QR کد، مفید اما نیازمند احتیاط!

quishing

 QR کدها، بارکدهای دوبعدی هستند که  اطلاعات مختلفی را در خود ذخیره می‌کنند و کاربر با اسکن آن می‌تواند با اتصال به یک وب‌سایت، اقدام به پرداخت یا مشاهده اطلاعات خاصی کند.

در حال حاضر می‌توان QR کدها را در هر جایی مشاهده کرد، آنها می‌توانند با یک کلیک روی دوربین گوشی هوشمند به سرعت ما را به سایت‌های مختلف هدایت کنند. متعاقبا کلاهبرداری‌ با آن نیز در بین کلاهبرداران محبوبیت بسیاری پیدا کرده است.

نفوذگران غالبا افراد ناآگاهی را که اطلاعات چندانی در مورد ایمنی QR کدها ندارند، فریب می‌دهند. کمیسیون تجارت فدرال (FTC) در ایالات متحده نیز نسبت به موج جدیدی از کلاهبرداری‌های QR کد که منجر به از دست دادن وجوه و سرقت هویت می‌شد، هشداری صادر کرده بود.

با این حال حتی زمانی که کلاهبرداری‌های QR کد به طور فزاینده رایج شود، می‌توان از خود محافظت کرد و در عین حال از راحتی آن در قالب ابزارهای پرداخت یا مرور آنلاین مفید نیز لذت برد. در ادامه، روش‌های مختلفی که کلاهبرداران از QR کدها برای فریب کاربران استفاده می‌کنند، چگونگی جلوگیری از کلاهبرداری با  QR کد و نکته‌هایی در مورد محافظت کاربر در این خصوص ارائه شده است.

QR کد چیست؟

QR که مخفف Quick-Response یا پاسخ سریع است، یک کد پاسخ سریع شبیه مربعی از پیکسل است و با بارکدهایی که در محصولات مختلف می‌بینیم، شباهت‌ بسیاری دارد. با این حال یک QR کد می‌تواند بیش از ۳۰۰ برابر اطلاعات یک بارکد را در خود جای دهد. QR کدها که قدمتشان به استفاده صنعتی در دهه ۱۹۹۰ باز می‌گردد، حجم بالایی از اطلاعات بصری را در فضای نسبتاً فشرده‌ای بسته‌بندی می‌کنند.

ممکن است این کدها را در تبلیغات تلویزیونی، غرفه‌های بازار و یا به عنوان بخشی از پوستر کنسرت که روی دیوار نصب شده‌اند، مشاهده کنیم. رستوران‌ها QR کدها را روی میزهای خود قرار می‌دهند تا بتوان با گوشی همراه ثبت سفارش کرد. پارکینگ‌ها با نصب آن روی تابلوها،‌ پرداخت سریع هزینه پارکینگ را امکان‌پذیر می‌کنند.

از طرفی، هر کسی می‌تواند به سادگی اقدام به ایجاد QR کد کند. با یک جستجوی ساده « QR کدساز» ده‌ها نتیجه بازیابی خواهد شد که بسیاری از آنها QR کدها را رایگان ارائه می‌دهند. بنابر این جای تعجب نیست که به همان میزان که در رستوران‌ها و مکان‌های متنوع ظاهر می‌شوند، در کلاهبرداری‌ها هم محبوبیت یابند.

به هر حال جایی که افراد، دستگاه‌ها و پول حضور داشته باشند کلاهبرداران راهی برای ورود به آن باز خواهند کرد. در کلاهبرداری QR کد، کاربر دوربین گوشی هوشمند خود را به سمت یک QR کد جعلی قرار داده و آن را اسکن می‌کند، کلاهبردار می‌تواند کاربر را به وب‌سایت‌های مخرب هدایت کند و حملات دیگری را به تلفن همراه او صورت دهد.

چگونگی کلاهبرداری با QR کد

از چندین جهت، کلاهبرداری QR کد مانند هر حمله فیشینگ دیگر عمل می‌کند. به طور معمول حملات فیشینگ از لینک‌های تغییر یافته استفاده می‌کنند تا به عنوان وب سایت‌های معتبر ظاهر شوند و کاربر را برای دنبال کردن وب سایت مخرب فریب دهند. این امر در مورد QR کد هم صدق می‌کند، اما با چند تفاوت بزرگ:

  • راهی برای نگاه کردن به QR کد و تعیین اینکه آیا معتبر و واقعی است یا خیر، وجود ندارد. در واقع نمی‌توان غلط املایی هوشمندانه، اشتباه تایپی یا انطباق با یک URL معتبر و قانونی را تشخیص دهید.
  • QR کدها می‌توانند به عملکردها و اپلیکیشن‌های دیگر در برخی از تلفن‌های هوشمند دسترسی داشته باشند. کلاهبرداران از آنها برای باز کردن اپلیکیشن‌های پرداخت، افزودن مخاطبین، نوشتن متن یا تماس تلفنی هنگام اسکن یک QR کد جعلی سو استفاده کنند.

با کلیک روی QR کد جعلی چه اتفاقی می‌افتد؟

به طور معمول یکی از دو مورد زیر:

👈🏼 کاربر را به یک وب سایت کلاهبرداری که به منظور سرقت اطلاعات شخصی و مالی طراحی شده، هدایت می‌کند. به عنوان مثال، با یک QR کد ساختگی برای پارکینگ فرد به سایتی که در آن مشخصات کارت اعتباری و شماره پلاک خود را وارد کند، هدایت می‌شود،‌ با این تفاوت که پرداخت هزینه مقرر به جای پارکینگ به  کلاهبردار صورت می‌گیرد. پس از آن نیز امکان سو استفاده از اطلاعات کارت اعتباری شخص در مکان‌های دیگر وجود دارد.

👈🏼 از سوی دیگر، می‌تواند به دانلود بدافزاری منجر شود که دستگاه کاربر را آلوده می‌سازد. دانلود برنامه‌های مخرب از جمله: جاسوس‌افزارهایی که مرورها و گذرواژه‌های فرد را جاسوسی می‌کند، باج‌افزارهایی که تا زمان عدم پرداخت باج طلب شده، سیستم کاربر و دسترسی به اطلاعات را قفل می‌کنند (بدون تضمین) و یا ویروس‌هایی که می‌توانند اطلاعات ذخیره شده در دستگاه را حذف کنند یا به آن آسیب برسانند.

QR کد جعلی کجا نشان داده می‌شود؟

به غیر از ظاهر شدن در ایمیل‌ها، پیام‌های دایرکت، تبلیغات رسانه‌های اجتماعی و مواردی از این دست، مکان‌های فراوانی وجود دارد که QR کدهای جعلی در آن ارائه شود. چند نمونه از جاهایی که به طور خاص مورد توجه قرار گرفته‌اند، به شرح موارد زیر است:

▪️ مکان‌هایی که ممکن است کلاهبردار یک QR کد جعلی را با کدی معتبر جایگزین کند، مانند مکان‌های عمومی، فرودگاه‌ها، ایستگاه‌های اتوبوس و رستوران‌ها.
▪️روی شیشه‌ ماشین‌ها در قالب بلیط‌های جعلی پارکینگ که به گونه‌ای طراحی شده‌اند تا به شخص القا کند که به دلیل پارک غیرقانونی باید جریمه بپردازد.
▪️ ممکن است در آگهی‌ها، تبلیغات جعلی در خیابان و حتی پیشنهادهای جمع‌آوری بدهی دروغین از طریق ایمیل ارائه شوند.
▪️اسکن QR کد ممکن است نوتیفیکیشنی در صفحه گوشی، برای دنبال کردن یک لینک باز کند. مانند دیگر کلاهبرداری‌های فیشینگ، نفوذگران تمام تلاش خود را می‌کنند تا این لینک موجه به نظر برسد. مثلا اسم لینک را به شرکتی نام آشنا تغییر می‌دهند تا این طور به نظر برسد که از سوی شرکتی خاص ارسال شده است. همچنین ممکن است از کوتاه‌کننده‌های لینک که آدرس‌های وب طولانی را دریافت و آن‌ها را در رشته کوتاهی از کاراکترها فشرده می‌کنند، استفاده گردد. بدین ترتیب عملا راهی وجود نخواهد داشت که کاربر بتواند با نگاه کردن به آن لینک تشخیص دهد که به کجا هدایت خواهد شد!

با این تفاسیر در استفاده از QR کد، ترکیبی از احتیاط و ریزبینی برای شناسایی استفاده‌های درست از موارد مخرب و نرم‌افزار محافظت امنیتی آنلاین مورد نیاز است.

QR کد ابزار مفیدی که همچنان نیازمند احتیاط است!

QR کد بارکدی دو بعدی است که می‌تواند ۷۰۸۹ رقم یا ۴۲۹۶ کاراکتر را ذخیره کند. QR کد تراکنش‌ها را تسهیل و دسترسی به محتوای مفید در تلفن‌ها را سریع‌تر کرده است، در نتیجه در مکان‌های زیادی دیده می‌شود. می‌توان آن را با استفاده از یک اسکنر یا QR کدخوان که در دوربین‌های پیش‌فرض دستگاه‌های تلفن همراه هوشمند تعبیه شده اسکن کرد تا داده‌های کدگذاری شده آن را رمزگشایی کند. QR کد اساساً یک رشته متن است و معمولاً یک URL یا لینک به وب سایت یا اکانت رسمی یک کسب و کار در سیستم پرداخت است.

آنچه مسلم است، راحتی ارائه شده و فراگیر بودن دستگاه‌های تلفن همراه به استفاده گسترده از این بارکدهای دو بعدی کمک شایانی کرده است. با این حال، محبوبیت آنها زمینه مناسبی را برای عوامل مخرب فراهم کرده تا با ایجاد toolkit، بدافزار QR کد خود را تولید کنند و نه تنها اطلاعات شخصی بلکه دارایی‌های موجود افراد را به سرقت ببرند که بازیابی آنها غیرممکن است. در واقع این تهدیدات به میزانی شایع و حیله‌گرانه شده است که FBI هشداری در مورد آنها صادر کرده است.

 QR کد

کلاهبرداری‌های رایج با QR کد

🔸 کلاهبرداری در حوزه فیزیکی:

در حالی که اغلب تصور می‌شود که جرایم سایبری به طور کامل در فضای دیجیتال رخ می‌دهد، تهدیدهای مرتبط با QR کد از این جهت متفاوت هستند که ممکن است تا حدی در حوزه فیزیکی هم رخ دهند:

▪️جایگزین کردن  QR کدهای جعلی:‌ نمونه بارز کلاهبرداری با QR کد که به قلمرو فیزیکی متکی است، مواردی است که عوامل مخرب به چاپ استیکرهای QR کد جعلی و چسپاندن آنها به صورت فیزیکی روی برچسب‌های واقعی اقدام می‌کنند. عموماً مردم تصور می‌کنند که تابلوها یا پوسترهای دارای QR کد در مغازه‌ها و مکان‌های عمومی ایمن هستند، بنابراین ممکن است از این موضوع غافل باشند که سودجویان می‌توانند QR کدهای جعلی را با کدهای معتبر جایگزین کنند.

▪️ QR کدها مورد استفاده در مهندسی اجتماعی در دنیای واقعی: نمونه‌ای از کلاهبرداری با QR کد که از قلمرو فیزیکی استفاده می‌کند، طرحی است که در پارکینگی در هلند انجام شد و منجر به سرقت هزاران یورو شد. ظاهراً عوامل مخرب به افراد مراجعه کردند تا هزینه پارکینگ را نه از طریق دستگاه تعیین شده در پارکینگ (به دلیل خرابی) بلکه با  اسکن QR کد ارائه شده پرداخت کنند. بدین ترتیب پرداخت‌ هزینه‌ها را به حساب خود تغییر دادند.

🔸کلاهبرداری در فضای دیجیتال: 

کلاهبرداری‌های QR کد فقط در حوزه فیزیکی ایجاد تهدید نمی‌کنند، برخی از آنها عملاً و به طور کامل در فضای دیجیتال اتفاق می‌افتند:

▪️ QR کدها در ایمیل‌های فیشینگ: کلاهبردارانی مشاهده شده‌اند که QR کدها را در حملات فیشینگ خود وارد می‌کنند، روشی که به عنوان “Quishing” شناخته می‌شود. آنها این کار را عمدتا به دلیل دور زدن راهکارهای امنیتی سنتی که URLهای مخرب موجود در ایمیل‌ها را علامت‌گذاری می‌کنند، انجام می‌دهند.

در دسامبر 2021، یک کمپین فیشینگ  گزارش شده بود که از QR کدها به منظور سرقت اطلاعات بانکی کاربران آلمان استفاده می‌کرد. عوامل مخرب در این کمپین با ارسال ایمیلی که جعل هویت یک بانک است از گیرنده می‌خواستند تا با اسکن QR کد موجود در ایمیل، تغییرات سیاست حفظ حریم خصوصی بانک را بررسی کرده و با آن موافقت کند. اما QR کد به یک سایت فیشینگ پیوند می‌خورد که ممکن بود قربانی با وارد کردن اطلاعات بانکی خود ناخواسته آن را در اختیار سارقان قرار دهد.

همچنین اواخر سال گذشته یک طرح quishing جهت دریافت اطلاعات اکانت مایکروسافت 365 گزارش شد. این کمپین با ایمیل حاوی پیام صوتی که از یک اکانت ایمیل در معرض خطر شروع شده بود که ظاهراً گیرنده می‌توانست با اسکن QR کد در ایمیل به آن گوش دهد. با این حال QR کد به یک صفحه ورود جعلی هدایت می‌شد که با هدف سرقت اطلاعات کاربری مایکروسافت 365 طراحی شده بود.

▪️ برنامه‌های اسکنر QR کد و بارکد: در اواسط سال 2021، برنامه‌های اسکنر QR کد و بارکد که به بدافزار Anatsa مرتبط بودند در Google Play ظاهر شدند. (در حال حاضر حذف شده‌اند.) آلودگی با چنین برنامه‌ای با مجبور کردن کاربر به به‌روزرسانی برنامه پس از نصب شروع می‌شود، به طوری که کاربر بتواند به استفاده از آن ادامه دهد. پس از دانلود موفقیت‌آمیز به‌روزرسانی فرضی، از کاربر درخواست می‌شود تا با نصب اپلیکیشن‌هایی از منابع ناشناس موافقت کند. از آنجایی که کاربر قبلاً به این باور رسیده که به‌‌روزرسانی برای عملکرد صحیح برنامه ضروری است، درنتیجه اجازه می‌دهد. سپس بدافزار روی دستگاه اجرا می‌شود و فوراً از کاربر می‌خواهد تا امتیازات سرویس دسترسی را اعطا کند.
سپس عوامل مخرب با به دست آوردن کنترل کامل دستگاه، می‌توانند از طرف کاربر اقدامات مخربی را انجام دهند. در این مرحله، برنامه آلوده به بدافزار اجرا می‌شود و به عنوان یک برنامه معتبر عمل می‌کند. بنابراین شرایط برای عوامل مخرب جهت سرقت اطلاعات ورود به سیستم و دسترسی به تمام اطلاعات موجود در دستگاه کاربر ناآگاه مهیا شده است.

▪️برنامه‌های QR کدساز: برنامه‌های تروجانیزه شده می‌توانند به عنوان برنامه‌های QR کدساز ظاهر شوند. در طرحی که توسط گروه عامل مخرب Brunhilda انجام شده است، چنین برنامه‌ای از کاربر می‌خواهد که ثبت نام کند. سپس با به دست آوردن اطلاعات دقیق دستگاه، برنامه payload تروجان را دانلود و نصب می‌کند که می‌تواند منجر به سرقت اطلاعات شخصی حساس مانند اطلاعات کاربری ورود به سیستم یا جزئیات حساب بانکی شود.

توصیه‌های امنیتی استفاده از QR کد

خوشبختانه، می‌توان با پیروی از شیوه‌های زیر از کلاهبرداری‌های QR کد پیشگیری کرد:

✔️ قبل از اسکن کردن QR کد موجود در ایمیل‌هایی که برای شما ارسال می‌شود، درنگ کنید! حتی اگر ظاهرا از سوی سازمان‌ها یا افراد نام آشنا بوده باشد. احراز هویت چند عاملی را در اکانت‌های بانکی، سازمانی و … فعال کنید تا از سرقت اطلاعات کاربری ورود به سیستم جلوگیری شود.

✔️ برای اسکن QR کدها از دوربین پیش‌فرض دستگاه استفاده کنید نه از برنامه‌های QR کدخوان، چرا که ممکن است یک تهدید امنیتی باشند.

✔️ قبل از ارائه اطلاعات شخصی خود، اطمینان حاصل کنید که وب سایت لینک شده، سازمانی معتبر یا سایر ارائه دهندگان خدمات رسمی قانونی باشد. هر گونه غلط املایی در خود URL را بررسی نموده و تا حد امکان سعی کنید از اسکن آنها خودداری کنید.
با توجه به اینکه بسیاری از QR کدها به سایت‌های فیشینگ هدایت می‌شوند، به لینکی که پس از اسکن ظاهر می‌شود توجه کنید. کلاهبرداران آدرس‌های وب‌سایت‌های شناخته‌ شده را به طور نامحسوس تغییر می‌دهند یا کاملاً با آنها متفاوت است. علاوه بر این ممکن است از یک URL کلاهبرداری و به دنبال آن متنی استفاده کنند که تلاش می‌کند آن را موجه جلوه دهد. (برای اطلاعات بیشتر در مورد نحوه شناسایی حملات فیشینگ، مطالب ۱ و ۲ را مطالعه کنید.)

✔️  کلاهبرداران QR کدها را از طریق ایمیل یا رسانه‌های اجتماعی ارسال می‌کنند و حتی گاهی اوقات از طریق پست فیزیکی در قالب ترفند «پیشنهاد ویژه، فقط اینجا اسکن کنید» ارسال می‌کنند. لینک‌ها را باز نکنید یا QR کدهای مشکوک و ناشناس از افراد غریبه را اسکن نکنید. به طور کلی حتی در صورت دریافت غیر منتظره QR کد از سوی اطرافیان از اسکن آن صرف نظر کنید.

✔️ صورتحساب‌ها را با QR کدها پرداخت نکنید! همیشه نمی‌توان مطمئن بود که QR کد شما را به سایتی قانونی هدایت کند، به جای آن از روش پرداخت مطمئن دیگری استفاده کنید. فقط زمانی از QR کدها برای پرداخت استفاده کنید که مستقیماً با فروشندگان مورد اعتماد، ارائه‌دهندگان خدمات یا افراد مورد اعتماد معامله می‌کنید.

✔️  مراقب دستکاری‌ها باشید! در فضاهای فیزیکی مانند تابلوهای پارکینگ، کلاهبردارانی مشاهده شده‌اند که QR کدهای خود را روی کدهای اصلی می‌چسبانند. اگر نشانه‌ای از تغییر یا محل قرارگیری را دیدید که نامشخص است، آن کد را اسکن نکنید.

✔️ هنگام درخواست دریافت مجوزها توسط برنامه‌ها احتیاط کنید، زیرا برخی از مجوزهای درخواستی ممکن است غیرعادی و خطرناک باشند.

✔️ توصیه می‌شود جهت محافظت و ایمن‌سازی گوشی‌های هوشمند خود در برابر  بدافزارها آنتی ویروس پادویش را نصب کنید.

🟣 برای آشنایی بیشتر با توصیه‌های امنیتی به مطالب آموزشی اتاق خبر امن پرداز مراجعه کنید.