QR kodu jeb kvadrātkodu izmantošana ikdienā ir kļuvusi par dabisku tās sastāvdaļu. Fiziska ēdienkarte kafejnīcā tiek aizstāta ar QR kodiem, uz produkta iepakojuma bieži vien atrodams QR kods, kas ļauj uzzināt vairāk par produkta izcelsmi, sastāvu, uz plakātiem, brošūrām, TV ekrāniem tiek izvietoti QR kodi, kas aizved uz tīmekļa vietni u.tml. QR kodi ir ikdienas realitāte daudzās nozarēs, tāpēc drošības aspektiem arī būtu jāpievērš tikpat liela nozīme.
Potenciāls apdraudējuma avots
Visbiežāk zem melni balto kvadrātu salikumā ir hipersaite, kas to noskenējot ar telefonu, atver konkrētu vietni, reizēm parāda kādu tekstu vai sniedz cita veida informāciju.
Ja krāpnieciska e-pasta gadījumā vēl pirms noklikšķināšanas var “uziet” uz konkrētā linka ar peles kursoru un pārbaudīt, vai links atbilst tam, par ko uzdodas, tad QR kodi nav salasāmi ar aci, iepriekš nav iespējams pārbaudīt, uz kādu vietni tiksiet novirzīts pēc skenēšanas. Ja krāpnieciska e-pasta gadījumā, ar peles kursoru “uzejot” uz konkrētā linka iespējams pārbaudīt, vai tas atbilst tam, kas it kā redzams.
Izplatītākie apdraudējumi
Viens no izplatītākajiem ir QR kodi, kas ved uz viltus vietnēm, kuras ir vizuāli līdzīgas uzticamu organizāciju mājas lapām. Tas tiek darīts, lai izkrāptu lietotāju pieteikšanās datus vai maksājumu informāciju. Arī Latvijā iedzīvotāji ir zaudējuši naudu, neuzmanīgi skenējot QR kodus, piemēram, kāds pasažieris mēģināja iegādāties Liepājas sabiedriskā transporta e-biļeti, noskenējot QR kodu, un, nonākot vietnē, kur prasīts samaksāt vienu eiro par e-biļeti, veicis maksājumu, nepievēršot uzmanību vietnes adresei. Pēc datu ievadīšanas biļeti neizdevās nopirkt un tikai pēc laika secināts, ka no bankas konta noņemti 55 eiro – 1 eiro plus divi maksājumi, katrs pa 27 eiro.
QR kodam atrodoties publiskā vietā, pastāv iespējamība, ka oriģinālais QR kods var tikt aizstāts ar citu, un šo atšķirību vizuāli var būt ļoti grūti pamanīt. Noskenējot viltoto QR kodu, tas novirza uz citu saturu vai veic kādas citas kaitnieciskas darbības.
Pastāv risks, ka QR koda skenēšana var rezultēties ar failu lejupielādi, kas satur ļaunatūru. Šajā gadījumā pēc ierīces inficēšanas ļaunatūra var piekļūt ierīces datiem, sekot līdzi veiktajām darbībām tajā, vai pat paralizēt sistēmu.
Var gadīties, ka apdraudējums slēpjas privātuma pārkāpumos. Iespējams QR kods ietver izsekošanas mehānismu, kas vāc datus par lietotāja uzvedību, ierīces tipu, IP adresi un citus metadatus.
QR kodi var tikt iekļauti arī pikšķerēšanas e-pastos, kuru mērķis ir panākt, ka e-pasta saņēmējs noskenē QR kodu un ievada savus datus viltus vietnē, piemēram, krāpnieki mēdz izsūtīt e-pastus par nodokļu atmaksu un aicina skenēt QR kodu.
Arī lietotnes, kuras tiek izmantotas QR kodu skenēšanai, var radīt apdraudējumu, ja netiek lejupielādētas no uzticamām vietnēm. QR kodi pēc būtības ir tikai vizuāls datu nesējs – parasti hipersaite, teksta rinda vai cita veida informācija. Tomēr tie var tikt viegli manipulēti vai aizstāti ar viltus kodiem, kas novirza uz viltus vietnēm, inficē ierīces ar ļaunatūru vai ievāc sensitīvus datus bez lietotāja piekrišanas.
Kā mazināt riskus?
Lai mazinātu riskus, ko rada QR kodu izmantošana, būtu jāpievērš uzmanība šādiem drošības principiem.
QR koda skeneris. Lai skenētu QR kodus, iesakām izmantot telefonā iebūvēto kameras lietotni. Lielākā daļa mobilo telefonu kameru lietotņu spēj atpazīt un nolasīt QR kodus. Ja tomēr kādu iemeslu dēļ iebūvētā kamera jūsu tālrunī nespēj nolasīt QR kodu un ir nepieciešama papildu lietotne, tad aicinām to lejupielādēt no drošiem avotiem, tādiem kā Google Play Store vai Apple App Store. Iepriekš vajadzētu apskatīt, kas ir tās izstrādātājs, iepazīties ar atsauksmēm, citu lietotāju vērtējumu, kā arī pievērst uzmanību pieprasītajām atļaujām.
QR skenerim nepieciešama tikai piekļuve kamerai. Ja tas prasa arī piekļuvi kontaktu sarakstam, mikrofonam vai kam citam— tas var būt drošības risks. Bezmaksas QR skeneri var rādīt lietotnē reklāmas, pirms atvērt QR kodā iekodēto vietni, tādēļ aicinām būt vērīgiem, izmantojot trešo pušu lietotnes, un izvairīties no steigas, lai QR koda vietā kļūdas pēc neatvērtu reklāmu. Der pievērst uzmanību arī reklāmu daudzumam, arī to pārmērīga esamība var liecināt par potenciālu drošības risku. Reklāmas var vākt datus vai saturēt cita veida kaitīgu informāciju.
QR kods ar priekšskatījumu. Šobrīd daudzos gadījumos QR koda lietotnes ļauj vispirms apskatīt saiti, pirms tās atvēršanas. Lai arī pašu QR kodu pārbaudīt nevar, pirms tā atvēršanas tiek parādīta tīmekļa vietnes adrese, kas tiks atvērta. Šis ir brīdis, kad iespējams pārliecināties, ka atvērsiet, piemēram, autobusu sarakstu nevis kādu viltus lapu.
Piesardzība publiskās vietās: Izturieties kritiski pret QR kodiem, kuri atrodas publiskās vietās un kuru izcelsme nav zināma, piemēram, uz laternas staba vai sienas esošs QR kods aicina pievienoties kādai kustībai vai plakātā minēts, ka noskenējot QR kodu varat iegūt pārsteidzošu atlaidi vai kādu balvu. Piesardzība jāievēro arī gadījumos, ja QR koda izcelsme šķiet zināma, piemēram, restorānā uz galdiņa stūra ir uzlīmēts QR kods it kā atsauksmju sniegšanai. Pirms skenēt šo kodu der palūkoties apkārt, vai šāda uzlīme ir uz visiem galdiņiem (restorāns tiešām šādi vēlas iegūt atsauksmes) vai tikai uz šī galdiņa (iespējams, šo uzlīmi uzlīmējis kāds apmeklētājs) un vai sākotnējai uzlīmei kāds nav pārlīmējis citu QR koda uzlīmi pa virsu
Regulāri atjauniniet savas ierīces un izmantojiet pretvīrusu programmatūru. Lai efektīvāk pasargātu sevi no krāpniekiem, iesakām uzstādīt arī bezmaksas aizsardzību – CERT.LV un NIC.LV - .LV domēna reģistrs DNS ugunsmūri, kas paredzēts tā lietotāju aizsardzībai no Latvijā aktuālām krāpšanas kampaņām internetā. DNS mūri iespējams lejupielādēt gan telefonā, gan citās ierīcēs. Vairāk informācijas: https://dnsmuris.lv.
QR kodi ir noderīgs tehnoloģiju rīks, tomēr, līdzīgi kā citas digitālās tehnoloģijas, arī tie var tikt izmantoti ļauniem nolūkiem. Tomēr ar zināmu piesardzību un izpratni ir iespējams ievērojami mazināt šos riskus un droši lietot QR kodus ikdienā. Skenē gudri un atbildīgi!
QR kodu jeb kvadrātkodu izmantošana ikdienā ir kļuvusi par dabisku tās sastāvdaļu. Fiziska ēdienkarte kafejnīcā tiek aizstāta ar QR kodiem, uz produkta iepakojuma bieži vien atrodams QR kods, kas ļauj uzzināt vairāk par produkta izcelsmi, sastāvu, uz plakātiem, brošūrām, TV ekrāniem tiek izvietoti QR kodi, kas aizved uz tīmekļa vietni u.tml. QR kodi ir ikdienas realitāte daudzās nozarēs, tāpēc drošības aspektiem arī būtu jāpievērš tikpat liela nozīme.
Potenciāls apdraudējuma avots
Visbiežāk zem melni balto kvadrātu salikumā ir hipersaite, kas to noskenējot ar telefonu, atver konkrētu vietni, reizēm parāda kādu tekstu vai sniedz cita veida informāciju.
Ja krāpnieciska e-pasta gadījumā vēl pirms noklikšķināšanas var “uziet” uz konkrētā linka ar peles kursoru un pārbaudīt, vai links atbilst tam, par ko uzdodas, tad QR kodi nav salasāmi ar aci, iepriekš nav iespējams pārbaudīt, uz kādu vietni tiksiet novirzīts pēc skenēšanas. Ja krāpnieciska e-pasta gadījumā, ar peles kursoru “uzejot” uz konkrētā linka iespējams pārbaudīt, vai tas atbilst tam, kas it kā redzams.
Izplatītākie apdraudējumi
Viens no izplatītākajiem ir QR kodi, kas ved uz viltus vietnēm, kuras ir vizuāli līdzīgas uzticamu organizāciju mājas lapām. Tas tiek darīts, lai izkrāptu lietotāju pieteikšanās datus vai maksājumu informāciju. Arī Latvijā iedzīvotāji ir zaudējuši naudu, neuzmanīgi skenējot QR kodus, piemēram, kāds pasažieris mēģināja iegādāties Liepājas sabiedriskā transporta e-biļeti, noskenējot QR kodu, un, nonākot vietnē, kur prasīts samaksāt vienu eiro par e-biļeti, veicis maksājumu, nepievēršot uzmanību vietnes adresei. Pēc datu ievadīšanas biļeti neizdevās nopirkt un tikai pēc laika secināts, ka no bankas konta noņemti 55 eiro – 1 eiro plus divi maksājumi, katrs pa 27 eiro.
QR kodam atrodoties publiskā vietā, pastāv iespējamība, ka oriģinālais QR kods var tikt aizstāts ar citu, un šo atšķirību vizuāli var būt ļoti grūti pamanīt. Noskenējot viltoto QR kodu, tas novirza uz citu saturu vai veic kādas citas kaitnieciskas darbības.
Pastāv risks, ka QR koda skenēšana var rezultēties ar failu lejupielādi, kas satur ļaunatūru. Šajā gadījumā pēc ierīces inficēšanas ļaunatūra var piekļūt ierīces datiem, sekot līdzi veiktajām darbībām tajā, vai pat paralizēt sistēmu.
Var gadīties, ka apdraudējums slēpjas privātuma pārkāpumos. Iespējams QR kods ietver izsekošanas mehānismu, kas vāc datus par lietotāja uzvedību, ierīces tipu, IP adresi un citus metadatus.
QR kodi var tikt iekļauti arī pikšķerēšanas e-pastos, kuru mērķis ir panākt, ka e-pasta saņēmējs noskenē QR kodu un ievada savus datus viltus vietnē, piemēram, krāpnieki mēdz izsūtīt e-pastus par nodokļu atmaksu un aicina skenēt QR kodu.
Arī lietotnes, kuras tiek izmantotas QR kodu skenēšanai, var radīt apdraudējumu, ja netiek lejupielādētas no uzticamām vietnēm. QR kodi pēc būtības ir tikai vizuāls datu nesējs – parasti hipersaite, teksta rinda vai cita veida informācija. Tomēr tie var tikt viegli manipulēti vai aizstāti ar viltus kodiem, kas novirza uz viltus vietnēm, inficē ierīces ar ļaunatūru vai ievāc sensitīvus datus bez lietotāja piekrišanas.
Kā mazināt riskus?
Lai mazinātu riskus, ko rada QR kodu izmantošana, būtu jāpievērš uzmanība šādiem drošības principiem.
QR koda skeneris. Lai skenētu QR kodus, iesakām izmantot telefonā iebūvēto kameras lietotni. Lielākā daļa mobilo telefonu kameru lietotņu spēj atpazīt un nolasīt QR kodus. Ja tomēr kādu iemeslu dēļ iebūvētā kamera jūsu tālrunī nespēj nolasīt QR kodu un ir nepieciešama papildu lietotne, tad aicinām to lejupielādēt no drošiem avotiem, tādiem kā Google Play Store vai Apple App Store. Iepriekš vajadzētu apskatīt, kas ir tās izstrādātājs, iepazīties ar atsauksmēm, citu lietotāju vērtējumu, kā arī pievērst uzmanību pieprasītajām atļaujām.
QR skenerim nepieciešama tikai piekļuve kamerai. Ja tas prasa arī piekļuvi kontaktu sarakstam, mikrofonam vai kam citam— tas var būt drošības risks. Bezmaksas QR skeneri var rādīt lietotnē reklāmas, pirms atvērt QR kodā iekodēto vietni, tādēļ aicinām būt vērīgiem, izmantojot trešo pušu lietotnes, un izvairīties no steigas, lai QR koda vietā kļūdas pēc neatvērtu reklāmu. Der pievērst uzmanību arī reklāmu daudzumam, arī to pārmērīga esamība var liecināt par potenciālu drošības risku. Reklāmas var vākt datus vai saturēt cita veida kaitīgu informāciju.
QR kods ar priekšskatījumu. Šobrīd daudzos gadījumos QR koda lietotnes ļauj vispirms apskatīt saiti, pirms tās atvēršanas. Lai arī pašu QR kodu pārbaudīt nevar, pirms tā atvēršanas tiek parādīta tīmekļa vietnes adrese, kas tiks atvērta. Šis ir brīdis, kad iespējams pārliecināties, ka atvērsiet, piemēram, autobusu sarakstu nevis kādu viltus lapu.
Piesardzība publiskās vietās: Izturieties kritiski pret QR kodiem, kuri atrodas publiskās vietās un kuru izcelsme nav zināma, piemēram, uz laternas staba vai sienas esošs QR kods aicina pievienoties kādai kustībai vai plakātā minēts, ka noskenējot QR kodu varat iegūt pārsteidzošu atlaidi vai kādu balvu. Piesardzība jāievēro arī gadījumos, ja QR koda izcelsme šķiet zināma, piemēram, restorānā uz galdiņa stūra ir uzlīmēts QR kods it kā atsauksmju sniegšanai. Pirms skenēt šo kodu der palūkoties apkārt, vai šāda uzlīme ir uz visiem galdiņiem (restorāns tiešām šādi vēlas iegūt atsauksmes) vai tikai uz šī galdiņa (iespējams, šo uzlīmi uzlīmējis kāds apmeklētājs) un vai sākotnējai uzlīmei kāds nav pārlīmējis citu QR koda uzlīmi pa virsu
Regulāri atjauniniet savas ierīces un izmantojiet pretvīrusu programmatūru. Lai efektīvāk pasargātu sevi no krāpniekiem, iesakām uzstādīt arī bezmaksas aizsardzību – CERT.LV un NIC.LV - .LV domēna reģistrs DNS ugunsmūri, kas paredzēts tā lietotāju aizsardzībai no Latvijā aktuālām krāpšanas kampaņām internetā. DNS mūri iespējams lejupielādēt gan telefonā, gan citās ierīcēs. Vairāk informācijas: https://dnsmuris.lv.
QR kodi ir noderīgs tehnoloģiju rīks, tomēr, līdzīgi kā citas digitālās tehnoloģijas, arī tie var tikt izmantoti ļauniem nolūkiem. Tomēr ar zināmu piesardzību un izpratni ir iespējams ievērojami mazināt šos riskus un droši lietot QR kodus ikdienā. Skenē gudri un atbildīgi!