Transcription

Cześć! Kody QR są dziś praktycznie wszędzie. Na plakatach, w reklamach, czy w restauracjach, aby zapoznać się z menu przy stoliku. Pozwalają nawet zweryfikować oryginalność kupionych za miliony monet Kiksów. Niestety, mogą też stanowić poważne zagrożenie dla naszego bezpieczeństwa, jeżeli korzystamy z nich bez żadnego zastanowienia. Dlaczego? Zapraszam. Zacznę od odrobiny historii. Skąd te charakterystyczne kody w ogóle się wzięły, do czego są wykorzystywane oraz jak zawładnęły światem? Jeśli Cię to nie interesuje, śmiało przejdź od razu do następnego rozdziału, choć polecam posłuchać, bo zawsze lepiej jest znać szerszy kontekst. Bo dziś spotykamy się z nim na każdym kroku. Więc do rzeczy. Proste kody kreskowe, które znajdziemy na każdym produkcie w sklepie, znane są od przełomu lat 40. i 50. zeszłego wieku, a szeroko używane są od jakichś 50 lat. Ich zadaniem było uproszczenie oraz przyspieszenie procesu rozliczania płatności za zakupy. Zamiast pamiętać kody czy ceny na każdy jeden towar na ogromnej hali, teraz kasjerowi zostają w głowie głównie kajzerki czy inne warzywa. Nadal sporo, ale jednak o parę rzędów wielkości mniej niż on dziś. W dodatku skanując kod specjalnym czytnikiem, unika się pomyłek w zakresie wpisania błędnego numeru czy tego, że ktoś po prostu czegoś zapomni. Nic dziwnego, że podobne systemy zaczęły być wdrażane w wielu innych miejscach. Na przykład w magazynach, przez firmy logistyczne czy nawet w szpitalach. Popularność ma jednak zawsze swoją cenę. Z czasem chciano upychać w nich coraz więcej i więcej danych, do czego zwyczajnie się nie nadawały. Stąd ewolucja i przeskok z jednego wymiaru w dwa. Pojawienie się kodów QR to skrót od quick response, czyli szybka odpowiedź, jak wiele wynalazków wyniknęło wprost z potrzeby i faktu, że dotychczasowe rozwiązania przestały wystarczać. Bo jednowymiarowy pasek może przechować zaledwie kilka znaków, kilka cyfr, zanim stanie się dłuższy od średniej wielkości węża. W połowie lat dziewięćdziesiątych japoński inżynier, natchniony partią Go, Masahiro Hara, pracujący dla firmy Denso, opracował w tym zakresie nowe rozwiązanie. Początkowo chodziło o to, aby można było wykorzystać je do lepszego zarządzania komponentami w fabrykach samochodów Toyoty. Kaizen, wiadomo. Dziś QR-ki znajdziemy na każdym kroku, na etykietach paczek kurierskich, biletach na koncerty czy pociąg, w autobusach. Z czego wynika tak szeroka ich popularność? Ano z praktyczności. Pozwalają one w błyskawiczny sposób przekazać naszym telefonom całkiem sporą ilość informacji. Można w nich zaszyć choćby jakiegoś dłuższego linka, którego przepisywać ręcznie przecież nikomu by się nie chciało w tak szybko pędzącym na przód świecie. Zresztą nie chodzi tylko o proste odnośniki do strony internetowych, bo zaszyli w nich można całkiem sporo informacji. Na przykład poświadczenia do nieznanej nam jeszcze sieci Wi-Fi. Cyk i gotowe, jesteśmy połączeni. Albo wizytówkę kontaktu. Nie trzeba mozolnie przepisywać wszystkich numerów czy maili. Ba, są nawet tacy, co wpadli na to, jak zakodować wewnątrz nich grafikę, ale to nie jest temat na dziś. Kody QR posiadają też wbudowane mechanizmy korekcji błędów, dzięki czemu nawet jak ktoś je lekko uszkodzi, to nadal spełniają swoją rolę. To po prostu wygodne rozwiązanie. Dokąd więc te czarno-białe szachownice trafiły i dlaczego mogą stanowić zagrożenie? Jednym z popularniejszych ostatnio zastosowań dla kodów QR jest umieszczenie ich przez różne restauracje na stolikach czy na drzwiach wejściowych, aby można było je zeskanować, gdy stoimy jeszcze w kolejce. Pozwala to najczęściej podejrzeć aktualne menu, zamówić jedzenie z wyprzedzeniem albo bez fatygowania kelnera, czy nawet zapłacić z góry. Mechanizm tę szczególną popularność zdobył w trakcie trwania pandemii, dzięki czemu ograniczano kontakty pomiędzy gośćmi a obsługą oraz eliminowano przekazywanie fizycznego menu od osoby do osoby. QR-ki spotkamy także w różnych reklamach, gdzie po zeskanowaniu trafimy na sociale firmy czy pod stronę jakiejś promocji. Pobierzemy też aktualny program na festiwalu filmowym, agendę konferencji czy mapę zoo. Dla nas to wygoda, bo mamy wszystko pod ręką w swoim telefonie, a dla dostawców usług znaczne ograniczenie kosztów. Bo gdy tylko coś się zmieni, wystarczy zaktualizować stronę czy PDF-a i nie trzeba drukować setek nowych folderów. Trafiły nawet do muzeów, choć nie w roli eksponatów takim ze sztuką nowoczesną. Zobaczymy je obok dzieł sztuki i w ten sposób doczytamy szczegółowy życiorys artysty oraz zobaczymy inne jego prace, aby lepiej zrozumieć wszystkie kulturowe konteksty. Skasujemy nawet bilet w zbiorkomie, zapłacimy za parking czy sparujemy aplikację w telefonie z komputerem osobistym i to wszystko w sekundę. Niestety QR-kody mają też swoją ciemną stronę. Tam, gdzie w grę wchodzi wygoda i automatyczne odruchy, tam, na naszą nieuwagę, lubią czaić się przestępcy. Przejdźmy do odpowiedzi szerokiej, dlaczego nie powinieneś bez zastanowienia skanować kodów QR, ufając im w pełni. Podstawą większości oszustw z QR-kami w roli głównej jest fakt, że nie widzimy na pierwszy rzut oka, dokąd one prowadzą. Skanujemy czarno-białą szafownicę i tyle. Co prawda, większość aplikacji kamer w telefonach na szczęście po zeskanowaniu takiego kodu wyświetli nam, przynajmniej częściowo, docelowy link. Ale często klikamy go automatycznie. Bo przecież co się może stać? A warto dobrze mu się przyjrzeć. Niestety często jest to matrioszka, gdzie pod kodem QR znajduje się odnośnik do jakiegoś serwisu skracającego linki w postaci bit.ly czy innego tinyURL-a. W takiej sytuacji nie jesteśmy w stanie zweryfikować, co wydarzy się po przejściu dalej. W jaki więc sposób oszukuje się, wykorzystując kody QR? Metody liczy się w setkach i ogranicza je jedynie kreatywność przestępców. Zdecydowana większość skamów z kodami QR w roli głównej przebiega w bardzo podobny sposób do klasycznego phishingu, stosowanego np. w mailach. Po prostu próbuje się w ten sposób zachęcić ofiarę do przejścia na stronę ukrytą pod linkiem czy w tym wypadku pod kodem, aby następnie w jakiś sposób omotać ją i jej zaszkodzić. Ta nowa metoda ma nawet już swoją nazwę – quishing. Oszuści mogą w ten sposób próbować zachęcić nas choćby do zainstalowania rzekomej aktualizacji systemu operacyjnego czy aplikacji spoza oficjalnego sklepu, która będzie zawierać jakieś złośliwe oprogramowanie albo będzie udawać aplikację do banku, abyśmy następnie wpisali w niej swoje dane logowania. To prosta droga do utraty pieniędzy. W skrajnych przypadkach, choć uczciwie trzeba przyznać, że to jest raczej pogranicze z science fiction, możemy zostać przekierowani na stronę wykorzystującą looki w naszej przeglądarce, co w efekcie może oznaczać przejęcie kontroli nad naszym telefonem przez przestępców, nawet bez instalacji czegokolwiek. To dość abstrakcyjny scenariusz, choć w teorii jest on możliwy, szczególnie jeżeli korzystamy z dawno niewspieranego oprogramowania na swoich urządzeniach. Ale spokojnie, jeżeli nie jesteś prezesem ogromnej korporacji, nie masz się raczej czego obawiać. Nikt nie marnuje takich metod na Szarego Kowalskiego, bo są one po prostu niebotycznie wręcz drogie. Po prostu zaktualizuj swój telefon, kiedy o to prosi. Jednym ze sposobów przestępców na oszustwo jest umieszczenie złośliwego kodu w miejscu, w którym możemy się go spodziewać. W sensie kodu w ogóle, nie tylko złośliwego. Na przykład na parkomatach, gdzie po zeskanowaniu go rzekomo mieliśmy mieć możliwość szybko i wygodnie uiścić opłatę za miejski parking. Informowałem was nawet o tym w jednym ze swoich shortów. Sytuacje takie miały miejsce choćby w Katowicach czy Krakowie. Dlatego warto zawczasu wiedzieć, w jaki sposób można realizować mikropłatności za tego typu usługi. Przestępcy zresztą czasami nie tylko naklejają swoje własne kody, co zaklejają swoimi kody, które już w danym miejscu były. Dlatego zawsze warto sprawdzić, czy nie jest to po prostu naklejka na innej naklejce. No ale co dzieje się, kiedy zeskanujemy taki złośliwy kod? Jesteśmy przekierowywani na fałszywą stronę, na której rzekomo możemy zapłacić kartą czy przelewem za parkowanie. Wisywane tam dane trafiają w ręce przestępców, którzy spróbują albo wykorzystać dane naszej karty do jakichś transakcji, albo, gdy podamy dane swojego konta, będą próbowali je wyczyścić ze wszystkich pieniędzy. A w dodatku pewnie jeszcze dostaniemy mandat od miasta za parkowanie. I to kolejne miejsce, w którym ktoś może spróbować nas oszukać. Bo w takiej Warszawie choćby za wycieraczkami kierowców pojawiły się niby mandaty za wykroczenia. Jakie wykroczenia? A no, żeby się dowiedzieć, to trzeba było zeskanować kod QR. Wszystko uwiarygadniały logotypy policji, gospodarzy miejskiej czy Krajowej Administracji Skarbowej. Nie muszę chyba dodawać, że kod prowadził na stronę przestępców i pewnie po zapoznaniu się z jakimś ogólnym przepisem zachęcał do niezwłocznego uregulowania opłaty, która przecież, jak się pospieszymy, to będzie znacząco mniejsza. O! Od razu jest nawet bramka płatności. Wystarczy podać dane logowanie do konta i... Sami już wiecie pewnie, co dalej. Wpadają one w ręce złodziei, którzy w ten sposób będą próbowali wyczyścić nasze konto. Oszustwa tego rodzaju są dość popularne na całym świecie. Są szczególnie niebezpieczne w miejscach mocno nastawionych na zagranicznych turystów. Bo jakiś hiszpan czy inny duńczyk nie musi wiedzieć, jak rozwiązuje się takie sprawy w naszym kraju. A jak kwota jest w miarę niewielka, to każdy chyba woli mieć problem od razu z głowy. Łatwo więc dać się nabrać. Z podobnym zagrożeniem spotykamy się też, gdy wystawiamy jakiś przedmiot na sprzedaż za pośrednictwem któregoś z popularnych portali. Schemat wygląda następująco. Zgłasza się do nas potencjalny kupiec. Dla niepoznanki zadaje kilka konkretnych pytań. Czy to radio to na pewno od tego modelu auta i czy nie kradzione? Aby w końcu podjąć decyzję o zakupie. Zamiast jednak przejść przez oficjalny proces płatności dostarczany przez platformę, przesyła nam kod, po zeskanowaniu którego rzekomo dostaniemy pieniądze. I to z góry przejście pod ukryty za nim odnośnik oznaczać będzie zderzenie z kolejną próbą wyłudzenia danych, na przykład osobowych, numeru naszej karty kredytowej, czy danych logowania do banku wraz z autoryzującymi wszystko kodami jednorazowymi. Możemy też dostać na skrzynkę pocztową wiadomość, że jest jakiś problem z naszą paczką, choć nawet nie przypominamy sobie, że coś zamawialiśmy. Kurier nie mógł dostarczyć. Trzeba dopłacić złotóweczkę. Znacie to, klasyk. Tylko zamiast linka jest kod i logo firmy spedycyjnej. Wysyłano też wiadomości o rzekomej nadpłacie podatku, gdzie, aby otrzymać jego zwrot, wystarczy zeskanować kod. Jeśli to zrobimy, trafimy na stronę przypominającą e-urząd i dalszy schemat jest dokładnie taki sam. Przestępcy próbują usypiać naszą czujność, bo na telefonie często trudniej zobaczyć pełny odnośnik, pod który jest się kierowanym, a konsekwencje mogą być tragiczne. W dodatku filtry antyspamowe o wiele trudniej mają wyłapać takie wiadomości. Jeśli znajdą one w treści jakiegoś linka, który jest podejrzany, wiadomość może trafić prosto do kosza. A kod QR jest w formie obrazka, których przecież w wiadomościach jest wiele. Co ważne, nie dotyczy to tylko poczty elektronicznej. Uważajmy też na tradycyjne listy, jak choćby od kogoś podającego się za windygatora należności. No ale przecież nie zalegamy nikomu żadnych pieniędzy. Na szczęście pod treścią listu znajduje się kod QR, który wystarczy zeskanować, aby dowiedzieć się, o co tak właściwie chodzi. No i dalej wiadomo. W QR-kodach pojawiają się również bardziej wyrafinowane sposoby na wprowadzenie kogoś w błąd. Jednym z zagrożeń jest możliwość przygotowania kodu QR w taki sposób, aby prowadził naraz w dwa różne miejsca. To nie nowość, problem znany jest od zarania dziejów i początkowo działał na podobnej zasadzie, jak animowane tazosy czy inne karty, które znajdowaliśmy za dzieciaka w chipsach. Wykorzystując odpowiednie nakładki, można było przygotować grafikę, a w sumie to dwie osobne grafiki, w taki sposób, aby zeskanowanie ich nieco bardziej z lewej strony dawało jeden efekt, a kierując aparat nieco z prawej – drugi. To jednak nietrudno zauważyć, po prostu trochę lepiej się przyglądając. Christian Walter wpadł na pewien pomysł, jak osiągnąć podobny efekt dużo mniejszym kosztem. O co chodzi? Ano nałożył on na siebie dwa różne kody. W miejscach, które nie pokrywały się ze sobą, podzielił takie fragmenty po prostu na kolejną, mniejszą szachownicę i połowie pól nadał wartości odpowiadające pierwszemu kodowi, a drugiej połowie drugiemu. Stworzył w ten sposób takie kwantowe fragmenty, których wartości naraz odpowiadają dwóm różnym stanom. W efekcie, w zależności od ustawień aparatu, użytej aplikacji, konta, skanowania kodu, oświetlenia oraz czasami po prostu szczęścia, kod taki może być zinterpretowany na dwa różne sposoby. W zaprezentowanym przykładzie jeden z nich prowadził do konta Christiana w serwisie społecznościowym na Mastodonie, a drugi do jego profilu na GitHubie. To tym ciekawsze, że w kody QR wbudowane jest dość sporo różnych zabezpieczeń, choćby na wypadek ich częściowego uszkodzenia albo niepełnej widoczności. I mimo tego zabieg się udał. Choć w sumie bardziej nawet dzięki temu, bo oszukuje się w ten sposób właśnie mechanizm korekcji błędów wbudowany w kody. Niebezpieczne może też być nadużycie mechanizmu logowania i z wykorzystaniem kodu QR. O co chodzi? A weźmy sobie na przykład takiego signala. Korzystamy z niego na swoim telefonie, aby bezpieczniej komunikować się ze swoimi bliskimi czy współpracownikami. A może nawet cenimy sobie możliwość udostępnienia w miarę anonimowej drogi skontaktowania się z nami innym, bo jesteśmy jakimś dziennikarzem. Ale z signala można korzystać też na komputerze, instalując po prostu odpowiednią aplikację. Nadal to telefon jest naszym głównym urządzeniem, bo komputer po prostu jest takim jego podwładnym. Aby sparować urządzenia ze sobą, musimy zeskanować w aplikacji signala na swoim telefonie kod QR wyświetlony przez apkę na ekranie komputera. Prosta sprawa. Jeśli jednak ktoś o niecnych zamiarach w jakiś niecny sposób zmusi nas do zeskanowania przesłanego przez niego kodu, to od tej pory będzie w stanie czytać wszystkie nasze następne wiadomości, a nawet je w naszym imieniu wysyłać. Problem oczywiście nie dotyczy jedynie signala, bo podobne funkcje posiadają choćby Whatsapp czy androidowa aplikacja do przesyłania smsów. W przypadku sparowania tej ostatniej przez przestępców zagrożenie w sumie jest jeszcze większe, bo pozwala to choćby na odczytywanie przesyłanych nam kodów jednorazowych, kodów bezpiecznych nie należą, powinny dawno zostać porzucone, ale nadal często to właśnie podając kod otrzymany smsem można zresetować dostęp do różnych kont w usługach. A to pozwala przestępcom przejąć nad nimi kontrolę w krótką chwilę. To nie jedyne zagrożenie. Pełen dostęp do naszej skrzynki wiadomości pozwala wysłać w naszym imieniu smsy premium na numery kontrolowane przez przestępców, jak i płacąc w ten sposób za różne rzeczy. Na przykład karty podarunkowe. Zapłacimy za to furę pieniędzy, a warto mieć świadomość, że często celem takich ataków są dzieci grające w różne gry online. Zachęca się je do zeskanowania kodu w zamian za jakiś prezent w grze i w konsekwencji dają one zdalny dostęp do swojego telefonu przestępcom, którzy mogą zapłacić w ten sposób za jakieś cyfrowe dobra. Skórki w grach, które potem opchną innym już za pieniądze. W dodatku złodzieje uzyskają dostęp do ich listy kontaktów oraz historii przesłanych wcześniej wiadomości. A więc nie tylko uzyskają ogromną listę potencjalnych celów do zrobienia choćby na blika, podszywając się pod dziecko, ale też naraża to na szantaż w związku na przykład z przesłanymi wcześniej wiadomościami czy zdjęciami. Najlepiej więc po prostu, gdzie to tylko możliwe, nie korzystać z SMS-ów i wybrać bezpieczniejsze metody komunikacji. Jak chcecie dokładnie zobaczyć, jak taki proces oszukiwania użytkowników Discorda wygląda od strony ofiary, to polecam Wam webinar Adama Huntle z zaufanej trzeciej strony, który postanowił kiedyś pobawić się ze złodziejami w kotka i myszkę. Warto też wiedzieć, że kod QR może zawierać odnośnik nie tylko do strony internetowej, ale również do wykonania jakiejś predefiniowanej akcji. Na przykład wykonania połączenia telefonicznego na jakiś numer lub wysłania SMS-a. Samo jego zeskanowanie powinno w takiej sytuacji otworzyć naszą aplikację, telefonu czy też tę służącą do wysłania wiadomości oraz wpisać za nas treść. I tam też możemy natknąć się na numer premium. Owszem, musimy sami kliknąć zieloną słuchawkę żeby zatwierdzić wiadomość do wysłania, ale w pośpiechu ludzie klikają z roztargnienia różne rzeczy. Co robić i jak żyć? Chcesz dowiedzieć się więcej? Przygotowałem na uczwnie.pl krótkie szkolenie o QR kodach. W dodatku za darmo, a to naprawdę uczciwa cena. Jeśli oglądasz ten materiał w formie wideo, a nie podcastu, to widzisz teraz na ekranie kod QR. Zeskanuj go, a trafisz pod adres, gdzie będziesz mógł to szkolenie zobaczyć. Zresztą, jeżeli mi nie ufasz i jesteś podcastowiczem, to w opisie znajdziesz też klasyczny odnośnik kierujący Cię w to samo miejsce. Traktuj kody QR jak linki i bądź w stosunku do nich co najmniej tak samo podejrzliwy. A nawet bardziej. Jeśli nie masz stuprocentowej pewności w jaki sposób dany kod QR trafił na swoje miejsce oraz nie ufasz w pełni jego twórcy czy też właścicielowi, uważaj. Sprawdź też, dokąd taki kod prowadzi, bo wyświetla się to często w aplikacji kamery. Przynajmniej domena. Jeśli jej nie znasz albo jest to jakiś serwis skracając linki, odpuść. Nie ufaj szczególnie kodom QR kierującym Cię w jakieś miejsce. Takie weryfikujące coś wewnątrz aplikacji, jak choćby te umieszczane w komunikacji miejskiej, które zeskanować trzeba, aby zwalidować bilet na autobus, są okej. Jeśli zeskanowanie tego wiszącego nad ostatnim rzędem siedzeń nie zadziałało, to nie wychodź z aplikacji, żeby zeskanować jej aparatem, bo to naraża Cię na atak. Po prostu skieruj swój aparat na kod wiszący gdzie indziej. Samo skanowanie kodu przeważnie niczym nie grozi. Dopiero przejście pod adres, do którego kieruję, jest w stanie napsocić. Warto jednak mieć na uwadze, że w pośpiechu łatwo obłąd. Przestępcy przygotowują różne lewe serwisy w taki sposób, że często naprawdę dość trudno odróżnić je od prawdziwych. Dlatego bądź czujny i nie spiesz się. Schemat jest dokładnie taki sam jak ze złośliwymi linkami. Po prostu jest to inny sposób, aby zachęcić nas do przejścia na serwisy kontrolowane przez kogoś o złych zamiarach. Przyjrzyj się dobrze kodowi, który chcesz zeskanować. Nie rób tego odruchowo. Jeżeli zauważysz jakieś anomalie, np. że ktoś przykleił coś w miejscu, gdzie znajduje się QR-ka, nie skanuj jej. Np. jeśli zmienia się ona w zależności od kąta patrzenia na nią. Ktoś prawdopodobnie coś kombinuje i lepiej odpuścić. Dobrą, choć niezbyt popularną praktyką jest podpisywanie kodów adresem, pod który prowadzą. Pozwala to nie tylko zweryfikować, czy skanowana QR-ka prowadzi tam, gdzie powinna, ale pozwala nawet dotrzeć we wskazane miejsce, nawet gdyby kod uległ poważnemu uszkodzeniu albo Jeśli wszystko wygląda ok, a ktoś rzeczywiście korzysta w swoim flow z kodów QR do realizowania płatności kartowych, skorzystaj z jednorazowych kart wirtualnych dostarczanych przez większość banków. Wtedy w najgorszym wypadku stracisz jedynie tę konkretną kwotę, którą założyłeś, że zapłacisz, a nie sporo więcej. No i zawsze też możesz spróbować odzyskać pieniądze z wykorzystaniem mechanizmu chargeback. Nigdy nie podawaj danych logowania do bankowości elektronicznej, jeżeli nie masz pełnej pewności, że robisz to na stronie swojego banku. Jeśli trafiłeś na serwis logowania z jakiegoś linka czy QR-kodu, najlepiej zamknij przeglądarkę i dokonaj ewentualnej transakcji samodzielnie, korzystając z aplikacji banku czy serwisu transakcyjnego. O ile oczywiście w ogóle chciałeś sobie zapłacić. Nigdy nie zezwalaj na parowanie swojego urządzenia z innym, któremu w pełni nie ufasz, szczególnie gdy ktoś oferuje za to coś w zamian. To znany skam celowany choćby w użytkowników Discorda, gdzie w zamian oferuje się różne waluty z gier, doładowania telefonów, skiny do gier czy karty podarunkowe do Steama, Netflixa, Amazona itd. Jeśli zobaczysz na swoim telefonie z Androidem powiadomienie z aplikacji wiadomości, że zostało ono sparowane z innym urządzeniem, a niczego takiego nie robiłeś, natychmiast cofnij tę akcję. Bezpośrednio w powiadomieniu powinieneś mieć taką możliwość, klikając Rozparuj. Jeśli jej nie widzisz, zerknij w aplikację wiadomości do jej ustawień. Zablokuj na swoim telefonie i na telefonach swoich bliskich możliwość wysyłania SMS-ów premium oraz dzwonienia na takie numery. Najlepiej również po stronie operatora telekomunikacyjnego. Jeżeli widzisz w przestrzeni publicznej kod kierujący w jakieś złośliwe miejsce, zgłoś to służbom, nie bądź bierny. Edukuj też swoich znajomych, aby nie skanowali ślepo wszystkiego, co popadnie, a może nawet poślij im ten film. I to już wszystko na dziś. Tymczasem dziękuję za Waszą uwagę i do zobaczenia!