže je důležité uvědomit si rizika, abychom byli schopni přijmout správná preventivní opatření, protože QR kódy budou i nadále hrát důležitou roli.