روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ شما می‌توانید کدهای QR را روی هر چیزی از ظرف‌های ماست و نمایشگاه‌هایی که در موزه‌ها برگزار می‌شود گرفته تا قبوض آب و بلیت‌های لاتاری پیدا کنید. افراد از آن‌ها برای باز کردن وبسایت‌ها، دانلود اپ‌ها، جمع‌آوری امتیاز برای برنامه‌های وفاداری[1]، انجام امور پرداختی، انتقال وجه و حتی اعطای مبلغ به مؤسسات خیریه استفاده می‌کنند. این فناوری کاربردی و قابل‌دسترس به کار خیلی‌ها می‌آید و خوب وقت می‌گوییم خیلی‌ها اصولاً منظورمان مجرمان سایبری هم هست؛ همان‌هایی که از قبل برای خود نقشه‌های مختلف مبتنی بر QR کشیده‌اند. در ادامه با ما همراه شوید تا توضیح دهیم چطور مجرمان سایبری از این فناوری برای پیش بردن مقاصد شرورانه‌ی خود استفاده می‌کنند.

کدهای QR چه هستند و چطور از آن‌ها استفاده می‌شود؟

این روزها تقریباً همه دست کم یک اسمارت‌فون دارند. بسیاری از اسمارت‌فون‌ها آخرین مدل به اسکنر درون‌سازه‌ای QR مجهزند؛ اما هر کسی می‌تواند اپی را دانلود کند که همه کدهای QR را می‌خواند یا می‌تواند فقط یک کد را انتخاب کند- برای مثال کد QR موزه. به منظور اسکن کد QR کاربر تنها کاری که می‌کند باز کردن اپ اسکنر و گرفتن دوربین گوشی روی کد است. بیشتر وقت‌ها اسمارت‌فون شما را مجبور خواهد کرد به رفتن به وبسایتی خاص یا دانلود یک اپ. با این حال گزینه‌های دیگری هم وجود دارد که کمی قرار است بدان‌ها بپردازیم. اسکنرهای تخصصی از مجموعه خاصی از کدهای QR استفاده می‌کنند. ممکن است این کد را روی علامتی برای یک درخت مهم تاریخی در پارک برای مثال ببینید که در این مورد خاص اسکن کردن آن با اپ رسمی پارک ممکن است توری راهنمایی‌شده را برایتان شروع کند؛ این درحالیست که یک اسکنر استاندارد تنها شرح حالی از وبسایت پارک را برایتان باز خواهد کرد. افزون بر این برخی از اپ‌ها می‌تواند کدهای QR را برای دادن برخی اطلاعات خاص به هر کسی که آن‌ها را اسکن می‌کند بسازند. برای مثال آن‌ها ممکن است نام و رمزعبور شبکه وای‌فای مهمان شما یا جزئیات اکانت بانکی‌تان را دریافت کنند.

چطور مجرمان سایبری از کدهای QR استفاده می‌کنند؟

کدهای QR تنها نسخه‌های پیشرفته‌تری هستند از بارکدها؛ پس ایراد کار کجاست؟ اینطور که پیداست مشکل یکی دو تا هم نیست! انسان‌ها نمی‌توانند کدهای QR را بخوانند مگر آنکه از قبل چک کنند ببینند اسکن کردن آن‌ها چه کار خواهد کرد؛ بنابراین ما همیشه به یکپارچکی سازندگان آن‌ها وابسته‌ایم. همچنین نمی‌توانیم همه‌چیز را در مورد یک کد QR بدانیم؛ حتی وقتی خودمان هم آن را ساخته باشیم. از این روست که می‌گوییم این سیستم قابلیت اکسپلویت‌پذیری بسیار بالایی دارد.

لینک‌های جعلی
یک کد QR که مجرمان سایبری آن را ساخته‌اند ممکن است به سایت فیشینگی اشاره داشته باشد که به نظر شبیه صفحه لاگین یک شبکه اجتماعی است یا یک بانک آنلاین. برای همین است که توصیه می‌کنیم همیشه لینک‌ها را پیش از ضربه زدن یا کلیک رویشان بررسی کنید. با این وجود یک کد QR از چنین قابلیت دسترسی‌ای برخوردار نیست. افزون بر این، مهاجمین اغلب از لینک‌های کوتاه استفاده می‌کنند و همین وقتی اسمارت‌فون درخواست تأیید بدهد تشخیص جعلی بودنش را سخت‌تر می‌کند. در نقشه‌های مشابه مهاجمین می‌توانند کاربران را با خطاهای دانلود اپ فریب دهند. برای مثال با دانلود بدافزاری به جای بازی یا ابزار مورد نظر کاربر. از این نظر تا دلتان بخواهد ترفند و تکنیک وجود دارد: بدافزارها می‌توانند رمزعبور بدزدند، پیام‌های آلوده به کانتکت‌های شما ارسال کننده و کلی موارد دیگر.

فرمان‌های رمزگذاری‌شده با QR

ورای لینک به وبسایت، یک کد QR ممکن است حاوی فرمانی باشد برای اجرای برخی اقدامات. که در این بخش نیز دست مجرمان باز است. در ادامه به برخی از این اقدامات اشاره کرده‌ایم:

• افزودن کانتکت
• برقراری تماس خروجی
• پیش‌نویس یک ایمیل و پر کردن خطوط بخش موضوع و گیرنده
• ارسال متن
• اشتراک‌گذاری لوکیشن‌تان با یک اپ
• ایجاد یک اکانت رسانه اجتماعی
• زمانبندی یک رویداد در تقویم
• افزودن شبکه وای‌فای مورد نظر با جزئیات محرمانه برای کانکشن خودکار

ترفند رایج، اتوماسیون اقدامات است. برای مثال شما با اسکن کردن یک کد QR می‌توانید از کارت تجاری جزئیات تماس اضافه کنید، هزینه پارکینگ را پرداخت کنید یا به شبکه وای‌فای مهمان اجازه دسترسی بدهید. این همه قابلیت برای کدهای QR کار را برای مجرمان سایبری بسیار راحت می‌کند. برای نمونه اسکمرها می‌توانند اطلاعات کانتکت خود را (تحت عنوان Bank) به دفترچه تلفن شما اضافه کنند تا بدین‌ترتیب به تماس فریبکارانه‌ای که با شما برقرار خواهد شد اعتبار و جلوه قانونی داده باشند. همچنین می‌توانند به هزینه‌ی شما تماس‌هایی داشته باشند یا می‌توانند سر دربیاورند شما کجا هستید و چه موقعیت مکانی دارید.

چطور مجرمان سایبری کدهای QR را ماسکه می‌کنند؟

اگر قرار باشد مهاجمین با استفاده از کد QR به شما آسیبی برسانند ابتدا باید شما را متقاعد کنند که آن را اسکن کنید. برای انجام این کار آن‌ها ترفندهای زیادی دارند:

منابع آلوده: مجرمان سایبری می‌توانند یک کد QR را به همراه یک لینک در سازه‌ی خود قرار دهند و بگذارند روی وبسایت، در یک بنر، در یک ایمیل یا در یک آگهی کاغذی. همیشه نکته این است که قربانی بالاخره یک اپ را دانلود کند. در بسیاری از موارد لوگوهای گوگل پلی و اپ استور در کنار کد قرار می‌گیرد تا جلوه معتبرتری به ماجرا بدهد.

جایگزینی: بین مهاجمین رایج است که بر اعتبار و آوازه‌ی طرف‌های معتبر سوار می‌شوند و خود را جای آن‌ها می‌زنند. آن‌ها یک کد QR واقعی را روی پوستر با یک کد جعل عوض می‌کنند.

این را هم بگوییم که ترفند شرورانه کد QR تنها مختص مجرمان سایبری هم نیست؛ فعالان اجتماعی بی‌پروا هم برای اشاعه‌ی ایده‌های خود شروع کرده‌اند به جایگزینی کد QR. در استرالیا برای مثال مردی اخیراً برای دستکاری کدهای QR روی علامت‌های ورود مراکز کووید 19 دستگیر شد؛ او این کار را کرده بود تا بازدیدکنندگان وارد وبسایت ضدواکسیناسیون بشوند. باری دیگر بگوییم که این نوع ترفندها یکی دو تا نیستند. کدهای QR بیشتر در قبوض، جزوه‌ها، علایم اداری و تقریباً هر جای دیگری که ممکن است آدم بخواهد اطلاعات یا دستورالعملی را پیدا کند یافت می‌شود.

چطور از دردسرهای QR در امان بمانیم؟

برای رعایت جانب امنیت، چند قانون را حین استفاده از کد QR رعایت کنید:

• از منابعی که آشکارا مشکوکند کدهای QR را اسکن نکنید.
• حواستان به لینک‌های نمایش‌داده‌شده موقع اسکن کد باشد؛ خصوصاً اگر یوآرال کوتاه شده باشد چون کوتاه‌ شدن کدهای QR هیچ توجیهی ندارد. در عوض برای پیدا کردن آنچه دنبالش هستید از موتور جستجو یا فروشگاه رسمی استفاده کنید.
• پیش از اسکن یک کد QR روی پوستر یا علامت برای آنکه مطمئن شوید کد روی تصویر اصلی پِیست نشده است یک چک سریع فیزیکی انجام دهید.
• از برنامه‌ای همچون  Kaspersky’s QR Scanner (موجود هم برای اندروید و هم آی‌او‌اس) استفاده کنید که کارش بررسی کدهای QR برای پیدا کردن محتوای آلوده است.

کدهای QR ما همچنین اطلاعات ارزشمندی چون شماره‌های بلیط الکترونیک دارند؛ از این رو هرگز نباید روی شبکه‌های اجتماعی داکیومنت‌هایی که در خود کد QR دارند پست کنید.

[1]برنامه‌هایی که برای تخمین میزان وفاداری مشتریان به یک سازمان استفاده می‌شوند.

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.