Skanowanie kodów QR pozwala w wygodny sposób uzyskać dostęp do potrzebnych informacji. Niestety, w ostatnim czasie pojawia się coraz częściej kodów QR spreparowanych przez oszustów i wykorzystywanych do phishingu.

Kody QR występują niemal wszędzie: w restauracjach, kinach, środkach komunikacji publicznej, toaletach. Bardzo często przesyła się je za pośrednictwem SMS-ów lub e-maili. Według Insider Intelligence w 2023 roku w samych tylko Stanach Zjednoczonych ponad 94 miliony konsumentów używało swoje smartfony do skanowania kodów QR, zaś w 2027 roku liczba ta przekroczy 100 milionów.

Rosnąca popularność kodów QR nie umyka uwadze cyberprzestępców. Co gorsza, ludzie skanują kody bez większego zastanowienia. Tymczasem eksperci od bezpieczeństwa ostrzegają, że w przestrzeni publicznej pojawia się mnóstwo kodów QR wytwarzanych przez oszustów. To niebezpieczne zjawisko nazywa się quishingiem.

• Cyberprzestępcy umieszczają kody QR w e-mailach lub SMS-ach, zachęcając odbiorców do zeskanowania kodu i odwiedzania fałszywej witryny, sprawiającej wrażenie zaufanej usługi lub aplikacji. Jest to nowa, wyjątkowo niebezpieczna odmiana phishingu, bowiem na ogół ludzie mają stosunkowo duże zaufanie do kodów QR, nie zdając sobie sprawy z czyhających na nich zagrożeń – tłumaczy Michał Łabęcki, Marketing Manager w G DATA Software.

Utworzenie własnego kodu QR nie jest wiele trudniejsze, aniżeli jego zeskanowanie. Cyberprzestępca wygeneruje go w zaledwie kilka minut. Poza tym taki kod oprócz tego, że dołącza się do wiadomości, można przykleić w dowolnym miejscu na ścianie. W połowie ubiegłego roku media światowe media informowały o zmasowanej kampanii phishingowej, realizowanej za pomocą złośliwych kodów QR. Celem akcji była kradzież danych uwierzytelniających konta Microsoftu. Napastnicy wzięli na cel duże firmy energetyczne, instytucje finansowe, producentów, a także dostawców nowych technologii. Ale znane są też przypadki, kiedy kod QR posłużył do zwykłych oszustw finansowych. Oszuści wysyłają kody QR służące do jednorazowego dostępu do systemu wpłat na konto bankowe. W ten sposób poluje się są osoby sprzedające produkty na portalach ogłoszeniowych. W praktyce sprzedawca nie otrzymuje zapłaty, a z jego z konta wyparowuje kilka tysięcy złotych. Zresztą napastnicy wykazują się w tym zakresie coraz większą pomysłowością. W Stanach Zjednoczonych pojawiły się doniesienia o oszustach umieszczających kody QR na parkometrach.

Cyberprzestępcy wykorzystują kody QR z dwóch powodów. Po pierwsze odbiorcy nie potrafią ocenić ich wiarygodności, zaś po drugie, filtry spamowe często miewają trudności z przechwytywaniem obrazów QR dołączanych do wiadomości w postaci pliku PDF. Natomiast wadą tego wektora ataku z punktu widzenia napastnika, jest konieczność podjęcia czynności przez potencjalną ofiarę. Jeśli nie podejmie żądanych działań, atak zostanie powstrzymany.

Co istotne, cyberprzestępcy bardzo chętnie biorą na cel użytkowników smartfonów. Wynika to faktu, iż większość komputerów posiada lepszą lub gorszą ochronę przed phishingiem. Inaczej wygląda to w przypadku telefonów, bardziej podatnych na ataki niż laptopy czy desktopy. Ważnym czynnikiem jest poczucie pilności, jakie oszust tworzy w wiadomości, aby skłonić jej odbiorcę do jak najszybszego zeskanowania kodu QR i bezmyślnego wprowadzenia danych osobowych tak szybko, jak to tylko możliwe. Użytkownicy smartfonów zwykle reagują bardziej impulsywnie na przychodzące wiadomości niż osoby używające komputerów.

Jak nie dać się złowić na kod QR?

Co zrobić, aby nie nabrać się fałszywy kod QR? Najlepiej ich nie skanować. Niemniej jeśli ktoś zamierza iść z duchem czasu i czerpać garściami z technologicznych nowinek, powinien ze szczególną ostrożnością podchodzić do wiadomości pochodzących z nieznanych źródeł, bądź naklejek umieszczonych w dziwnych miejscach. Poza tym oszuści najczęściej sugerują pilne działanie: zeskanuj ten kod QR, aby zweryfikować swoją tożsamość lub zapobiec usunięciu konta, bądź skorzystaj z oferty ważnej do końca miesiąca itp. Jeśli nie ma 100 procent pewności co do źródła kodu QR, nie powinno się go skanować telefonem. Należy sprawdzać łącza i zwracać uwagę na takie kwestie jak rozpoznanie adresu URL, błędy ortograficzne lub zamienione litery.

Niezależnie od tego, czy używa się laptopa czy smartfona, trzeba aktualizować oprogramowanie.

Najnowsze wersje popularnych mobilnych przeglądarek internetowych mają wbudowaną technologię wykrywania fałszywych linków.

– Te zintegrowane zabezpieczenia nie są do końca niezawodne, ale im bardziej aktualna przeglądarka i system operacyjny, tym większe szanse, że użytkownik otrzyma ostrzeżenie na ekranie o zagrożeniu. Warto też instalować, zarówno na komputerach, jak i smartfonach, komercyjne oprogramowanie antywirusowe, które lepiej chroni użytkownika przed phishingiem aniżeli zabezpieczenia stosowane w przeglądarkach – wyjaśnia Michał Łabęcki.

Niezależnie od używanego urządzenia, warto zachować zdrowy rozsądek, bowiem w niektórych przypadkach ryzyko jest prawie żadne ze względu na małą liczbę potencjalnych ofiar, a tym samym niewielki zarobek dla oszustów. Na przykład istnieje nikłe prawdopodobieństwo, że menu z kodem QR w małej, lokalnej restauracji zostało wygenerowane przez hakerów.

Usługi subskrypcyjne zyskują wielu zwolenników, co pokazuje chociażby przykład platform streamingowych. Niestety, z tego modelu bardzo chętnie korzystają również cyberprzestępcy.

Dostawcy systemów bezpieczeństwa IT toczą nieustanną i nierówną walkę z siłami zła.

O ile pierwsi muszą postępować zgodnie z regułami, czyli płacić podatki, przestrzegać regulacji, o tyle gangi cyberprzestępcze działają bez jakichkolwiek ograniczeń. Co więcej, napastnicy bardzo chętnie czerpią najlepsze wzorce od firm prowadzących legalne biznesy – zlecają zadania na zewnątrz, nagradzają prowizjami najlepszych partnerów, stosują nowoczesne modele biznesowe. Klasyczny przykład stanowi tutaj usługa Ransomware as a service (RaaS), która w znacznym stopniu przyczyniła się do rozpowszechniania tych groźnych ataków. Cyberprzestępcy stosują dość przewrotne podejście do Software-as-a-Service (SaaS), bowiem nie dostarczają pakietów biurowych, systemów CRM, czy aplikacji do komunikacji, lecz kod złośliwego oprogramowania.

Wsparcie dla cyberprzestępców

W praktyce wygląda to w ten sposób, że haker loguje się do portalu, gdzie tworzy własne konto, wprowadza szczegóły dotyczące rodzaju złośliwej aplikacji, jaką zamierza stworzyć i płaci za usługę w bitcoinach. Ceny zestawów są bardzo zróżnicowane i zaczynają się już od 40 USD dolarów miesięcznie. Natomiast za najbardziej zaawansowane rozwiązania trzeba zapłacić nawet kilka tysięcy dolarów. Ale to tylko jedna część opłaty, druga to prowizja pobierana przez operatora (zazwyczaj od 20 – 30 procent) od okupu zapłaconego przez ofiarę ataku.

Subskrybenci mogą liczyć na wsparcie dostawcy, wymieniać się informacjami na forach, a także korzystać z aktualizacji. Natomiast oferujący najbardziej zaawansowane usługi operatorzy posiadają własne portale, na których partnerzy mogą obserwować status infekcji, statystki dotyczące płatności, czy liczby zaszyfrowanych plików.

– RaaS otwiera ogromne możliwości przed napastnikami. Model ten obniża barierę wejścia dla początkujących hakerów. Nie trzeba mieć dużych umiejętności, aby zainicjować atak i zakończyć go sukcesem. Poza tym nakład włożony w zakup narzędzi jest niewielki w porównaniu z potencjalnymi zyskami czekającymi na napastników – tłumaczy Michał Łabęcki z G DATA Software. 

Szacuje się, że w Polsce średnia wysokość okupu żądanego przez napastników wynosi niespełna 700 tysięcy złotych. Gangi ransomware działają według podobnego modelu biznesowego, jak dostawcy systemów bezpieczeństwa IT. Jednak zasadnicza różnica polega na tym, że nawet aspirujący hakerzy mogą w stosunkowo krótkim czasie zarobić nieporównywalnie więcej niż doświadczeni resellerzy, bądź integratorzy wdrażający systemy bezpieczeństwa IT. Dlatego RaaS cieszy się w środowisku cyberprzestępczym nieustającą popularnością

– Jednym z największych problemów występujących na rynku cyberbezpieczeństwa jest bezkarność napastników. Wprawdzie czasami zdarzają się przypadki rozbicia groźnych gangów, takich jak na przykład Lockbit, jednak jego założyciel, 31-letni Dmitrij Jurijewicz Choroszew z Rosji, gra organom ścigania na nosie, siedząc sobie bezpiecznie w Rosji. – przyznaje Michał Łabęcki.

W bieżącym roku Departament Sprawiedliwości USA przedstawił Choroszewowi akt oskarżenia, zawierający 26 zarzutów i grozi mu do 185 lat więzienia oraz kary finansowe – 250 000 dolarów za każde przestępstwo. Jak na razie jedyną karą dla Rosjanina pozostaje to, że nie może odwiedzać Wielkiej Brytanii, Stanów Zjednoczonych oraz Australii.

Demokratyzacja cyberbezpieczeństwa

Jakby na to nie patrzeć, RaaS prowadzi do demokratyzacji cyberprzestępczości. Osoby o dość skromnej wiedzy na temat włamań do sieci, czy tworzenia złośliwego oprogramowania, dzięki temu modelowi mogą przeprowadzać wyrafinowane ataki. Tym samym liczba napastników cały czas rośnie. Partnerzy czerpią zyski przy stosunkowo niewielkim nakładzie pracy, zaś operatorzy zwiększają zasięg swojego działania, i to bez bezpośredniego angażowania się w ataki. Ta swoista symbioza przyczynia się do zwiększenia rentowności cyberprzestępczości. Poza tym operatorzy RaaS zmieniają charakter ataków. W ostatnim czasie nasiliły się incydenty, których ofiarą padają firmy, bądź instytucje posiadające znaczne ilości wrażliwych danych. W takich sytuacjach cyberprzestępcy nie szyfrują plików, co zazwyczaj opóźnia pobranie okupu, lecz grożą upublicznieniem informacji. Taka taktyka wielokrotnie wymusza na instytucjach, w tym między innymi placówkach zdrowia, szybkie zapłacenie haraczu, aby uniknąć kompromitacji i konsekwencji prawnych.

Jak się chronić przed RaaS?

Walka z operatorami RaaS powinna polegać przede wszystkim na prowadzeniu działań wyprzedzających. Jedną z podstawowych kwestii są szkolenia pracowników w zakresie cyberbezpieczeństwa. W czasie takich kursów szczególnie duży nacisk należy położyć na rozpoznawanie podejrzanych wiadomość e-mail oraz linków. Poza tym dział IT musi na bieżąco aktualizować oprogramowanie, co pozwala likwidować luki bardzo chętnie wykorzystywane przez gangi ransomware. Nie mniej istotne jest tworzenie i testowanie kopii zapasowych, dzięki czemu łatwo można odzyskać dane bez płacenia okupu. Co ważne, kopie należy przechowywać w trybie offline lub w oddzielnej sieci, aby uniemożliwić dostęp do nich napastnikom. Firmy powinny również powszechnie korzystać z rozwiązań do ochrony urządzeń końcowych, takich jak na przykład oprogramowanie antywirusowe z funkcją antyransomware, która chroni przed próbami zaszyfrowania przez przestępców zdjęć, dokumentów czy danych osobowych.

Specjaliści ds. bezpieczeństwa powtarzają – kiedy nadejdzie czas na aktualizację oprogramowania, nie zwlekaj. Jednak i nadmierny pośpiech nie zawsze popłaca.

Niespełna trzy miesiące temu błędna aktualizacja oprogramowania bezpieczeństwa zatrzymała pracę około 8,5 miliona maszyn z systemem Windows. Awaria dotknęła firmy korzystające z systemów operacyjnych Windows 10 i Windows 11. Media informowały o paraliżu linii lotniczych, banków, placówek opieki zdrowotnej, czy portów morskich. Wprawdzie o letnim incydencie prawie już wszyscy zapomnieli, z pewnością przejdzie on do historii jako jedna z największych awarii wywołanych przez błąd oprogramowania.

• Myślę, że kurz już nieco opadł i dyskusja na ten temat ustała. Niemniej awaria oprogramowania bezpieczeństwa nauczyła nas kilku rzeczy i warto z nich wyciągnąć wnioski. Dostawcy oprogramowania bardzo się spieszą, aby z jednej strony załatać luki bezpieczeństwa, zaś z drugiej wprowadzić nowe możliwości i funkcjonalności – i zrobić to przed konkurentem. Nie można jednak przy tym wszystkim zapominać o starannym projektowaniu, rozwoju i testowaniu oprogramowania. – mówi Michał Łabęcki z G DATA Software.

Jednym ze sposobów na uniknięcie błędu podczas aktualizacji jest przeprowadzenie tego procesu etapami. W przypadku wykrycia problemów pozwoli to zminimalizować liczbę systemów dotkniętych błędami. Szczególnie ostrożnie należy postępować z systemami krytycznymi. W takich sytuacjach organizacja, załóżmy duży międzynarodowy bank, powinna przetestować aktualizację przed wypuszczeniem jej do wszystkich udziałów. Innym dobrym rozwiązaniem są automatycznie aktualizacje, jednak umożliwiające przeprowadzenie pilotażu, aby w razie wykrycia nieprawidłowości zatrzymać masową dystrybucję.

Kiedy trzeba się spieszyć, a kiedy pomyśleć

O ile pośpiech związany z wprowadzaniem różnego rodzaju ulepszeń nie zawsze ma sens, tyle w przypadku luk bezpieczeństwa jest on jak najbardziej wskazany. Duża rolę w wykrywaniu i naprawianiu podatności odgrywają tak zwani etyczni hakerzy, czasami też nazywani „białymi kapeluszami”. Po odnalezieniu luki kontaktują się oni bezpośrednio z producentem rozwiązania, aby ten jak najszybciej opracował łatkę i udostępnił ją użytkownikom. Bardzo często tworzą też exploit proof-concept, aby pokazać zagrożenie w praktyce. Niestety, zdarzają się przypadki, że producent zlekceważy informacje uzyskane od etycznych hakerów. Wówczas ci ostatni informują o zaistniałym zdarzeniu media.

Oczywiście cyberprzestępcy postępują odmiennie niż „białe kapelusze” i usiłują jak najdłużej zachować w tajemnicy wiedzę o lukach w zabezpieczeniach, aby za jej pomocą przeprowadzić maksymalną liczbę ataków. Warto w tym miejscu zaznaczyć, że w ubiegłym roku opublikowano ponad 30 tysięcy nowych luk w zabezpieczeniach. Według raportu Skybox Security 75 procent nowych luk w zabezpieczeniach jest wykorzystywanych w ciągu 19 dni lub szybciej. To pokazuje, jak duże znaczenie ma szybka reakcja dostawcy.

Ale aktualizacja nie zawsze wynika z potrzeby „łatania dziur”, bowiem bardzo często niesie ze sobą nowe funkcjonalności, poprawienie wydajności pracy systemu czy też zapewnić jego kompatybilność z najnowszymi dostępnymi na rynku technologiami.

Producent chce w ten sposób zyskać przewagę nad rywalami, lub co najmniej od nich nie odstawiać. Jednak czasami to się nie udaje. Znamienna jest tutaj historia Sonosa – dostawcy domowych bezprzewodowych systemów dźwiękowych. Firma w maju bieżącego roku udostępniła nowo zaprojektowaną aplikację przeznaczoną do obsługi swoich urządzeń, jednak klienci nie byli zachwyceni wprowadzonymi innowacjami, a niektórzy wręcz nie ukrywali frustracji. Odświeżona aplikacja nie zawierała najbardziej lubianych przez użytkowników funkcji. W rezultacie Sonos niemal co dwa tygodnie musiał wprowadzać poprawki korygujące błędy.

Czasami dochodzi do kuriozalnych sytuacji. Takowa miała miejsce w ostatnich dniach września na rynku amerykańskim. W czerwcu bieżącego roku w USA zakazano sprzedaży oprogramowania Kaspersky Lab. Biały Dom argumentował swoją decyzję tym, iż Kaspersky zagraża bezpieczeństwu narodowemu USA i prywatności użytkowników. Zakaz zaczął obowiązywać 20 lipca, aczkolwiek producent uzyskał pozwolenie na dostarczanie aktualizacji oprogramowania i zabezpieczeń obecnym klientom do 29 września. W ostatnich dniach września część amerykańskich użytkowników tego antywirusa otrzymała automatyczną aktualizację zawierającą inne oprogramowanie – UltraAV, choć nie wyrazili na to przedtem zgody. Były wysoki rangą urzędnik rządu USA ds. cyberbezpieczeństwa powiedział, iż był to przykład ogromnego ryzyka, na jakie narażeni są użytkownicy oprogramowania Kaspersky.

Wszystkie jajka w jednym koszyku

W świecie nowych technologii często ścierają się dwie koncepcje. Jedna zakłada maksymalną koncentrację rozwiązań, zaś druga zachęca do dywersyfikacji. Rynek cyberbezpieczeństwa cechuje się bardzo dużym rozdrobnieniem – działa na nim ponad 3 tysiące dostawców, a średnia, bądź duża firma zazwyczaj korzysta z kilkunastu narzędzi bezpieczeństwa IT, pochodzących od różnych vendorów. Część ekspertów, a także przedstawiciele największych koncernów działających w tej branży, nawołuje więc do konsolidacji.

– Jak pokazuje lipcowa awaria, koncentracja wielu rozwiązań o znaczeniu krytycznym w rękach kilku dużych graczy, może być brzemienna skutkach. To przeczy opiniom części specjalistów przekonujących klientów, że duża fragmentacja rynku jest jedną z największych bolączek branży cyberbezpieczeństwa. – zauważa Michał Łabęcki.

Osobną kwestią jest przywiązane wielu firm do Microsoftu, który zapewnia, że może dostarczyć użytkownikom praktycznie wszystko, czego potrzebują. Przedsiębiorstwa umieszczają wszystkie swoje przysłowiowe jajka w jednym koszyku. To nie tylko zwiększa ryzyko, że coś pójdzie nie tak, ale zwiększa prawdopodobieństwo, że rozwiązanie problemu będzie trudniejsze niż w przypadku zdywersyfikowanej infrastruktury.

Co istotne, część pracowników 19 lipca po uruchomieniu komputerów z systemem operacyjnym Windows, ujrzała niebieski ekran. Z kolei użytkownicy urządzeń pracujących pod kontrolą macOS czy ChromeOS mogli tego dnia spokojnie pracować. Otwarta koncepcja Microsoftu gwarantuje programistom tworzenie aplikacji współpracujących z systemem operacyjnym na bardzo głębokim poziomie. Ma to swoje plusy, ale czasami niesie ze sobą poważne konsekwencje. Jak by nie patrzeć, restrykcyjna polityka firmy Apple w tym zakresie zapewnia użytkownikom komputerów z nadgryzionym jabłuszkiem większe bezpieczeństwo, bowiem jedna wadliwa aktualizacja nie wywraca do góry nogami pracy biur, urzędów czy instytucji finansowych.