Какво е Qrljacking и как можете да го предотвратите?
QR кодовете или кодовете за бърз отговор са доста готини. Те могат да се използват за кодиране на почти всички неща, буквено-цифрови и цифрови. Освен това изглеждат някак футуристично. QR кодовете са техническо подобрение на баркодовете (ос X—отляво надясно). Докато баркодовете се считат за едноизмерни, QR кодовете са двуизмерни (оси X и Y — отляво надясно и отгоре надолу). QR кодовете могат да съхраняват до 7089 цифри или 4296 знака. Това включва препинателни знаци и специални знаци. Така че QR кодовете могат да се използват за кодиране на думи, фрази, интернет URL адреси и идентификационни данни за вход.
Но въпреки цялото им удобство, QRL кодовете също са вектор за онлайн атака. Въведете QRLjacking.
История на QR кода
QR кодовете са създадени от японска производствена компания, наречена плътна вълна . Компанията се нуждаеше от по-добра система за кодиране, която можеше да обработва повече данни (способна да кодира повече знаци) от традиционните баркодове. Компанията се нуждаеше от това, за да може да проследи нарастващия брой превозни средства и части, които произвеждаше. Служителят на Denso Wave, Масахиро Хара, с екип от двама колеги, разработи това, което сега познаваме като QR кодове. QR кодовете са налични от 1994 г.
Какво представляват QRL?
QRLs или влизането с код за бърз отговор е алтернатива на удостоверяването, базирано на парола. QRL позволяват на потребителите да влизат в акаунтите си чрез сканиране (направяне на снимка) на QR код, който е кодирал идентификационните данни за вход на потребителя. Така че, да, това означава, че имате нужда от устройство, оборудвано с камера, която може да интерпретира QR кодове. Но повечето смартфони и компютри, които купувате днес, имат вградена тази функционалност.
QRL или влизането с код за бърз отговор се появи като начин за преодоляване на две от основните оплаквания, засягащи традиционното влизане с парола.
- Умора на паролата:Тъй като броят на онлайн услугите расте ежедневно, искането на потребителя да измисли и запомни сигурна парола за всеки от своите акаунти бързо става неуправляемо. Така хората в крайна сметка използват повторно едни и същи пароли за множество сайтове/услуги. Това е много лоша идея по много причини. А именно защото, ако парола, която използвате за много услуги, някога бъде компрометирана, вашият акаунт за всички тези услуги е компрометиран. Това ефективно умножава щетите по броя на сайтовете/услугите, които споделят тази парола. За повече информация можете да прочетете нашата специална статия за повторно използване на пароли.
- Повторни атаки:Традиционните идентификационни данни, базирани на пароли, са уязвими на атаки за повторно възпроизвеждане. Повторната атака е вид атака 'човек по средата'. , при което предаването на легитимни данни (идентификационни данни за вход на потребител, например) се забавя и прихваща от нападателя, който след това препредава прихванатите данни, за да се представи за действителния потребител и потенциално да открадне неговите данни. Тъй като QRL се променят с всеки опит за влизане, това затваря вратата за тези видове атаки.
Но това не означава, че QRL са неуязвими по никакъв начин, както ще видим.
Какво е QRLjacking?
QRLjacking е онлайн атака, която се състои в заблуда на нищо неподозиращ потребител да сканира QRL, предоставен от нападателя, вместо действителния QRL, издаден от доставчика на услугата. След като потребителят сканира злонамерения QRL, нападателят получава достъп до акаунта на потребителя и се случват лоши неща.
QRLjacking, подобно на много онлайн атаки, изисква някаква форма на социално инженерство, за да заблуди жертвата да сканира компрометирания QRL.
Ето пример за типична QRLjacking атака:
- Нападателят инициира QR сесия от страна на клиента за въпросния уебсайт/услуга.
- След това нападателят клонира QR кода за вход към фалшива страница за вход, имитираща точно легитимна онлайн услуга. QR кодовете, които показва, са валидни и се актуализират редовно.
- Използвайки някаква форма на социално инженерство, нападателят изпраща фалшивата страница на жертвата. Това може да бъде имейл с URL адрес, публикация във Facebook, дори текстово съобщение, каквото и да е, стига да подмами жертвата да кликне върху връзката.
- Потребителят сканира злонамерения QRL с мобилното приложение, за което QRL е създаден.
- Нападателят получава достъп до акаунта на жертвата и онлайн услугата не е по-мъдра, тъй като споделя данните на потребителя с нападателя.
QRLjacking атаки в реалния свят
През април 2019 г. OWASP.org , Проектът за сигурност на отвореното уеб приложение, създаден a GitHub хранилище хостинг софтуерни инструменти за извършване на QRLjacking атаки, заедно с инструкции и Wiki. Изследователите по сигурността понякога публикуват „гадни“ неща за изследователски цели.
На страницата на GitHub OWASP изброява онлайн услугите, за които през април 2019 г. е известно, че са уязвими на QRLjacking атаки. Възпроизвеждам списъка по-долу. Някои от онлайн услугите, попаднали в списъка на OWASP, може да ви изненадат.
Повечето от тези услуги са китайски или руски, където QR кодовете са много по-често срещани.
Приложения за чат
- Линия
- QQ Незабавни съобщения
Пощенски услуги
- QQ Mail (лична и бизнес корпоративна),
- Yandex Mail
е-търговия
- Али Баба
- Aliexpress
- Таобао
- Tmall
- 1688.com
- не получава
- Taobao пътувания
Онлайн банкиране
- AliPay
- Yandex пари
- TenPay
Паспортни услуги
- Yandex Passport (Yandex Mail, Yandex Money, Yandex Maps, Yandex Videos и др.)
Софтуер за мобилно управление
- Airdroid
Други услуги
- MyDigiPass
- Zapper & Zapper WordPress Login чрез плъгин за QR код
- Trustly App
- Yellowphone
- Алибаба Юнос
Намаляване на QRLjacking атаките
Потребителите не могат да направят много, за да се предпазят от QRLjacking атаки, освен да не използват изобщо QRL. Всъщност това е препоръка номер едно на OWASP за смекчаване на QRLjacking.
Освен това има няколко мерки, които администраторите на уебсайтове могат да предприемат, за да минимизират повърхността на атаката. Въпреки това, те също трябва да спрат да го използват като средство за удостоверяване на своите потребители. Но ако трябва да използвате QRL, ето няколко съвета за сигурност.
Имейл/SMS за потвърждение
Уебсайтът/услугата изпраща имейл за потвърждение или SMS съобщение до потребителя, след като е влязъл с QRL. По този начин потребителят може да определи, че нещо се случва, ако не получи съобщението за потвърждение.
Ограничени IP адреси
Ограничаването на IP адресите, които могат да използват QRL, е друг начин за смекчаване на QRLjacking атаките. Потребителят трябва да поиска QRL от сайта/услугата, така че услугата да знае техния IP адрес до този момент. Това ще блокира заявката за удостоверяване от сървъра на атакуващия. Има обаче начини, по които нападателят би могъл измама техния IP адрес и потенциално заобикаляне на тази мярка за сигурност.
Ограничено местоположение
Подобно на горното, друга смекчаваща мярка би била да се ограничат местоположенията, от които се приемат заявки за удостоверяване. Тъй като уебсайтът/услугата неизбежно знае IP адреса на потребителя, той знае и тяхното общо местоположение. Въпреки че не е безопасно, това може да осуети заявка за удостоверяване от нападателя, стига злонамереният сървър да не е на същото общо местоположение като жертвата.
Но отново, това са относително непрактични мерки за смекчаване. И никой от тях не е сребърен куршум. Номер едно е теоретично. Номер две не е толкова трудно да се заобиколи. И номер три няма да работи, ако сървърът на нападателя е на същото общо местоположение като жертвата.
Така че най-доброто смекчаване е изобщо да не използвате QRL.
Ако като потребител трябва да използвате QRL, ето някои съвети от здрав разум, които могат да ви помогнат. Това са неща, които трябва да правите така или иначе. Не само в контекст, в който се опитвате да се защитите от QRLjacking.
- Използвайте защитна стена — Всички основни операционни системи имат вградена входяща защитна стена и всички търговски рутери на пазара имат вградена NAT защитна стена. Уверете се, че те са активирани, тъй като могат да ви защитят в случай, че щракнете върху злонамерена връзка.
- Ако вашият уеб браузър показва предупреждение за уебсайт, до който се опитвате да получите достъп, или неговия SSL сертификат, обърнете внимание и напуснете този сайт.
- Не кликвайте върху връзки или прикачени файлове в имейли, освен ако не знаете точно кой ги е изпратил и какво представлява.
Заключение
Сигурността и удобството са в постоянен баланс. Интернет за масите изисква и двете, но равновесието е трудно да се намери. Понякога обаче удобството се преувеличава. Например, много по-удобни ли са QRL от еднократните пароли (OTP)? Помислете за това, все пак трябва да извадите телефона си, да стартирате приложението за камера и да направите снимка. Това толкова ли е по-удобно от отварянето на OTP приложение и копирането и поставянето му? Не съм сигурен, че е така. И дали сега сме толкова „мързеливи в интернет“, че едно или две допълнителни плъзгания се превръщат в прекъсване на сделката?
Въпреки че удобството може да е удобно (хубава истина, нали?), то не винаги е сигурно. И докато интернет може да ни покаже много забавни и интересни неща, никога не забравяйте, че интернет е враждебно място, където не липсват хора и организации, които искат част от вас. Така че не използвайте QRL – поне за вашите по-важни онлайн акаунти. И макар че може би не са толкова удобни, колкото функцията за автоматично влизане на вашия уеб браузър, еднократните пароли, макар и да не са перфектни, ще осигурят много по-добра сигурност от QRL. Лекият спад в удобството често води до важни ползи за сигурността.