سوء استفاده مجرمان سایبری از کدهای پاسخ سریع

22 نوامبر 2021 – کلودیا کلور

 کدهای QR در طول همه‌گیری کرونا به جریان اصلی تبدیل شدند، زیرا کسب‌وکارها به دنبال راه‌هایی برای ارائه خدمات «بدون لمس» به مشتریان بودند. مجرمان توجه داشته اند و نکاتی را در مورد بهره برداری از کدهای QR برای سرقت وجوه و نفوذ به سیستم ها مبادله کرده اند. کارشناسان توصیه می کنند که سازمان ها باید امنیت تلفن همراه خود را تقویت کنند و مطمئن شوند که کارکنان و مشتریان از خطرات آن آگاه هستند.

کدهای پاسخ سریع (QR) در سال 1994 توسط سازنده قطعات خودرو ژاپنی Denso Wave برای ردیابی وسایل نقلیه در طول فرآیند تولید اختراع شد. به گفته PayPal، یک کد QR اساسا یک بارکد دو بعدی است که حدود 100 برابر ظرفیت ذخیره سازی داده دارد. همراه با استفاده گسترده از تلفن های هوشمند، آنها روشی مقرون به صرفه برای انتقال داده هایی ارائه می دهند که می توانند به هر سطحی متصل شوند.

در ابتدا توسط برخی در غرب به عنوان یک مورد با فناوری پایین رد شد، کدهای QR به بخش اساسی زیرساخت پرداخت دیجیتال در چین تبدیل شدند. دو برنامه بزرگ پرداخت کشور – WeChat Pay و AliPay – کدهای QR را به عنوان راهی برای شروع پرداخت در سال 2011 معرفی کردند. تا سال 2016، حدود 1.25 تریلیون دلار تراکنش با کد QR در چین آغاز شد.

کدهای QR در طول همه‌گیری به یک پدیده جهانی تبدیل شدند، زیرا مشتریان به دنبال اجتناب از تماس فیزیکی با سطوح بودند. «خدمات بدون لمس»، که در آن مشتریان می‌توانند کد QR را برای دریافت منو یا پرداخت اسکن کنند، اکنون رایج است. کدهای QR در برنامه ردیابی تماس دولت بریتانیا نقش اساسی داشتند که از شهروندان می‌خواست با اسکن یک کد روی تلفن‌هایشان، به مکان‌ها مراجعه کنند.

در نتیجه، کدهای QR در حال حاضر جریان اصلی هستند. طبق گزارش Juniper Research، 1.5 میلیارد نفر در سراسر جهان از یک کد QR برای تسهیل پرداخت در سال 2020 استفاده کردند. نظرسنجی از شهروندان بریتانیا و ایالات متحده در سپتامبر 2020 توسط ارائه دهنده امنیت نقطه پایانی MobileIron نشان داد که 8٪ یک کد QR را در گذشته اسکن کرده بودند.

ارائه دهندگان پرداخت دیجیتال PayPal و Apple Pay هر دو کد QR را سال گذشته راه اندازی کردند، در حالی که بانک هایی از جمله Natwest، Royal Bank of Scotland (RBS) و Deutsche Bank اکنون به کاربران اجازه می دهند با استفاده از یک کد QR وارد خدمات بانکداری آنلاین شوند. برخی دیگر کدهای QR را برای تسهیل برداشت از ATM معرفی کرده اند. در نتیجه، پذیرش برای رشد سریع آماده است، به خصوص در ایالات متحده، جایی که Juniper پیش بینی می کند تا سال 2025 تعداد کاربران 240 درصد افزایش یابد.

آیا کدهای QR امن هستند؟

این استفاده روزافزون از کدهای QR از توجه مجرمان دور نمانده است. آنا چانگ، محقق اصلی در واحد 42، بازوی تحقیقات تهدیدات شرکت امنیت سایبری Palo Alto Networks، می‌گوید: «ما می‌دانیم که مجرمان سایبری از این رفتار سوء استفاده می‌کنند. واحد 42 در طول همه‌گیری، مجرمان سایبری را در انجمن‌های آنلاین زیرزمینی مشاهده کرده است که درباره راه‌های سوء استفاده از QR بحث می‌کنند. ما همچنین ابزارهای منبع باز و آموزش های ویدیویی را پیدا کردیم که آموزش نحوه انجام حملات با استفاده از کدهای QR را ارائه می دهند.”

بسیاری از تهدیدات مرتبط با کد QR با فریب دادن کاربران به اسکن کدی کار می کنند که آنها را به یک سایت مخرب هدایت می کند یا یک پرداخت مجرمانه را آغاز می کند – تکنیکی به نام QRLjacking.

سال گذشته، پلیس بلژیک هشداری درباره کلاهبرداری صادر کرد که در آن هکرها که خود را به عنوان مشتری معرفی می کردند، کدهای QR را برای تأیید پرداخت ها به مشاغل کوچک ارسال می کردند. اسکن کد به هکرها امکان دسترسی به حساب های بانکی فروشندگان را می دهد. کمیسیونر بلژیکی گفت: «این کد در واقع به تأیید پرداخت اشاره نمی کند، بلکه به یک درگاه ورود به سیستم اشاره می کند که کلاهبردار، در ترکیب با شماره حساب بانکی ارائه شده، مستقیماً به حساب های جاری و پس انداز شما دسترسی خواهد داشت».

یکی دیگر از تهدیدات نوظهور پدیده فیشینگ کد QR یا ‘quishing’ است که به موجب آن مجرمان کاربران را فریب می دهند تا یک کد QR مخرب را از طریق ایمیل اسکن کنند و آنها را به یک سایت جعلی هدایت کنند که از آنها می خواهد جزئیات ورود خود را وارد کنند. مارک هریس، مدیر ارشد گارتنر توضیح می دهد که این تکنیک بسیاری از سیستم های ضد فیشینگ را دور می زند که با اسکن متن ایمیل ها کار می کنند. “از آنجا که شما نمی توانید URL را ببینید یا در ایمیل قابل مشاهده نیست، [quishing] از آن تکنیک های سنتی عبور می کند.”

چانگ می‌گوید که واحد 42 کلاهبرداری‌هایی را مشاهده کرده است که درایوهای سهام شرکت‌ها را جعل می‌کنند. ما با مهاجمانی مواجه شده‌ایم که کدهای QR را برای کارمندان فیش ارسال می‌کنند تا آنها را در صفحه‌ای وب که شبیه درایو اشتراک‌گذاری شرکتی است فریب دهند.

پیتر گوچ، شریک امنیت سایبری و حریم خصوصی در Deloitte می‌افزاید: این تکنیک ممکن است تأثیر بیشتری داشته باشد زیرا ممکن است کارمندان برای مشاهده کدهای QR به عنوان تهدیدهای احتمالی فیشینگ آموزش ندیده باشند. او می گوید: اگر ظاهراً از یک شرکت شناخته شده برای شما باشد، ممکن است دو بار در مورد آن فکر نکنید.

چگونه سازمان ها می توانند خطر امنیت سایبری ناشی از کدهای QR مخرب را کاهش دهند؟ یکی از رویکردهای ضروری اطمینان از ایمن بودن تلفن های هوشمند کارمندان است، چیزی که می توان نادیده گرفت. چانگ توضیح می‌دهد: اکثر [شرکت‌ها] از محافظت‌های امنیتی نسبتاً سخت‌گیرانه‌ای روی لپ‌تاپ برخوردار هستند. اما نه چندان برای تلفن شرکت. زیرا این یک لایه اضافی از سرمایه گذاری و محافظت است که شما باید به طور مداوم کنترل کنید. بنابراین این لایه دیگری از تلاش است که می دانم [بسیاری] شرکت ها از آن چشم پوشی می کنند.

چانگ می گوید که یکی دیگر از اقدامات مهم افزایش آگاهی از خطرات، هم در بین مشتریان و هم در میان کارکنان است. او توضیح می‌دهد: کد QR به معنای پاسخ سریع است، بنابراین [سریع بودن] مزیت آن است. اما در عین حال، برای افرادی که به طور کامل با این فناوری و خطرات احتمالی آن آشنا نیستند، می‌تواند یک نقطه ضعف باشد.