Politycy odkryli kody QR. I mogą pomóc wyrobić zły nawyk
Kod QR powinniśmy traktować tak samo jak podejrzany link otrzymany od nieznanego nadawcy. Tym bardziej niepokojące jest to, że w ostatnich tygodniach łatwo nadziać się na charakterystyczny symbol. Zaczęli wykorzystywać go politycy.
"Postaram się to pokazać wykorzystując tablet z darmowym oprogramowaniem" – mówi polityk i skanuje kod QR na bilbordzie. Po chwili na ekranie urządzenia uruchomia się spot wyborczy jego ugrupowania. Był rok 2011, politykiem był wicepremier Waldemar Pawlak, a TVN24 opisujący pojawienie się kodów QR na banerach PSL-u zwracał uwagę, że ugrupowanie zaprzęgło do swojej kampanii „nowe, choć nie najnowsze technologie”.
Zabawne, że dopiero po 13 latach pomysł na takie wykorzystanie kodów QR zaczął się nieśmiało przebijać. Nawet w 2024 r. nie jest wprawdzie powszechny, ale kilku polityków w całym kraju umieściło charakterystyczne wygenerowane kody na swoich banerach. Zaczęło się od osoby kandydującej w Zabrzu. Walczący o fotel burmistrza Malborka kandydat na swoich plakatach nie zamieścił nawet zdjęcia ani partii, z ramienia której startował – postawił wyłącznie na adres strony internetowej i właśnie kod QR. Wpisało się to w nowoczesny wizerunek polityka. Malbork.naszemiasto.pl odnotował, że nazywany jest „radnym z TikToka”, a swój start ogłosił nie na „tradycyjnym spotkaniu czy konferencji prasowej”, ale właśnie w mediach społecznościowych. Tak, te wybory są najnowocześniejsze w historii, nawet jeśli niektóre metody zaczerpnięte są z 2011 r.
Baner z kodem QR zobaczyłem też u siebie w Łodzi. Po zeskanowaniu przechodzimy na stronę osoby kandydującej i widzimy cały program. Teoretycznie to dobry pomysł. Nie bazujemy wyłącznie na ogólnych hasłach zamieszczonych na wyborczym plakacie, tylko faktycznie możemy poznać program i daną osobę. Wystarczy najechać telefonem i gotowe.
Sęk w tym, że kody QR nie tylko nie mają już nowoczesnej twarzy, ale też coraz częściej kojarzą się z oszustwami. Na Spider’s Web pisaliśmy o wielu przekrętach z ich użyciem.
Co najważniejsze niektóre – jak te z parkomatami – rozgrywały się poza internetem. Ofiara chcąca opłacić miejsce parkingowe skanowała kod i dopiero wtedy trafiała na podstawioną przez oszustów stronę.
Wcale nie uważam, że czeka nas wysyp np. fałszywych banerów z kodami QR prowadzącymi na niebezpieczne witryny. Nie twierdzę również, że ktoś mógłby nalepić własny kod QR zastępując prawdziwy. Pewnie to za dużo roboty, na dodatek z daleka byłoby widać, że kod jest naklejony. Wciąż można innych okraść w znacznie prostszy sposób.
Bardziej niż realnego zagrożenia obawiam się wyrobienia niezbyt dobrego nawyku
Eksperci ds. cyberbezpieczeństwa od dłuższego czasu apelują, aby kody QR traktować jak linki od nieznanych nadawców. „Do wszystkich kodów QR, tam samo jak do ‘skróconych’ linków warto podejść z ostrożnością, ponieważ na pierwszy rzut oka, nie widać, gdzie nas przekierują” – sugerował Niebezpiecznik, zaznaczając, że „kody QR bywają niebezpieczne w różnych sytuacjach”.
Kody QR, podobnie jak wiele mechanizmów, które powstały z myślą o wygodzie i dostępności, znalazły się na celowniku przestępców. Oszustwa z ich wykorzystaniem określane są mianem quishingu (ang. Quick Response – szybka odpowiedź). Ten rodzaj oszustwa, będącego pochodną phishingu polega na zamieszczaniu spreparowanych kodów QR. Co może się stać jeśli zeskanujemy „podrobiony” kod? Zostaniemy przekierowani na fałszywą stronę znanej marki, banku czy też innej instytucji, która została stworzona do próby wykradzenia danych użytkowników, albo na nasze urządzenie zostanie pobrany zainfekowany plik, mogący wyrządzić bardzo wiele szkód – przestrzegało z kolei Ministerstwo Cyfryzacji.
I dodawało:
Zdrowy rozsądek jest podstawą. Podobnie jak edukacja na rzecz podnoszenia świadomości związanej z bezpieczeństwem w sieci. Bądźmy uważni i świadomi!
Z kolei CERT Orange analizując cyberprzestępstwa wykorzystujące kod QR podkreślało, że „w każdym z opisanych scenariuszy ostatecznym krokiem, otwierającym przestępcy drogę do pieniędzy/danych ofiary, była świadoma decyzja człowieka”. Skracając – to nie same kody QR są złe, ale ich nieodpowiedzialne skanowanie, a potem wpisywanie poufnych danych na podejrzanych stronach.
– Zapłacić za parkowanie czy bilet wstępu po zeskanowaniu kodu QR można w wielu parkach narodowych, np. kierowcy mogą skorzystać z tej opcji przy wejściu do Tatrzańskiego Parku Narodowego czy Karkonoskiego Parku Narodowego. Jednak tablice z piktogramami często stoją w odludnych miejscach, gdzie oszuści bardzo łatwo mogą je podmienić. Tymczasem przez cały rok tymi szlakami wędruje tysiące turystów, którzy mogą być poważnie narażeni na quishing – ostrzegał Bartłomiej Drozd, ekspert serwisu ChronPESEL.pl.
Serwis cytował statystyki z Wielkiej Brytanii, gdzie w pierwszych 9 miesiącach 2023 r. odnotowano 400 cyberprzestępstw przy użyciu kodu QR. Niby nie jest to zwalająca z nóg liczba, ale jednak było to o ok. 300 więcej niż w 2020 r. Trend jest widoczny. ChronPESEL.pl zaznacza, że podobnych statystyk w Polsce się nie prowadzi, ale „problem jest bez wątpienia bardzo poważny, skoro przed tym zagrożeniem ostrzega Ministerstwo Cyfryzacji, Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego Komisji Nadzoru Finansowego (CSIRT KNF) czy Zespół Szybkiego Reagowania na Incydenty Komputerowe (CERT)”.
Warto zadać sobie pytanie, czy politycy i aspirujący samorządowcy powinni tak epatować kodami QR zachęcając do skanowania
Teoretycznie baner jest „bezpiecznym” miejscem – mniej więcej wiemy, kto go powiesił i w jakim celu. Ale u mniej technicznych osób może pojawić się później proste skojarzenie. Zobaczą nalepkę z kodem QR np. na przystanku i uwierzą, że tak kupią bilet albo sprawdzą rozkład jazdy, a tak naprawdę trafią na podstawioną stronę. Przecież kod QR jest bezpieczny: używają go zarówno duże marki, jak i ci, którzy chcą decydować o miastach, więc czego tu się obawiać?
Wielokrotnie firmom czy bankom dostawało się za wysyłkę „podejrzanych” SMS-ów bądź maili. Komunikaty były rzecz jasna prawdziwe i faktycznie pochodziły od sprawdzonych nadawców, ale brzmiały podejrzanie. Nie tylko dziwiły świadomych odbiorców, ale niechcący uwiarygodniały później cyberprzestępców. Adresat mógł być mniej zaskoczony, bo przypomniał sobie, że wcześniej odebrał wiadomość od banku.
A skoro krytykowano firmy, to czy tym bardziej nie powinniśmy wymagać takiej odpowiedzialności od polityków? Kody QR mogą na pierwszy rzut oka nie szokować, ale wyobraźmy sobie, że ten sam kandydat wysyła maila z dziwnego konta i daje skrócony link w wiadomości. Albo pisze do wyborców na Facebooku: „hej, zobacz, jaki mam plan na naprawę miasta” i dołącza dziwny załącznik. Wydaje mi się, że takich kampanii byśmy nie popierali.
Same w sobie kody QR tylko czasami bywają bardzo niebezpieczne. Podobnie jak w przypadku linków odpalenie fałszywej strony nie musi od razu mieć groźnych konsekwencji. Problemy zaczynają się dopiero wówczas, gdy wpiszemy poufne dane czy ściągniemy i uruchomimy znajdujący się tam plik.
Mimo wszystko powinniśmy zastanowić się, czy epatowanie kodami QR w przestrzeni publicznej bardziej pomoże czy zaszkodzi. Możemy się śmiać, że w polityce sięgnięto po rozwiązanie, które stosowane było już w 2011 r., ale może w tym przypadku pośpiech nie jest wskazany. Może najpierw potrzebne jest uświadomienie, że kody QR bywają groźne, a wciąż nie jest to aż tak powszechna wiedza. Czasami chęć pokazania, że jest się nowoczesnym i kreatywnym, może mieć negatywny skutek.
Szczególnie w przypadku polityków.