האם קוד QR יכול להזיק לכם¶
קודי QR נמצאים היום כמעט בכל מקום - תפריט מסעדה, שלט חניה, פרסומת ברחוב, קבלה בקופה. הנוחות ברורה, סורקים ומגיעים ישר ליעד בלי להקליד כתובת. אבל הנוחות הזו יצרה גם שיטת הונאה חדשה יחסית, שנקראת "קוישינג" (Quishing) - פישינג באמצעות קוד QR. הנה מה שכדאי לדעת לפני שסורקים.
למה קוד QR מסוכן יותר מקישור רגיל¶
כשמקבלים קישור בהודעת מייל, לפחות באופן עקרוני אפשר להעביר עכבר מעליו ולראות לאן הוא באמת מוביל לפני שלוחצים. קוד QR הוא בעצם אותו קישור, רק מוצפן בתוך תמונה. אי אפשר "לראות" לאן הוא מוביל בלי לסרוק אותו קודם, מה שהופך אותו לפחות שקוף. תוקפים מנצלים בדיוק את זה.
איך הונאות QR נראות בפועל¶
הדבקת מדבקה מזויפת מעל קוד אמיתי. אחת השיטות הנפוצות ביותר - תוקף פשוט מדביק מדבקה עם קוד QR מזויף מעל שלט חניה אמיתי, מכונת תשלום, או תפריט מסעדה. מבחינה חזותית זה נראה כמעט זהה, אבל הקוד מוביל לאתר תשלום מזויף שגובה כרטיס אשראי ולא באמת משלם על החניה.
קודי QR בפרסומות שמובילים לאתר פישינג. פלייר או פרסומת ברחוב עם קוד QR ל"הטבה מיוחדת", שמוביל לאתר שמבקש פרטי כרטיס אשראי לכאורה לצורך רישום.
קודי QR בהודעות מייל ומסמכים. תוקפים לומדים שסינון מייל אוטומטי טוב יותר בזיהוי קישורי טקסט מזיקים מאשר בסריקת תוכן תמונה. לכן מיילים עם קוד QR מוטמע בתוכם, שמבקשים "לסרוק כדי לאמת חשבון", הופכים נפוצים יותר.
קוד QR "מתנה" בעלון או מדבקה ברחוב. לפעמים מגיע בפשטות עם כיתוב "סרקו כדי לקבל וויפיי חינם" או "סרקו לקופון", ומוביל להתקנת אפליקציה זדונית או לדף פישינג.
הסימנים שכדאי לשים לב אליהם¶
מדבקה שנראית לא מתאימה למקום. קוד QR שמודבק בצורה גסה, לא מיושר, או שנראה כמו תוספת מאוחרת על גבי שלט קיים, הוא סימן חשוד ממש.
קוד QR שמוביל לבקשת תשלום מיידית. במיוחד בהקשר של חניה או קנס, כדאי לבדוק שהכתובת שנפתחת אכן שייכת לרשות החניה או לחברה הרשמית, ולא לדומיין מוזר.
הבטחת פרס או הטבה מוגזמת. אותו עיקרון כמו בכל הונאה אחרת - אם ההטבה נראית טובה מדי, זה כנראה כי היא לא אמיתית.
איך סורקים בבטחה¶
בודקים את הכתובת שנחשפת לפני שלוחצים להיכנס. רוב אפליקציות המצלמה המובנות בטלפון מציגות תצוגה מקדימה של הכתובת לפני שנכנסים בפועל אליה. קוראים אותה בעיון בדיוק כמו שבודקים קישור בהודעת פישינג.
זהירות מיוחדת בתשלומים דרך QR. אם מדובר בתשלום כלשהו - חניה, קנס, כניסה לאירוע - עדיף לחפש בעצמכם את האתר הרשמי של הגוף הרלוונטי (רשות החניה, העירייה) במקום לסרוק קוד לא מוכר, במיוחד אם הוא נראה כמו מדבקה שהודבקה בנפרד.
לא מתקינים אפליקציה רק כי קוד QR הפנה אליה. אם קוד מוביל להתקנת אפליקציה, בודקים בעצמכם בחנות האפליקציות הרשמית שהיא אכן קיימת שם ומגיעה מהמפתח הצפוי, במקום להתקין ישירות מקובץ שהקוד מוריד.
שקילת אפליקציית סורק ייעודית עם בדיקת בטיחות מובנית. יש אפליקציות סורק QR חינמיות שבודקות את הכתובת מול רשימות אתרים ידועים כמזיקים לפני שהן פותחות אותה בכלל.
מה עושים אם כבר סרקתם והזנתם פרטים¶
בדיוק כמו בכל מקרה של פישינג - מתקשרים מיד לחברת האשראי לדיווח על חשד להונאה, משנים סיסמאות אם הוזנו, ובודקים תנועות בחשבון בימים הקרובים.
המסקנה¶
קוד QR עצמו הוא רק פורמט לקישור, לא סימן להונאה. הזהירות שצריך להפעיל בסריקתו זהה בדיוק לזהירות שצריך להפעיל בלחיצה על כל קישור אחר - רק שכאן, בגלל שהקישור מוסתר בתוך תמונה, קל יותר לפספס את הסימנים המוכרים.
אם הנושא הזה מסקרן אתכם¶
אם אתם סקרנים איך תוקפים בונים דפי נחיתה מזויפים משכנעים שקוד QR מוביל אליהם, זה קשור ישירות לעולם הנדסה חברתית ופריצת אתרים. יש לנו קורס פריצת אתרים חינמי שנוגע גם בזה.
ואם נתקלתם בקוד QR שנראה לכם חשוד ובא לכם חוות דעת שנייה - הקהילה שלנו כאן בשבילכם.