Fizinis QR kodų užgrobimas — kai kas nors pritvirtina piratinį kodą tiesiog virš tavo — yra vienas iš paprasčiausių ir veikiausiausių puolimų quishing atakų arsenale. Užpuolikai nereikalinga jokia techninė žinia, neprireikia serverio prieigos ir jokio phishing rinkinio. Spausdintinis lipduklis ir trisdešimt sekundžių be priežiūros — ir viskas paruošta. Jei jau naudoji QR kodus bet kurioje viešai pasiekiamoje vietoje, suprasti, kaip veikia ši ataka, yra pirmas žingsnis jos sustabdymui.
Kaip tikrai atrodo fizinis QR kodų užgrobimas
Užpuolikai spausdina QR kodą, kuris veda į jų kontroliuojamą puslapį — dažniausiai į paduodama paskyros prisijungimo ekraną arba suklastotą mokėjimo portalą. Jie iškerpa jį tinkamu dydžiu ir prilipdina virš jūsų teisėto kodo. Skaitytojui niekas nerodosi keista: kodas yra tiesiog ten, kur turėtų būti, aplinkinis ženklinimas nepaliestas, o lipduklis dažnai pakankamai gerai sutampa su jūsų spalvų schema, kad išvengtų šansų būti pastebėtam.
Dažniausi taikiniai:
- Restoranų stalų šildymo ir meniu kodai — lankytojai skenuoja nežiūrėdami
- Mažmeninės prekybos kasos signalinės ženklai — „skanav norėdami mokėti" kodai ypač patrauklūs
- Įvykio registracijos stotys — aukšta apimtis, mažai darbuotojų priežiūros
- Parkavimo ir transporto kioskai — naudotojai dažnai skubina ir nukreipti
- Nekilnojamo turto skelbiamieji lentos — lauke, nesaugomi pavasariais
Užpuolikai nereikalinga paskyros kredencialai masiniu mastu. Vienas gerai išdėstytas pakeitimas užimtą šeštadienio popietę kavinėje gali sugriauti dešimtis aukų prieš tai, kai kas nors tai pastebės.
Kodėl aptikimas yra sunkesnis, nei atrodo
Jūsų klientai nepasiūlys žinios apie blogą nuskaitymą, jei paskirties puslapis yra įtikinamai suklastotas. Jie arba užpildys formą (atidavę kredencialus), arba uždarys skirtuką ir judės toliau, arba manys, kad QR kodas yra sugadintas. Nė vienas iš šių rezultatų negeneruoja skundu, kurį susietum su manipuliavimo problemomis.
Tuo tarpu jūsų teisėtas dinaminis QR rodys nulinį skaitymų kiekį tam laikotarpiui jūsų analitikoje — signalas, kuris lengva praleisti, jei neatidžiai jį stebite. Jei naudojate QR kodų skaitymo duomenis, staigus skaitymų sumažėjimas iš konkrečios vietos yra vienas iš jūsų anksčiausių įspėjimo ženklų.
Septyni žingsniai kodams apsaugoti nuo fizinių pakeitimų
1. Spausdinkite tiesiai į paviršius, kai tik galima
Lipdukliai gali būti pritvirtinti virš lipduklių. Jei jūsų medžiaga tai leidžia, spausdinkite QR kodą tiesiai į medžiagą — laminuotą meniu, dažytą sieną arba graviruotą plokštę — kad pakeitimas reikalautų sunaikinimo, o ne greito uždengimo.
2. Naudokite tamper-evident periferas
Skaidrios saugumo laminatos palieka matomą „VOID" raštą, kai jas atplėšate. Naudokite jas virš kiekvieno QR kodo, kurį naudojate viešumoje. Jie nesustabdys pasiryžusio užpuoliko, bet žymiai padidins pastangų sąrašą ir padarys manipuliavimą vizualiai akivaizdų.
3. Įtraukite savo prekės ženklą URL į kodą arba po juo
Jei jūsų rėmelio tekstas skelbia „Skanav norėdami apsilankyti jūsųprekėzekmė.lt" ir paskirties URL, kurį telefono peržvalgymas parodo, yra nesuderintas, neatitiktis tampa matoma prieš palietus. Susitvarkykite tai su URL peržvalgymu, kuris parodo paskirties nuorodą, kad klientai turėtų dar vieną kontrolės tašką prieš nuvykstant kur nors.
4. Atlikite savaitines fizines patikros raides
Paskirtkite darbuotoją fiziškai patikrinti kiekvieną naudotą kodą. Jie turėtų:
- Ieškoti pakeltu briauną arba matomų lipduko šio
- Patys skanuo kodą ir patvirtinti paskirti
- Patikrinti, kad dizainas sutampa su originalu menų
Dokumentuokite patikros datą. Tai ypač svarbu kodams, paliekami nesaugioose vietose.
5. Stebėkite skaitymų analitika, ieškodami vietos lygio anomalijų
Jei stalo kodas, kuris paprastai gauna 40 skaitymų per dieną, staiga rodo nulį, kas nors pasikeitė — arba kodas yra uždengtas, sugadintas, arba jis buvo užgrobtas ir naudotojai yra peradresavami toliau nuo jūsų platformos. Nustatykite įspėjimus arba peržiūrėkite vietos lygį savaitę.
6. Naudokite trumpas, skaitomas paskirties domeno nuorodas
Dinamini kodai, nukreipiantys į ženklintos trumpos domeno (pvz., eiti.jūsųprekėzekmė.lt/meniu) yra daug lengviau patikrinami klientams nei neaiškūs nukreipimo grandinės. Jei kažkieno telefonas rodo ilgą, susimaišytą URL, treniruokite savo darbuotojus pasakyti, kad tai nėra normalus.
7. Registruokite atakos paviršių savo saugumo mokymų programoje
Jūsų priekinės dalies darbuotojai yra jūsų pirmoji apsaugos linija. Komanda, kuri žino, kaip atrodo pakeistas kodas — ir turi procesą jam pranešti — užfiksuu incidentus prieš jie padidėja. Platesni mokymo kontekstą aprašo QR kodų saugumo mokymai darbuotojams.
Greita palyginimas: didelės rizikos ir mažesnės rizikos išdėstymai
| Išdėstymas | Rizikos lygis | Priežastis |
|---|---|---|
| Lauko kioskas, nesaugomas | Didelis | Lengva prieiga, ilgas buvimo laikas |
| Vidaus prekyba, darbuotojai yra | Vidutinis | Darbuotojai gali pastebėti pakeitimą |
| Spausdinta tiesiai į pakavimą | Žemas | Pakeitimas reikalina naują pakavimą |
| Įterptas į skaitmeninį ženklinimo ekraną | Labai žemas | Nėra fizinio paviršiaus uždenginmui |
Kada naudoti statinius ir dinaminius kodus saugumui
Statiniai QR kodai koduoja paskirties URL tiesiai į modelį — negali jų keisti, jei jie yra sugriauti, ir nėra skaitymų duomenų, kurie jus įspėtų apie problemą. Dinamini kodai suteikia jums galimybę iš karto atnaujinti paskirti, jei įtariaite užgrobimą, ir jie suteikia jums analitikos grąžinimą, kurio reikia anomalijoms aptikti. Bet kokiam didelio srauto viešam naudojimui dinamini kodai verta papildomos kainos. Statiniai ir dinamini QR kodai aiškiai paaiškina kompromisus, jei jūs pasveriate galimybes.
Galite generuoti ir valdyti abu tipus per „Super QR Code Generator", jei norite vienos platformos grąžinti to naudojimo būsena visose vietose.
Pagrindiniai išsigalvojimai
- Fizinis QR kodų užgrobimas nereikalinga jokia techninė žinia — spausdintas lipduklis yra vienintelis reikalingas įrankis.
- Skaitymų sumažėjimai iš konkrečios vietos dažnai yra pirmas aptiktinas signalas.
- Spausdinkite kodus tiesiai į paviršius ir naudokite tamper-evident periferas, kai tik galima.
- Visada įtraukite prekės ženklą su savo domenu, kad klientai galėtų pastebėti URL neatitiktį.
- Dinamini kodai suteikia jums galimybę iš karto atnaujinti paskirti ir duoda jums skaitymo duomenis, kurie reikalingi anomalijoms anksti susekti.
- Savaitinės fizinės patikros nėra pasirenkamosios, jei jūs turite kodus nesaugioose viešose vietose.
