QR kodları her yerde yaygınlaştıkça bunların çoğalması yeni ve ortaya çıkan güvenlik risklerine yol açtı.
ABD merkezli QR kodu kullanıcılarının %80’inden fazlası QR kodlarının güvenli olduğunu düşündüğünü söyledi ancak kullanıcıların yalnızca %37’si kötü amaçlı bir kodu tanımlayabildi. Scantrust’un son raporu.
Bu tür bir güvenden ve COVID-19 salgını sırasında QR kodlarının yaygın olarak benimsenmesinden beslenen QRishing (“QR” ve “phishing”in birleşimi) hiçbir şeyden haberi olmayan kullanıcıları, hassas bilgilerin arandığı kötü amaçlı web sitelerine yönlendiren sahte QR kodları oluşturmayı içerir. ve siber suçlular tarafından istismar ediliyor. Bu tehdit, kullanıcı güveninden yararlanılması, QR kod taramasının her yerde bulunması ve gerçek kodları sahte kodlardan ayırmanın zorlaşması gibi sosyal mühendislik taktikleri sayesinde büyümüştür.
QRishing, ticari kuruluşlardaki meşru kodların üzerine sahte QR çıkartmaları yapıştırmaktan, ödeme ayrıntılarını veya hassas verileri toplayan aldatıcı QR kodlarıyla sahte trafik cezaları uygulamaya kadar çeşitli biçimlerde olabiliyor. Dolandırıcılık aynı zamanda, siber suçluların kullanıcıları yetkisiz ödeme yapmaları veya manipüle edilmiş QR kodları aracılığıyla veri paylaşmaları için kandırdıkları “ters QR”yi de içeriyor.
QRishing’in başarısı, kullanıcı güveninden yararlanmaya ve sahte indirimlerin cazibesine bağlıdır. Mağdurlar genellikle kandırılarak kötü amaçlı QR kodlarını tanıdıklarıyla paylaşıyor ve bu da riski artırıyor.
Bu arada, “QRLjacking” hizmetleri hedef alarak artan bir tehdit oluşturuyorWhatsApp gibi, Yetkisiz erişim elde etmek ve hassas bilgilere erişim sağlamak amacıyla oturum açmak için QR kodlarını kullananlar.
QR Dolandırıcılıklarının Küresel Etkisi Var
Entelgy Innotec Security’nin siber istihbarat analisti Raquel Puebla, QR saldırılarının dünyanın her yerinde yapıldığını açıklıyor. Saldırganların, ön cam sileceklerinin altına bırakılan sahte QR kodlu park biletlerini ekledikleri Çin’deki yakın tarihli bir kampanyaya dikkat çekiyor.
Bu kodlar, aslında mağdurların kişisel bilgilerini ve banka bilgilerini toplarken, ihlalin ödenmesini kolaylaştırdığını iddia ediyordu.
“Almanya’da araştırmacılar, saldırganların QR kodları içeren sahte e-postalar aracılığıyla çevrimiçi bankacılık müşterileriyle iletişime geçtiği ve hassas bilgileri ele geçirdiği bir kampanyayı tespit edebildiler” diyor.
Yakın zamanda İspanya’nın Madrid kentindeki toplu taşıma hizmetleri BiciMAD ve Bicing’i etkileyen ve bu hizmetlerin bisikletlerine sahte QR kodlarının eklendiği bir kampanyanın olduğunu da sözlerine ekledi.
“Belirli bir miktar para karşılığında bisikletin kilidini açma hizmeti gibi görünüyorlar” diyor. “Ulaşımın kilidini açmak yerine para siber suçluların eline geçti.”
Cep Telefonları Daha Az Korunuyor
SlashNext CEO’su Patrick Harr, QR kodlarının mobil tabanlı kimlik avı kampanyalarını yaymanın kullanışlı bir yolu olduğuna ve birçok cep telefonunda kimlik avı koruması bulunmadığına dikkat çekiyor.
“QR kodu ve kısa kod oluşturma hizmeti sunan birçok şirket, bilgisayar korsanlarının hizmetlerini kötü amaçlı QR kodları oluşturmak için kullanmasını önleyecek güvenliğe sahip” diyor. “Ancak bilgisayar korsanlarının kullanabileceği birçok hizmet var, bu nedenle kötü amaçlı bağlantılara karşı mobil korumaya sahip olmak önemli.”
Cep telefonlarının kötü niyetli kişilere kurumsal hesaplara, banka bilgilerine ve diğer kişisel verilere erişim sağladığını ekliyor.
QRLJacking gibi tekniklerin, kullanıcıları kimlik bilgilerini ele geçiren, istemci tarafı güvenlik açıklarıyla cihazlarına saldıran veya onları kötü amaçlı uygulamalar indirmeye teşvik eden web sitelerine göndermenin yanı sıra, saldırganların oturum açmak için QR kodu kullanan uygulamalar için hesap ele geçirme işlemi gerçekleştirmesine olanak tanıdığını söylüyor. Georgia Weidman, Zimperium’un güvenlik mimarı.
“QR kodlarının pek çok meşru kullanımı var; aslında pek çok [multifactor authentication] uygulamalar bunları kurulum için kullanıyor ve hepimiz MFA’nın hesaplarımızı güvende tutma konusunda kattığı değeri biliyoruz” diyor ve şöyle devam ediyor: “Ancak QR kodlarında, bir saldırganın kuruluşunuzun QR’sini değiştirmediğini doğrulayacak herhangi bir mesaj kimlik doğrulama kodu veya başka bir şey yok Kötü amaçlı bir kodla kodlayın.”
Harr şunu ekliyor: “Kuruluşların kötü amaçlı bağlantılara karşı mobil korumaya sahip olması önemlidir, çünkü QR kodlarının günlük yaşamımızda yaygınlaşması göz önüne alındığında, bunlardan tamamen kaçınmak pratik hale gelmemektedir.”
İnsanları QR Saldırılarını Savuşturmak İçin Eğitin
Entelgy Innotec Security’nin siber istihbarat analisti Itxaso Reboleiro, sosyal mühendislik taktiklerini kullanan bir siber saldırıyı savuşturmak için farkındalığın her zaman başlangıç noktası olduğunu söylüyor.
“Şirketler, çalışanların siber tehditlerdeki en son gelişmelerden haberdar olduğu küçük eğitim oturumları ve bültenler oluşturmalı” diyor.
QRishing durumunda kuruluşlar çalışanlarına, kaynağı şüpheli e-postalara yapıştırılan veya halka açık yollar gibi rastgele yerlere gönderilen QR kodlarını taramamalarını tavsiye etmelidir; çünkü siber suçlular, daha fazla sayıda kurbanı yakalamak için yoğun yerlerden yararlanır.
Reboleiro, QR okuyucuların kullanıcılara bir web sitesinin URL’sini oraya götürmeden önce gösterebileceğini açıklıyor.
“Bu şekilde çalışanlar, içeriğe erişmeden veya hassas bilgileri girmeden önce yönlendirmenin barındırdığı içerikten emin olabilirler” diyor.
Kullanıcılar, QR kodunu taradıktan sonra görüntülenen sayfaların beklenen içerikle ilgisiz göründüğünü fark ederlerse web sitesini derhal kapatmalıdır. Reboleiro ekler. Bu tür sitelere talep edilse bile kişisel veri veya kimlik bilgileri girmemelidir.
“Çalışanlar, uygun güvenlik önlemlerini almaları için yöneticilerini veya şirketin siber güvenlik personelini derhal bilgilendirmelidir” diyor.
Weidman’ın bakış açısına göre en iyi plan, çalışanları QR kodlarının güvenlik açısından etkileri konusunda eğitmek, böylece vahşi ortamda onlarla etkileşime girerken güvenlik farkındalığı düşünme sınırlarını kullanmalarını sağlamaktır. Örneğin, Açık Web Uygulama Güvenliği Projesi (OWASP) şunları içerir: teknik detaylar QRLJacking’in nasıl çalıştığı ve uygulamalardaki QRL kodu saldırılarının risklerini azaltmanın yolları hakkında.
Weidman, “Kuruluşunuz kimlik doğrulama için QR kodları kullanıyorsa, saldırganların kullandığı saldırı türlerinin farkında olmak ve bunlara yönelik saldırı azaltma stratejilerini uygulamak önemlidir” diyor.