کدهای (Quick Response) یک تهدید امنیتی خرابکارانه

کمیته رکن چهارم – در واقع امروزه کدهای(Quick Response‏) QR را در همه جا می بینید. کدهای QR برای اولین بار برای ساده‌سازی فرآیند تولید در صنعت خودروسازی ژاپن استفاده شد و از آن موقع به بعد شرکت‌ها در همه امورات از مزایای کدهای QR بهره می‌برند.

پیاده‌سازی کدهای QR ارزان است و تقریباً در همه موارد قابل استفاده است و به همین دلیل است که هم اکنون هر صنعت از خرده فروشی گرفته تا مراقبت‌های بهداشتی از آنها به‌عنوان روشی سریع و آسان برای پیوند مردم به وب سایت‌ها، کمپین‌های تبلیغاتی، سوابق پزشکی بیمار و پراخت‌های مالی با تلفن همراه استفاده می‌کنند.

استفاده از کدهای QR فقط به دلیل سهولت استفاده و مقرون به صرفه بودن آن نیست، بلکه این کدها به امری ضروری در امور روزمره تبدیل شده‌اند. علاوه بر این حداقل ۸۱ درصد آمریکایی‌ها، یک دستگاه تلفن هوشمند دارند و تقریباً همه این دستگاه‌ها می‌توانند کدهای QR را بدون نیاز به یک برنامه جانبی بخوانند.

شرکت MobileIron برای درک بهتر وضعیت کد QR در ماه سپتامپر از حدود ۲۰۰۰ مشتری در ایالات متحده و انگلیس نظرسنجی کرد و نتایج نظرسنجی مشخص کرد که بیش از یک سوم کاربران تلفن همراه کد QR را اسکن کرده‌اند.

نتایج نظرسنجی مشخص کرد که کاربران تلفن همراه واقعاً خطرات احتمالی کدهای QR را درک نمی‌کنند و تقریباً سه چهارم (۷۱%) پاسخ دهندگان نمی‌توانند کدهایQR قانونی را از مخرب تشخیص دهند. در همان زمان طبق بررسی‌های انجام شده، تلفن همراه بیش از نیمی (۵۱%) از کاربران از نظر امنیتی وضعیت مناسبی نداشتند.

خطر واقعی کدهای QR چیست؟

در حقیقت هک کردن یک کد واقعی QR بسیار پیچیده است. ولی هکرها از یک روش ساده‌تر برای این کار استفاده می‌کنند. آنها یک نرم افزار مخرب را در کدهای QR وارد می‌کنند. برای یک کاربر معمولی این کدهای مخرب با یک کد QR واقعی تفاوتی ندارد. ولی همین کد مخرب کاربر را به یک وب‌سایت تقلبی هدایت می‌کند که می‌تواند اطلاعات شخصی کاربر را سرقت کند یا نرم افزار مخربی را بر روی گوشی هوشمند نصب کند.

این نرم افزار مخرب می‌تواند تغییرات زیر را در یک گوشی هوشمند ایجاد کند:

1. یک لیست تماس جدید به گوشی اضافه کند و از این طریق یک حمله فیشینگ انجام دهد.
2.  یک تماس صوتی مخرب با یک کلاهبردار برقرار کند و به این طریق شماره تماس فرد را در اختیار یک کلاهبردار قرار دهد.
3.  یک پیامک به یک خرابکار ارسال کند و همچنین می‌تواند یک پیامک از یک فرد خرابکار دریافت کند.
4.  می‌تواند ایمیل کاری کاربر را هدف قرار دهد و به آن ایمیل‌های مخرب ارسال کند.
5.  می‌تواند با سرقت اطلاعات فرد یک پرداخت اینترنتی انجام دهد.
6. موقعیت مکانی فرد را شناسایی کند و در اختیار یک اپ یا وب‌سایت قرار دهد.
7.  اکانت‌های مخرب شبکه‌های اجتماعی را دنبال کند و از این طریق اطلاعات شخصی کاربران را در اختیار این اکانت ها قرار دهد.
8.  یک شبکه وای فای را به موبایل اضافه کند که می‌تواند به‌طور اتوماتیک گوشی را به شبکه‌های دیگر وصل کند.

کاربران چه اقداماتی می‌توانند انجام دهند؟

1.  ابتدا خوب نگاه کنید: از قانونی بودن کد QR اطمینان حاصل کنید، به ویژه کدهای چاپی که می‌توانند با کدی متفاوت جایگذاری شوند.
2.  فقط اسکن کدها از سایت‌های معتبر: کاربران تلفن همراه باید فقط کدهای معتبر را اسکن کنند. به علایم هشدار مانند آدرس یک وب که می‌تواند با آدرس اینترنتی کمپانی متفاوت باشد، توجه کنید.
3.  مراقب پیوندهای bit.ly باشید: پیوند bit.ly را که پس از اسکن کد ظاهر می‌شود، بررسی کنید. این پیوندها اغلب برای پنهان کردن URL های مخرب استفاده می‌شوند، اما با اضافه کردن یک علامت (+) در انتهای URL می‌توان پیش نمایش آنها را با خیال راحت انجام داد.

منبع : تریدپست