Cisco szacuje, że 60 proc. wszystkich e-maili z kodami QR to spam

Kody QR, wprowadzone już w 1994 roku, szybko zyskały uznanie i stały się wręcz wszechobecne – znajdując zastosowanie w marketingu, logistyce czy branży turystycznej. W odróżnieniu od jednowymiarowych kodów kreskowych, które mogą przechowywać jedynie do 80 znaków alfanumerycznych, kody QR pozwalają na zapisanie tysięcy znaków, co uczyniło je niezwykle praktycznym rozwiązaniem. Choć mogą służyć do przedstawiania niemal dowolnych danych, najczęściej spotykamy je jako nośniki adresów URL.

Jednak wraz  z rosnącą popularnością QR kodów zaczęły pojawiać się również zagrożenia, wynikające z wykorzystania ich przez cyberprzestępców. Przyjrzał się temu  zespół Cisco Talos. Wyniki analiz pokazują, że aż 60 proc.  wszystkich e-maili zawierających kody QR to spam, a część z nich zawiera złośliwe linki, za pomocą których cyberprzestępcy próbują wykradać dane osobowe. 

Jak podaje Cisco, kody QR występują w około 1 na 500 wiadomości e-mail na świecie. Jednak ich skuteczność w omijaniu filtrów antyspamowych sprawia, że znaczna część trafia do skrzynek odbiorczych użytkowników, przez co problem może wydawać się większy, niż jest w rzeczywistości.

Niestety kody QR, w odróżnieniu od tradycyjnych adresów URL, są o wiele trudniejsze do wykrycia. Dlatego tak istotne jest, aby użytkownicy zawsze sprawdzali źródło kodu QR przed jego zeskanowaniem, chroniąc się w ten sposób przed potencjalnymi zagrożeniami – ostrzega Cisco.

Na szczęście, złośliwe kody QR występują w zdecydowanie mniejszym odsetku wiadomości. Na ogół są one używane w e-mailach z linkami do stron phishingowych. Jednym z najczęstszych zagrożeń związanych z tymi kodami są próby oszustw MFA (uwierzytelnianie wieloskładnikowe), które mają na celu wyłudzanie haseł użytkowników. Chociaż liczba takich wiadomości jest stosunkowo niewielka, ich skuteczność oraz trudność w wykryciu stanowią istotne wyzwanie dla użytkowników i narzędzi bezpieczeństwa. 

Niestety kody QR, wyświetlane w formie obrazów, stanowią wyzwanie dla systemów antyspamowych, ponieważ ich identyfikacja wymaga kilku złożonych etapów. System musi najpierw rozpoznać obecność kodu QR w obrazie, następnie zdekodować jego zawartość, a na końcu przeanalizować uzyskane dane, takie jak linki czy inne informacje. Ta wieloetapowa procedura sprawia, że spamerzy chętnie wykorzystują kody QR, stale szukając nowych sposobów na obejście zaawansowanych filtrów antyspamowych. Jednym z nich jest tworzenie kodów QR z użyciem znaków Unicode, które umożliwiają osadzanie punktów danych w niestandardowych formatach, aby utrudnić ich analizę. Dodatkowo cyberprzestępcy coraz częściej wykorzystują tzw. „sztukę kodów QR” (QR Code Art), w której punkty danych kodu QR są sprytnie wkomponowane w artystyczny obraz, przez co kod QR jest niemal nierozpoznawalny. Użytkownicy mogą nieświadomie zeskanować taką grafikę i zostać przekierowani na złośliwą stronę.

Eksperci Cisco Talos wskazują dwie skuteczne metody ich unieszkodliwiania. Jednym z nich jest zaciemnienie modułów danych, czyli czarnych i białych kwadratów w obrębie kodu QR, które przechowują zakodowane dane. Jednak na podstawie badań Cisco Talos, znacznie łatwiejszym sposobem jest usunięcie jednego lub więcej wzorców wykrywania pozycji (tzw. finder patterns). Są to duże kwadratowe pola umieszczone w trzech z czterech rogów kodu QR, które służą skanerowi do określenia orientacji i położenia kodu. Usunięcie ich sprawia, że kod QR staje się nieskanowalny przez praktycznie wszystkie skanery, co uniemożliwia przekierowanie użytkowników na strony phishingowe lub inne niebezpieczne witryny.