Kody QR – ułatwienie czy zagrożenie? Ekspert Perceptus w audycji Cyberprzezorny Radio Zachód

Przed mikrofonem Piotr Kuśnierz, ja mam dziś przyjemność gościć w naszym studiu Grzegorza Gąsiewskiego. To jest nasz ekspert do spraw bezpieczeństwa w Internecie.

Grzegorz Gąsiewski: Dzień dobry.

Piotr Kuśnierz: Dzień dobry, witam bardzo serdecznie. Dziś temat na czasie, bo porozmawiamy o kodach QR, ale oczywiście w kontekście naszego codziennego bezpieczeństwa.

Na początek powinniśmy zadać pytanie, kiedy i przez jaką branżę została zapoczątkowana technologia kodów QR.

GG: Kod QR, czyli z języka angielskiego Quick Response to szybko odpowiedź. Ta technologia została wynaleziona w 1994 roku w Japonii, przez firmę Denso Wave, która była podwykonawcą jednego z dużych producentów z branży motoryzacyjnej i po prostu ten producent spotkał taki problem z odczytem informacji na temat jego części. Brakowało mu szybkiego i dokładnego odczytu. Dotychczasowe kody nie spełniały tego założenia. Informacja, która była zaszyta w tych kodach była za mała. Były też problemy z zabrudzeniem takich kodów. Taki był problem też, że trzeba było pod odpowiednim kątem te informacje odczytywać.

Powstały kody QR, które posiadają o wiele większą pojemność. Można je skanować z różnej odległości, pod różnym kątem. Są też o wiele bardziej odporne do zabrudzenia czy uszkodzenia.

PK: To oczywiście tytułem takiej historii, jak to się wszystko rozpoczęło. A teraz powinniśmy powiedzieć naszym słuchaczom, jak działają takie kody QR. Oczywiście w sposób prosty, nie wchodząc w szczegóły.

GG: Kod QR jest to specjalny format dwuwymiarowych kodów. Składa się z wielu czarno-białych elementów, kwadratów. W tych poszczególnych elementach są zaszyte, zakodowane poszczególne elementy danej informacji, które przechowują. Odpowiednie czytniki, dzisiaj już wbudowane w każdy telefon, w każdy smartfon, odczytują tą informację, dekodują ją i przetwarzają nam zrozumiałą informację, którą chcemy otrzymać. Takie kody QR mogą przechowywać adres strony internetowej, wiadomości tekstowe, wizytówkę, a nawet szczegóły płatności. Kody QR mają też tą zaletę, że mają wbudowany taki element, który pozwala im odczytać też tą informację, pomimo jakiegoś częściowego uszkodzenia lub zabrudzenia, więc to jest taka główna przewaga nad takimi normalnymi kodami, które do tej pory gdzieś jeszcze są też wykorzystywane.

To odnieśmy w takim razie możliwość korzystania z kodów QR do naszego codziennego życia. Czyli w jakich sytuacjach możemy korzystać z takich kodów?

GG: Kody QR, tak jak wspomnieliśmy, zostały zapoczątkowane w branży motoryzacyjnej. Dosyć szybko się tam sprawdziły, więc poszczególne kolejne branże zaczęły korzystać z tego rozwiązania. Płatności mobilne, wszelkiego rodzaju branża eventowa, marketing, reklama. A już wchodząc w szczegóły, to coraz bardziej są popularne, zwłaszcza w Azji, płatności mobilne, gdzie po zeskanowaniu kody QR można zapłacić za zakupy czy dokonać przelewu. Bilety na imprezy sportowe, komunikacja miejska, gdzie dzisiaj już raczej nikt nie drukuje biletów, tylko po prostu skanuje czy przedstawia to w aplikacji, kawiarnie, lotniska nawet. Teraz coraz rzadziej są popularne drukowane karty pokładowe, czy nawet dostępy do hoteli. Dzisiaj już też zmienia się to z kluczy na właśnie kody QR, więc rozwój jest bardzo szeroki.

PK: To ja podzielę się jeszcze moim bezpośrednim doświadczeniem. Ostatnio musiałem zalogować się na konto i już wiedziałem co przede mną, czyli myślałem sobie tak, no dobrze, będę musiał wpisać maila, potem hasło, uwierzytelnić. Jakie było moje zdziwienie, kiedy ostatecznie miałem do wyboru albo tradycyjny sposób logowania, bo robiłem to na telewizorze typu smart, albo wystarczyło tylko przyłożyć komórkę, oczywiście mając włączony aparat, zeskanować taki kod QR. Następnie byłem na konkretnej stronie internetowej, zostałem przekierowany i tam już wystarczyło, że kliknąłem na moje konto, w tym przypadku Google i zostałem zalogowany. Więc widzimy jakie są możliwości, jeśli chodzi o kody QR. One nam pomagają w codziennym życiu, ale teraz przechodzimy do najważniejszego momentu programu, czyli porozmawiamy o ewentualnych niebezpieczeństwach związanych z korzystaniem z kodów QR.  W jakim kontekście, w jakich sytuacjach kody QR i w ogóle dlaczego mogą być niebezpieczne?

GG: Kody QR mogą być niebezpieczne, no bo niestety cyberprzestępcy też mogą z nich korzystać, mogą preparować czy przygotowywać takie kody. Jest tutaj taka forma, która się nazywa quishing, czyli właśnie phishing z wykorzystaniem kodów QR, gdzie dostajemy spreparowaną wiadomość np. niby z banku z zamieszczonym kodem QR, gdzie powinien nas przekierować do prawdziwej strony banku, ale niestety jest to najczęściej przekierowanie do strony fałszywej, gdzie jest prośba o podanie już dalszych danych dostępowych. Teraz częściej też się spotyka, i to w polskich miastach było kilkukrotnie głośno, tak zwane fałszywe naklejki na parkomatach, biletomatach, na przystankach autobusowych, które zamiast prowadzić do rzeczywistej strony, dzięki której można było opłacić np. miejsce postojowe czy kupić bilet, no niestety ktoś przykleił naklejkę swoją, gdzie te płatności już szły w zupełnie inne miejsce. Więc niestety branża to też w takim kierunku się rozwija.

PK: Czyli jaki może być najgorszy scenariusz, jeśli zeskanujemy nieuczciwy kod QR? Co nas może czekać?

GG: Po przekierowaniu na stronę, no niepożądaną stronę i wyświetleniu jakichś danych, do zalogowania się do jakiejś płatności, najczęściej do strony banku, no jeśli zalogujemy się, zaufamy takiej stronie, no to możemy utracić dostęp do naszego konta. Są też takie możliwości, gdzie mimowolnie po zeskanowaniu takiego kodu QR wykonają się pewne czynności na naszym smartfonie, gdzie może zostać wykonany nawet bez naszej wiedzy, bez naszej autoryzacji przelew. Może też zostać zainstalowana po zeskanowaniu takiego kodu QR. Jeśli zainstalujemy aplikację, no to oprócz takich czynności, gdzie ta aplikacja powinna wykonywać, mogą się wykonywać w tle takie czynności niepożądane, złośliwe, jak kradzież danych, kradzież haseł na przykład, czy kontaktów, czy wręcz nawet kradzież naszej tożsamości, bo wielu z nas na pewno przechowuje, czy to na jakichś aplikacjach specjalnych, czy czasami robimy zdjęcia, tak zwane screeny dokumentów, bo żyjemy w ciągłym pośpiechu.

No i niestety ten przestępca, jeśli uzyska dostęp do naszego smartfona właśnie w taki sposób, to musimy stracić tożsamość, a utrata tożsamości w dzisiejszych czasach wiąże się z tym, że ktoś może wziąć na przykład za nas kredyt na nasze dane, czy jakąś pożyczkę.

PK: Mówiliśmy o pozytywnych aspektach korzystania z kodów QR, mówiliśmy też o niebezpieczeństwach. No to w takim razie tytułem podsumowania rodzi się pytanie, jak zachować bezpieczeństwo, jednocześnie korzystając z kodów QR. Oczywiście, żeby była pełna jasność, nigdy nie będzie to 100%, ale możemy przedsięwziąć pewne środki, dzięki którym będzie bardzo małe prawdopodobieństwo, że zostaniemy oszukani. Co zrobić w takim razie, żeby bezpiecznie korzystać, w miarę bezpiecznie z takich kodów QR?

GG: Trzeba stosować kilka elementów. Polecam tutaj stosowanie takiej zasady zero zaufania, czyli po angielsku zero trust, gdzie zakładamy, że każdy kod QR jest niebezpieczny i może wyrządzić nam krzywdę. Więc nie ufamy, a weryfikujemy. I można to weryfikować w kilku krokach.

• Przede wszystkim staramy się nie skanować takich kodów z jakichś takich miejsc ogólnie dostępnych, gdzie rzeczywiście mogło dojść albo do zamiany takiego kodu QR, albo po prostu ktoś celowo nawet może plakat wydrukować z takim kodem i zamieścić wszelkiego rodzaju miejsca ogólnie dostępne. Jeśli już zdecydujemy się na zaskanowanie takiego kodu QR, to też sprawdźmy jeszcze przed przejściem na daną stronę internetową.
• Sprawdźmy, jak wygląda adres strony internetowej. Jeśli to jest jakiś zlepek przypadkowych znaków, cyfry, to raczej nie ufajmy takiej stronie. Nie zakończmy skanowanie tego i nie przechodźmy na taką stronę.
• Jeśli już przejdziemy na stronę, uważamy, że ona jest zaufana, natomiast pojawią się tam jakieś prośba o podanie danych, czy to danych do logowania do banku, danych do jakiejś autoryzacji, czy to jakiś portal społecznościowy, co często też się zdarza, czy podanie danych do karty kredytowej, to też raczej takich czynności nie wykonujmy, bo nigdy nie mamy pewności, kto po drugiej stronie jest.
• Dbajmy o aktualizację naszych systemów, naszych smartfonów oraz wszelkich aplikacji, z których korzystamy oraz też zainstalujmy jakieś oprogramowanie antywirusowe, które może nas uchronić, może nas ostrzec przed niebezpiecznym linkiem, czy niebezpieczną aplikacją, więc kody QR są bezpieczne, tylko trzeba się chwilę zastanowić przed skorzystaniem z takiego kodu, zwłaszcza przypadkowego gdzieś napotkanego.

Chciałem podzielić się jeszcze jedną poradą, która wynika bezpośrednio z tego, o czym przed chwilą mówiłeś. W momencie, kiedy skanujemy kod QR, to nie jest tak, że od razu zostajemy przekierowani na daną stronę. Tak jak powiedziałeś, wyświetla nam się na ekranie adres. Najczęściej jest on w kolorze żółtym, z tego co pamiętam. I teraz tak, widzimy już od razu ten adres, to jest pierwsza sprawa. Natomiast możemy go skopiować. Jeśli naciśniemy i przytrzymamy ten adres, to zwykle opcje są otwórz, łączę, czyli od razu przekierowanie lub kopię i łączę. Możemy taki adres skopiować i wkleić sobie do notatki i dokładnie ten adres sprawdzić. To też w pewien sposób uzmysłowi nam, gdzie nas kieruje taki kod QR.

Dodam jeszcze na koniec oczywiście taką garść statystyk, bo to jest bardzo istotne. Chodzi o popularność kodów QR. Według Insider Intelligence w 2023 roku w samych tylko Stanach Zjednoczonych ponad 94 miliony konsumentów używało swoich smartfonów do skanowania kodów QR. A w 2027 roku ta liczba może przekroczyć 100 milionów osób. Tak więc temat ważny, warto o nim rozmawiać. Warto korzystać z kodów QR, ale oczywiście z głową. Dziś na temat kodów QR w kontekście bezpieczeństwa miałem przyjemność rozmawiać z Grzegorzem Gąsiewskim, ekspertem do spraw bezpieczeństwa w internecie. Dziękuję za tę rozmowę.