QR kodları birçok yetişkin için günlük hayatın içine yerleşmiş durumda. Yayılmaları, Pazar günü Super Bowl’da, parlak renkli bir alanda sıçrayan bir QR kodunun 30 saniyelik çok pahalı yayın süresini işgal ettiği zaman vurgulandı. Bu belirli QR kodunu yakalamak, izleyicileri kripto para birimi hakkında bilgiye yönlendirdi. Ülke genelinde restoran masalarında beliren kodlar, yemek ücretlerini ödemek için menülere ve uygulamalara yol açıyor. Diğer kodlar çok daha az iyi niyetli hedeflere yol açabilir.
QR kodlarını bu kadar değerli yapan aynı nitelikler, onları kurumsal (ve kişisel) siber güvenlik için meşru bir tehdit haline getirir. 1994 yılında otomotiv tedarikçisi Denso Wave tarafından tanıtılan bir barkod türü olan QR kodları, ilk olarak bir otomobil montaj işlemi yoluyla bileşenleri ve alt montajları izlemek için kullanıldı. Artık her biri farklı miktarda bilgi taşıyan QR kodunun 40 versiyonu var. Kullanılan hata düzeltmesine bağlı olarak, QR kod kapasitesi 72 ila 16.568 bit arasında değişebilir – bir parça hakkında önemli bilgileri veya mobil cihazınız veya kurumsal ağınız için kötü niyetli bir talimatı taşımak için fazlasıyla yeterli.
Ve bu kötü niyetli talimatları iletme fırsatları, pandeminin başlamasından kısa bir süre sonra, menülerle birlikte virüs dağıtma görüntüsünden kaçınmak isteyen sayısız restoranın, müşterileri cep telefonlarında görüntülenen bir menüye taşımasıyla patladı. Bu menüler müşterilerin cep telefonlarına nasıl ulaştı? Taranmış bir QR kodu aracılığıyla. Kullanışlı, hijyenik ve her yerde bulunan QR kodları, menü sunumunda ve müşteri geri bildirimlerinde devrim yarattı. Ayrıca kötü amaçlı yazılım ve sosyal mühendislik saldırıları için dağıtım yöntemlerinde devrim yarattılar.
Daha yakından bak
Sorun, gerçekten QR kodlarının yeteneğiyle ilgili değil – bu yetenekler, kodları herhangi bir sayıda meşru iş ve tüketici amacı için çok kullanışlı hale getiriyor. Sorun şu ki, pek çok insan taradıkları kodları düşünmeyi bırakmış durumda. Kaç kez insanların bir restorana girip masaya iliştirilmiş bir çıkartmadan QR kodunu taradığını ve genellikle kodu tam olarak yerlerine oturmadan önce taradığını gördünüz? Bu tür yansımalı tarama, kodun kuruluşa sunduğu güvenlik açığının insan bileşenidir.
Peki, bir kurumsal güvenlik personeli bu konuda ne yapmalı? Kare kodun her yerde bulunması göz önüne alındığında, taramaya yönelik kapsamlı bir yasağın işe yaraması pek olası değildir. Siber pek çok şeyde olduğu gibi en iyi yaklaşım, tehdit ve etkisini en aza indirgemek için en iyi uygulamalar konusunda sağlam bir eğitimdir.
Çalışanların öğrenmesi gereken ilk şey, QR kodunu taramanın asla otomatik olmaması gerektiğidir. Akıllı telefonunuzda bir menü görmek ister misiniz? Harika — sunucudan size üzerinde QR kodunun basılı olduğu bir sayfa getirmesini isteyin. yorum bırakmak ister misiniz? Harika — makbuzunuzun altındaki kodu tarayın. Masalara ve kapılara yapıştırılan rastgele etiketlerdeki QR kodları, güvenilemeyecek kadar halka açık olduklarından şüpheyle ele alınmalıdır.
Sıradaki, bir QR kodunu tararken bağlamı dikkate almayı öğrenmek. Bankanızın lobisinde logolu resmi bir tabelada mı? Belki. Benzin pompasının önündeki çarpık etikette mi? Zor hayır. QR kodlarına herhangi bir elektronik kit parçası gibi davranmak önemlidir çünkü tam olarak budur: kodu bir cihaza taşımak ve iletmek için mekanizmalar. Silikon ve galyum arsenit yerine mürekkep ve kağıttan yapılmış olmaları, daha az etkili ya da tehlikeli oldukları anlamına gelmez.
Eğitimi Düşünün
QR kodlarının potansiyel tehlikesi, bariz kimlik avı e-posta mesajının ve tehlikeli web sitesinin ötesindeki tehlikeler hakkında eğitim vermek için aslında iyi bir bahanedir. Suçlular ve tehdit aktörleri, çalışanların eylemleriyle ilgili olarak “otomatik pilotta” olduğu zamanlar, düşünmeden yapılan eylemlerden yararlanmaya heveslidir. Çalışanları, ekli URL’yi başlatmadan önce durup kodlar, resimler ve çıkartmalar hakkında düşünmeleri için eğitin ve aşırı duygusal çerez siparişlerine ek olarak gelen kötü amaçlı yazılım paketlerinin sayısını azaltabilirsiniz.