کلاهبرداری راحت تر با کدهای QR

امروزه استفاده از فناوری کد QR بسیار متداول شده و همین واقعیت باعث گشته مهاجمان به دنبال روش‌های جدید برای سوءاستفاده از این فناوری باشند. در این مطلب از فراست، به بررسی روش‌های امن سازی فناوری کد QR و حفاظت از آن در برابر مخاطرات می‌پردازیم.

کاربردهای فناوری QR

فناوری کد QR که مخفف کدهای پاسخ سریع (Quick Response Codes) است، ابتدا توسط یک شرکت خودروساز ژاپنی به نام «دنسو ویو» برای پیگیری قطعات خودرو در محیط کارخانه و در قالب رمزینه‌های ماتریسی ابداع شد. این بارکدهای دوبعدی، امکان خواندن و اسکن 4 هزار کاراکتر توسط دوربین گوشی‌های هوشمند را فراهم می‌کردند.

کدهای QR، حاوی ماژول‌های سیاه رنگ بر روی زمینه سفید بوده و می‌توانند حاوی آدرس اینترنتی خاصی باشند که پس از اسکن آن توسط دوربین گوشی، نشانی اینترنتی را رمزگشایی کرده و صفحه مورد نظر را نمایش دهند.

از آن زمان تا به امروز، کاربرد و میزان استفاده از این فناوری همواره بیشتر شده است. در حال حاضر بسیاری از مشتریان و شرکت‌های ارایه‌دهنده خدمات پرداخت مبتنی بر برنامه‌های کاربردی، خیریه‌ها، سازمان‌های غیردولتی و پایانه‌های فروش، همگی از ابزارهای تولید کد QR آنلاین و راهکارهای پرداخت بدون تماس که کار مشتریان را برای اجرای تراکنش ها آسان‌تر می‌کند، استفاده می‌نمایند.

شرکت‌های بزرگ فناورانه نیز برای کسب اطلاعات در خصوص فروشگاه‌هایشان از فناوری کد QR بهره می برند. نکته جالب این است که این فناوری برای واقعیت افزوده که با استفاده از آن می‌توان محتوای دیجیتالی ساخته شده توسط رایانه را به صورت مجازی در دنیای واقعی نمایش داد هم کارایی دارد. برچسب‌های کد QR که روی یک شی، دیوار یا میز نصب می‌شوند می‌توانند نقش یک نقطه مرکزی را در فضای سه بعدی برای نصب اشیای واقعیت مجازی داشته و منبعی برای تأمین داده‌ها باشند.

در حال حاضر صفحه نمایش‌های هوشمند می‌توانند از فناوری کد QR برای اسکن کالاهای فروشگاه یا افزودن آنها به لیست خرید مشتریان استفاده کرده و شبکه‌های اجتماعی نیز از آن جهت شناسایی پروفایل کاربران استفاده نمایند. بنابراین واضح است که انتظار رود فناوری کد QR بسیار متداول و پرکاربرد خواهد شد.

کد QR به دو نوع ایستا و پویا تقسیم می‌شود. در روش پرداخت با کد QR ایستا، مصرف‌کنندگان می توانند کد QR نمایش داده شده توسط فروشنده را با تلفن همراه خود اسکن کرده و مبلغ را به صورت دستی وارد و انتقال وجه انجام دهند. این روش یکی از روش‌های پرداخت بدون کارت (CNP) محسوب شده و امن‌تر از سایر روش‌ها است.

در کد QR سنتی، استفاده مجدد از داده‌های ایستا، مخاطره از دست رفتن، نشت و ردیابی اطلاعات را افزایش داده و ضریب امنیتی سیستم های اطلاعاتی را کاهش می‌دهد؛ اما در کد QR پویا، هر فریم از داده‌های تصویر کد QR، توسط رمزنگاری پویای کلیدهای مختلف تولید می‌شود. بنابراین جعل آن کار ساده‌ای نبوده و امکان نفوذ و ردیابی آن هم وجود ندارد. کد QR پویای تولید شده با مدت اعتبار کوتاه (اساساً یک کد در هر زمان)، از امنیت بالایی برخوردار است.

84 درصد از شرکت کنندگان در یک نظرسنجی اعلام کرده اند تجربه اسکن کد QR را دارند. یک سوم از آنها نیز گفته اند که به‌ تازگی این کار را انجام داده‌اند. در نتیجه این پرسش ایجاد می‌شود که آیا این فناوری امنیت لازم را دارد یا خیر؟

مسایل امنیتی فناوری QR

با توجه به اینکه استفاده از کدهای QR راحت است بنابراین این فناوری می‌تواند ابزار قدرتمندی برای مجرمان سایبری باشد. در واقع کدهای QR می‌توانند نقش نشانی وبی را داشته باشند که خطر باز کردن یک وب سایت مخرب را از طریق گوشی تلفن همراه ایجاد می‌کنند ولی برخلاف نشانی وب، احتمال اینکه کاربران قادر به شناسایی یک کد QR مخرب باشند، کمتر است.

علاوه ‌بر این بسیاری از کاربران از اینکه می‌توان کد QR خاصی نوشت تا ایمیل یا پیامکی را ارسال یا تماس تلفنی برقرار کند، اطلاع چندانی ندارند. بیش از یک سوم از شرکت کنندگان در نظرسنجی مربوطه اعلام کرده اند نگران امنیت کدهای QR نیستند.

مهاجمان می‌توانند کدهای QR مخرب را از طریق پیامک، شبکه‌های اجتماعی، ایمیل و روش‌های مختلف دیگر به دست قربانیان خود برسانند. کد QR، قابلیت فعال‌سازی یک اقدام خاص بر روی گوشی‌های هوشمند از جمله اجرای یک برنامه پرداخت، انجام تراکنش، افزودن یک مخاطب یا پیگیری یک حساب کاربری مخرب در شبکه‌های اجتماعی را دارد. همچنین این کدها می‌توانند موقعیت جغرافیایی کاربر را پیدا نموده یا او را به شبکه وای‌فای مخربی وصل کنند.

البته کدهای QR پویا هم مخاطرات خاص خود را دارند، مثلاً امکان تغییر داده‌های تولید شده در آنها بعد از ایجاد این کدها وجود داشته یا می‌توانند بر روی دستگاه‌های مختلف، داده‌های متفاوتی را نمایش دهند.

ظهور و پرکاربرد شدن فناوری کد QR، با افزایش محبوبیت رمزارزها همراه شده است. امکان انتقال آدرس‌های بیت‌کوین از طریق کد QR که بسیار راحت‌تر از تایپ کردن آدرس‌های طولانی است، وجود دارد زیرا کدهای QR قابلیت تزریق داده را دارند و بیت‌کوین هم متشکل از یکسری داده است. بنابراین امکان سوءاستفاده از کدهای QR برای سرقت این رمزامرز وجود دارد.

نکاتی برای مقابله با کلاهبرداری‌های کد QR

برای کاهش مشکلات امنیتی و احتمال کلاهبرداری با کدهای QR، چندین روش وجود دارد که عبارتند از:

با توجه به مواردی که در این مطلب به آنها اشاره شد، توجه به تمامی جوانب برای حفاظت از داده‌ها اهمیت زیادی دارد. محافظت در برابر کدهای QR مخرب که همواره بر تعداد آنها نیز افزوده می‌شود باید جزو اولویت‌های شما باشد.

 

منبع: securityintelligence

 

خروج از نسخه موبایل