QR-коды могут выглядеть безобидно, но они более опасны, чем вы думаете.
QR-коды популярны, потому что они могут быть быстро считаны цифровыми устройствами и делают многие вещи более практичными. Вы можете просматривать веб-сайты, загружать файлы и даже подключаться к сетям Wi-Fi, отсканировав QR-код.
Но, к сожалению, использование QR-кодов также создает возможные проблемы с безопасностью.
Чем опасны QR-коды?
Кто-то может использовать QR-коды для атаки как на человеческое взаимодействие, так и на автоматизированные системы. Чтобы принять меры предосторожности, рассмотрим несколько примеров.
Атака SQL-инъекцией
Внедрение SQL — это вектор атаки, который хакеры используют для атак на приложения, управляемые базой данных. С помощью этого метода они стремятся украсть данные в базе данных.
Чтобы подойти к этому с точки зрения QR-кода, представьте себе сценарий, в котором программное обеспечение для декодирования QR подключается к базе данных и использует информацию о QR-коде для выполнения запроса. Кроме того, есть
Уязвимость SQL-инъекций. В таком случае считыватель QR-кода может выполнить ваш запрос, не проверяя, исходит ли он из аутентифицированного источника. Таким образом, хакер может украсть информацию в базе данных.Это не так сложно и не так запутанно, как кажется. Когда вы сканируете QR-код, на устройстве чтения QR-кода отображается ссылка. Изменяя параметры URL, можно выполнять атаки, такие как внедрение SQL. URL-адрес, на который перенаправляет вас сканер QR-кода, может, конечно, позволить вам осуществить такой вектор атаки.
Внедрение команд
В методе внедрения команд злоумышленник может внедрить HTML-код, который изменяет содержимое страницы. Всякий раз, когда пользователь посещает измененную страницу, веб-браузер интерпретирует код, что приводит к выполнению вредоносных команд на устройстве, где пользователь сканирует QR-код. Другими словами, это ситуация, когда ввод QR-кода используется в качестве параметра командной строки.
В таком случае злоумышленник может просто воспользоваться ситуацией, изменив QR-код и выполнив на машине произвольные команды. Злоумышленник может использовать этот метод для развертывания руткитов, шпионского ПО и DoS-атак, а также для подключения к удаленной машине и получения доступа к системным ресурсам.
Социальная инженерия
Социальная инженерия — это общее название для манипулирования людьми с целью получения несанкционированного доступа к их конфиденциальной информации. Хакеры используют этот метод, чтобы украсть вашу информацию или взломать систему. Фишинг — одна из тактик чаще всего используется.
При фишинге целевые люди вынуждены нажимать или посещать поддельные веб-сайты. QR-коды действительно полезны для этой работы, потому что пользователь не может понять, на какой сайт перейти, глядя на QR-код.
Представьте себе, что вы входите на сайт, который выглядит так же, как Twitter, и имеет аналогичный URL-адрес. Если вы введете здесь свою регистрационную информацию, приняв ее за Twitter, вы можете потерять свою учетную запись из-за хакера.
Как избежать небезопасных QR-кодов
В начале мер, которые могут быть предприняты против атак хакеров с помощью QR-кодов, на первое место выходит человек, являющийся самым слабым звеном в цепи безопасности. Другими словами, пользователь должен быть осторожнее с атаками социальной инженерии и не должен сканировать QR-коды, источник которых неизвестен. Поскольку люди не могут читать QR-коды, может быть трудно понять, чему можно доверять. Вот почему вы должны использовать безопасные считыватели QR-кода.
Обновляйте операционную систему вашего мобильного устройства и используйте приложение для безопасного считывания QR-кодов. Многие современные мобильные устройства имеют встроенный в камеру считыватель QR-кода. Однако наличие приложения QR-кода на мобильном устройстве, которое позволяет пользователям проверять URL-адрес перед его посещением, дает им возможность проверить источник URL-адреса, к которому они собираются получить доступ. Эта проверка безопасности невозможна для QR-кодов, которые не предоставляют никакой сопроводительной информации. Поэтому все приложения для чтения QR-кодов должны отображать декодированный URL-адрес для пользователя, прежде чем открывать ссылку и запрашивать его подтверждение.
Изучите программное обеспечение для генерации QR-кода
Проверка генератор QR-кода а проверка целостности данных будет служить мерой защиты от возможного мошенничества, SQL-инъекций и атак с внедрением команд. Важно стандартизировать и интегрировать цифровые подписи для аутентификации по QR-коду и проверять, был ли QR-код изменен или нет. Цифровые подписи значительно усложняют атаки на основе QR-кода, поскольку они требуют от злоумышленника изменения контрольной суммы и, таким образом, изменения процесса проверки.
Вы не должны полагаться на многочисленные генераторы QR-кодов, которые вы можете найти в Интернете. Обратите внимание на технологию и компанию, стоящую за этими генераторами.
Остерегайтесь небезопасных URL-адресов
Перенаправление посетителей на ненадежные URL-адреса — одна из самых популярных атак с использованием QR-кода, которая может привести к попыткам фишинга и передаче вредоносных программ, таких как вирусы, черви и трояны. Чтобы обеспечить надежность онлайн-материалов от таких нападений, очень важно проверить легитимность контента, определяя, может ли программа чтения QR-кода различать поддельные и подлинные URL-адреса.
Остерегайтесь исполняемых кодов
Чтобы исполняемые коды или команды, сканируемые QR-кодом, не могли получить доступ к ресурсам сканирующего устройства, необходимо изолировать содержимое QR-кода. Изоляция содержимого может помочь предотвратить такие атаки, как нарушение конфиденциальности, доступ к личной информации и использование сканирующего устройства для атаки, такие как DDoS и ботнеты. Самый простой способ — заблокировать доступ приложений, в том числе приложений для сканирования QR-кода, к ресурсам сканирующего устройства (таким как камера, телефонная книга, фотографии, информация о местоположении и т. д.).
Используйте QR-коды, но осторожно
С быстрым распространением технологий QR-коды стали частью нашей повседневной жизни. Вы можете снизить риски, связанные с QR-кодами, используя их с умом и принимая меры.
Соблюдайте осторожность при сканировании QR-кодов, встречающихся в Интернете или в реальном окружении. Используйте проверенные программы и защитите свои устройства с помощью современного антивирусного программного обеспечения. Также рекомендуется не сканировать QR-коды с подозрительных или ненадежных сайтов и не разглашать личную информацию.
