QR codes: Πώς και πότε μπορούν να γίνουν επικίνδυνα
Shutterstock
Shutterstock

QR codes: Πώς και πότε μπορούν να γίνουν επικίνδυνα

Τα QR codes είναι εικόνες που σκανάρουμε με το κινητό μας προκειμένου να ανοίξουμε εύκολα κάποιον ηλεκτρονικό σύνδεσμο. Αυτά μπορεί να τα συναντήσει κάποιος, παραδείγματος χάριν, σε ένα εστιατόριο, όπου με ένα απλό σκανάρισμα οδηγείται στο μενού του καταστήματος. Ή ένα άλλο χαρακτηριστικό παράδειγμα αποτελούν τα QR codes στα παρκόμετρα, τα οποία σκανάρει ο χρήστης για να πληρώσει το αντίτιμο της στάθμευσης του οχήματος του. Δεν είναι όμως όλα τα QR codes «αθώα». Κάποια δημιουργούνται και κολλιούνται ακριβώς για να εξαπατήσουν τους χρήστες.

Με απλά λόγια, ένα QR code, στα Ελληνικά Κώδικας Γρήγορης Απόκρισης, δεν είναι τίποτα άλλο από έναν γραμμωτό κώδικας (barcode) δύο διαστάσεων που ανοίγει κάποιον σύνδεσμο στο διαδίκτυο.

Το πραγματικό πρόβλημα δεν ξεκινάει όταν κάποιοι επιτήδειοι κολλούν ένα QR code δημόσια σε ένα τυχαίο σημείο. Κάτι τέτοιο μπορεί να κάνει τους χρήστες να υποψιαστούν ότι πρόκειται για barcode που οδηγεί σε κακόβουλη σελίδα. Το πραγματικό πρόβλημα ξεκινάει όταν οι επιτήδειοι κολλούν κακόβουλα QR codes σε σημεία που βγάζει απόλυτο νόημα να υπάρχουν barcodes προσπαθώντας να μπερδέψουν τους χρήστες, βασιζόμενοι στη βιασύνη τους.

Σημεία αυξημένου ρίσκου

Τα παραδείγματα των μεθόδων εξαπάτησης είναι ουκ ολίγα. Ενδεικτικά:

  • Παρκόμετρα και μηχανήματα πληρωμής parking

Ο οδηγός σκανάρει το QR code προκειμένου να πληρώσει το αντίτιμο για τη στάθμευση του οχήματός του. Σε αυτό το παράδειγμα αυτοί που θέλουν να τους εξαπατήσουν κολλάνε πάνω από τα επίσημα QR codes τα δικά τους. Βασίζονται στη βιασύνη του οδηγού, που δεν είναι καθόλου εύκολο να διακρίνει κάτι τέτοιο. Σύμφωνα με το ελβετικό Εθνικό Κέντρο Κυβερνοασφάλειας, απατεώνες έχουν καλύψει πραγματικά QR codes σε παρκόμετρα με δικά τους, οδηγώντας τους χρήστες σε ψεύτικες σελίδες πληρωμής.

  • Σημεία φόρτισης ηλεκτρικών οχημάτων

Αντίστοιχη τακτική ακολουθείται και στους φορτιστές ηλεκτρικών οχημάτων. Οι scammers κολλούν τα δικά τους barcodes πάνω στα πραγματικά εξαπατώντας τους οδηγούς, οι οποίοι θεωρούν, και σωστά, δεδομένη την ύπαρξη barcode. Αυτό που δεν ξέρουν είναι ότι δεν σκανάρουν το σωστό.

Πηγή Shutterstock

Σύμφωνα με άρθρο του electrive.com, εξειδικευμένο μέσο για την ηλεκτροκίνηση, αναφέρει ότι στο λεγόμενο charging station quishing (πρόερχεται από το phishing) οι δράστες κολλούν ψεύτικα QR codes πάνω από τα πραγματικά, με στόχο να υποκλέψουν στοιχεία πιστωτικών καρτών και να πραγματοποιήσουν παράνομες χρεώσεις.

  • Στάσεις λεωφορείων, μετρό, τραμ ή πινακίδες δρομολογίων

Κάποιος που περιμένει σε μια στάση λεωφορείου, μετρό ή τραμ έχει χαθεί και θέλει να βρει άμεσα τον προορισμό του. Και βλέπει στη στάση ένα QR code που γράφει «δείτε τα δρομολόγια». Πάνω στη βιασύνη του, σκανάρει το QR code και έχει ήδη μολυνθεί η συσκευή του. Είναι αναμενόμενο να υπάρχει τέτοιο QR code σε μία στάση συγκοινωνίας. Είναι όμως πραγματικό;

Πηγή Shutterstock

Σύμφωνα με την TransLoc, αμερικανική εταιρεία που παρέχει λογισμικό για δημόσιες συγκοινωνίες και υπηρεσίες μετακίνησης, οι πάροχοι συγκοινωνιών χρησιμοποιούν κωδικούς QR για να υποστηρίξουν την έκδοση εισιτηρίων μέσω κινητού, να κοινοποιούν πληροφορίες δρομολογίων, να επικοινωνούν πρωτόκολλα ασφάλειας επιβατών και πολλά άλλα. Όπως κάθε δημοφιλής τεχνολογική καινοτομία, η υιοθέτηση κωδικών QR συνοδεύεται από κινδύνους και ευπάθειες.

  • Αφίσες εκδηλώσεων, συναυλιών και φεστιβάλ

Το QR μπορεί να εμφανίζεται ως «αγορά εισιτηρίων», «πρόγραμμα», «χάρτης χώρου» ή «δήλωση συμμετοχής». Η ιρλανδική εφημερίδα Irish Examiner, σε άρθρο της, επικαλείται δήλωση της επικεφαλής του τμήματος απάτης της τράπεζας της Ιρλανδίας, Nicola Sadlier, σύμφωνα με την οποία «οι απατεώνες ελπίζουν ότι η καρδιά σας θα υπερισχύσει του μυαλού σας. Βασίζονται στο ότι οι άνθρωποι είναι τόσο πρόθυμοι να δουν τον αγαπημένο τους καλλιτέχνη να παίζει, που αγνοούν τα προειδοποιητικά σημάδια και ρισκάρουν την προσφορά ενός εισιτηρίου, ακόμα κι αν ακούγεται πολύ καλό για να είναι αληθινό».

  • Ειδοποιήσεις Courier, θυροκολλημένα σημειώματα ή χαρτάκια «παραλαβής»

Ένα χαρτί που λέει «δεν σας βρήκαμε, σκανάρετε για επαναπρογραμματισμό» μπορεί να φανεί αληθοφανές και να οδηγήσει τον χρήστη σε ψεύτικη σελίδα ζητώντας του χρήματα.

Πηγή Shutterstock

Όπως αναφέρει η εταιρεία κυβερνοασφάλειας Kaspersky, η απώλεια προσωπικών και οικονομικών πληροφοριών δεν είναι η μοναδική συνέπεια: «αφού πληρώσετε ένα ψεύτικο τέλος παράδοσης, οι απατεώνες μπορεί να σας καλέσουν και να ισχυριστούν ότι το δέμα δεν μπορεί να παραδοθεί επειδή περιέχει ναρκωτικά. Αυτό ακολουθείται από την ψυχολογική πίεση των κλήσεων από έναν “αστυνομικό” και απόπειρες απόσπασης ενός μεγάλου χρηματικού ποσού για να σας “προστατεύσουν” από ποινικές κατηγορίες».

  • Φυλλάδια προσφορών, κουπόνια και διαγωνισμοί

«Σκανάρετε για έκπτωση», «κερδίστε δώρο», «πάρτε κουπόνι» είναι μερικές από τις ατάκες παγίδες που προσπαθούν να ξεγελάσουν τους χρήστες. 

  • Ψεύτικα QR codes μέσω email

Η απάτη δεν περιορίζεται σε φυσικά αυτοκόλλητα. Το QR μπαίνει σε email και λέει «σκανάρετε για να δείτε το έγγραφο», «επιβεβαιώστε τον λογαριασμό», «αλλάξτε password». Σύμφωνα με τη Microsoft, στο αποκορύφωμα του φαινομένου το Defender for Office 365 μπλόκαρε περίπου 3 εκατ. απόπειρες QR code phishing ημερησίως, προτού ο αριθμός μειωθεί στις 200.000 την ημέρα μετά την ενίσχυση των σχετικών μηχανισμών προστασίας.

  • QR codes για πληρωμές με κρυπτονομίσματα

Τα QR codes χρησιμοποιούνται και σε απάτες με κρυπτονομίσματα. Σύμφωνα με την αμερικανική Ομοσπονδιακή Επιτροπή Εμπορίου (FTC), απατεώνες που παριστάνουν κρατικές υπηρεσίες, αστυνομία ή εταιρείες κοινής ωφέλειας μπορεί να καθοδηγήσουν το θύμα να αγοράσει κρυπτονόμισμα και να το στείλει σαρώνοντας QR code, το οποίο οδηγεί απευθείας στο ψηφιακό πορτοφόλι τους. Μετά τη μεταφορά, τα χρήματα ουσιαστικά χάνονται.

Πώς μπορούμε να προστατευτούμε

Τα παραπάνω δεν σημαίνουν σε καμία περίπτωση ότι τα περισσότερα QR codes είναι… πειραγμένα. Ωστόσο, πριν τη χρήση κάποιου barcode θα πρέπει να έχουμε κατά νου τα εξής:

  • Μπορεί να φαίνεται παράδοξο, αλλά η ασφάλεια ξεκινά από τις ενημερώσεις λογισμικού. Φροντίζουμε η συσκευή μας να είναι ενημερωμένη και όσον αφορά το Λειτουργικό της Σύστημα και όσον αφορά τις εφαρμογές. Αυτό δεν σημαίνει ότι οι ενημερώσεις μας προστατεύουν πλήρως, αλλά όταν μιλάμε για συνδέσμους που εγκαθιστούν κακόβουλο λογισμικό που προσπαθεί να εκμεταλλευτεί κενά ασφαλείας της συσκευής μας, έχουμε μια μικρή πιθανότητα να αποφευχθεί ο κίνδυνος.
  • Δεν σκανάρουμε ποτέ barcode που είναι σε τυχαίο σημείο σε δημόσιο χώρο. Το γεγονός από μόνο του πρέπει να μας υποψιάσει.
  • Μετά το σκανάρισμα και πριν πατήσουμε τον σύνδεσμο, ελέγχουμε τον ίδιο τον σύνδεσμο. Μπορεί το domain name να είναι από μόνο του ύποπτο. Το σκανάρισμα του QR code δεν αποτελεί κίνδυνο από μόνο του. Χρειάζεται να πατήσουμε στον σύνδεσμο. Και αν δεν το κάνουμε, είμαστε πλήρως ασφαλείς.
  • Είμαστε ιδιαίτερα προσεκτικοί σε σελίδες που ζητάνε προσωπικά στοιχεία και χρήματα.
  • Δεν εγκαθιστούμε εφαρμογές και δεν κατεβάζουμε αρχεία μετά από σκανάρισμα QR code.
  • Ελέγχουμε αν το φυσικό QR φαίνεται πειραγμένο ή πρόχειρα κολλημένο.
  • Αν κάτι μοιάζει υπερβολικά καλό, επείγον ή πιεστικό, σταματάμε και το ελέγχουμε από άλλη πηγή.