يدرك الناس اليوم عمومًا أن النقر على الروابط من مصادر مشكوك فيها، على سبيل المثال في رسائل البريد الإلكتروني، ليس فكرة جيدة. ومع ذلك، عندما يتعلق الأمر بمسح رموز QR، غالبًا ما يكون الأشخاص أقل يقظة. في الواقع، يمكن أن تكون رموز الاستجابة السريعة Qr أكثر خطورة: فبينما يمكنك التحقق من الرابط بأم عينيك قبل النقر، فإن هذا ليس هو الحال مع رمز Qr. لذلك ربما لا ينبغي أن تكون هذه القصة عن إحدى هجمات رموز Qr في الصين مفاجأة.
ماذا حدث؟
تم الإبلاغ عن قيام مجرمين إلكترونيين مجهولين بتوزيع رموز QR مخترقة تقدم تسجيلات دخول مجانية للعبة، والتي استخدموها بعد ذلك لاختطاف بعض حسابات منصة QQ للرسائل ووسائل التواصل الاجتماعي.
في حين أن QQ غير معروف إلى حد كبير خارج الصين، فإن QQ هي منصة ضخمة هناك، مع مئات الملايين من المستخدمين النشطين. يوفر النظام الأساسي جميع أنواع الخدمات، بما في ذلك الدردشة ومشاهدة الأفلام والمدونات والألعاب – الخدمة الأخيرة هي الخدمة المستهدفة في هذه الحالة. تم تطويره بواسطة شركة التكنولوجيا الصينية العملاقة تينسنت.
نظرًا للخصوصية الإقليمية، من الصعب معرفة كيف بدأ الهجوم بالضبط أو عدد الحسابات التي تمت سرقتها. ومع ذلك، كانت الحادثة كبيرة بما يكفي لكي تعتذر Tencent علنًا في منشور على Sina Weibo – النسخة الصينية من Twitter.
آليات هجمات رموز Qr واضحة إلى حد ما. كما ذكرنا أعلاه، ينشر المهاجمون أكواد QR ضارة تقدم تسجيلات دخول مجانية للعبة. بعد مسح رموز QR هذه، طُلب من المستخدمين المصادقة باستخدام حساب QQ الخاص بهم. بمجرد أن فعلوا ذلك، سرق المهاجمون أوراق اعتماد الضحايا لاستخدامها فيما بعد لتحقيق مكاسبهم الخاصة. نتيجة لذلك، تم حظر عدد غير معروف من الأشخاص من حسابات QQ الخاصة بهم.
أدركت Tencent المشكلة وقد استعادت حينها الحسابات المتأثرة. و تعمل الشركة مع السلطات المحلية لمعرفة المزيد عن الهجوم.
اقرأ أيضاً كيفية صناعة محتوى لكل مرحلة من رحلة المشتري
عواقب هجمات رموز Qr
سرقة الحسابات
تمنح هجمات رموز Qr للمهاجمين القدرة على سرقة حساب كامل عبر ميزة تسجيل الدخول باستخدام رمز Qr، مما يؤدي إلى اختراق الحسابات.
إفشاء المعلومات
عندما تقوم ضحية هجمات رموز Qr بمسح الرمز، فإنها تعطي للمهاجم المزيد من المعلومات مثل (موقع GPS الحالي الدقيق، ونوع الجهاز، و IMEI، ومعلومات بطاقة SIM وأي معلومات حساسة أخرى يقدمها تطبيق العميل عند عملية تسجيل الدخول)
استخدام بيانات الاتصال
عندما يتلقى المهاجم البيانات التي أوضحناها في نقطة “إفشاء المعلومات”، يتم استخدام بعض هذه البيانات للتواصل مع الخوادم لتوضيح بعض المعلومات حول المستخدم والتي يمكن استخدامها لاحقًا في ابتزاز المستخدم مما يفاقم أخطار هجمات رموز Qr.
لسوء الحظ في بعض الأحيان يتم تبادل هذه البيانات عبر اتصال شبكة غير آمن مما يجعل من السهل على المهاجم التحكم في هذه البيانات مما يمنحهم القدرة على تعديلها أو حتى إزالتها.
اقرأ أيضاً كيفية إضفاء الطابع الإنساني على العلامة التجارية و أهميته
كيف تعمل رموز QR
تقوم أكواد QR بتخزين البيانات بما في ذلك الروابط وأوامر البرامج في مخطط مبعثر من النقاط المربعة. تتم قراءة النقاط بواسطة كاميرا هاتفك من أعلى إلى أسفل ومن اليمين إلى اليسار. عندما يتم مسح رمز Qr ضوئيًا، يتخذ هاتفك الإجراء المشار إليه بالرمز.
سيسألك الهاتف الآمن عما إذا كنت تريد اتباع الرابط، لكن البعض يستجيب على الفور للرمز المضمن في نمط الاستجابة السريعة. والخبر السار هو أنه في معظم الحالات، سيُطلب منك الموافقة على شريحة الموافقة على مسح QR – لذلك لديك فرصة أخيرة لتحديد ما إذا كان الرمز آمنًا بعد مسحه ضوئيًا.
ما الذي يمكن أن تفعله أكواد QR و لماذا هجمات رموز Qr خطرة ؟
المشكلة الحقيقية مع هجمات رموز Qr هي كيف يمكن أن يكون رمز Qr متعدد الاستخدامات جداً. حيث يمكن أن يفعل رمز Qr الشرعي أو المخترق ما هو أكثر من مجرد فتح رابط ويب. تتمتع مربعات الرموز هذه بالقدرة على تحقيق مجموعة متنوعة من الإجراءات المفيدة والخطيرة على هاتفك. منها:
اتباع روابط الموقع
تحميل مباشر للتطبيقات من متجر التطبيقات الخاص بك
الوصول لأرقام جهات الاتصال
إضافة جهات اتصال إلى هاتفك
نقل ما يصل إلى 4K كلمة
مصادقة حساب على الإنترنت
التحقق من تفاصيل تسجيل الدخول
الوصول إلى شبكة wifi
إرسال واستلام المدفوعات
ارسال رسائل البريد الإلكتروني
بعض هذه الوظائف محفوفة بالمخاطر للغاية عند مسح الرموز من مصادر غير معروفة أو ضارة. من التنزيل المباشر إلى الانضمام إلى شبكة wifi، هناك العديد من الطرق لإصابة هاتفك أو اختراق جهازك مباشرة.
تدابير أمنية
المراقبة
يجب على التجار التحقق بانتظام من رموز QR في متاجرهم وعلى منتجاتهم. على سبيل المثال، يجب عليهم التحقق مما إذا تم استبدال رموز QR الأصلية بأخرى غير معروفة تحسباً لهجمات رموز Qr.
بناءً على الحالة المذكورة أعلاه، يمكن للمطاعم مثلاً توفير طلب يدوي أو معدات للعملاء لتقديم الطلبات بدلاً من استخدام رمز QR ثابت للطلب.
إذا كان يجب على المطعم استخدام أكواد QR للطلب، فيمكن للمطور إضافة رمز عشوائي إلى بيانات رمز Qr لمنع استخدام رمز Qr من قبل غير رواد المطعم.
بالإضافة إلى ذلك، في كل مرة يدخل فيها رواد المطعم إلى المطاعم، يجب إنشاء رمز Qr ويصبح غير صالح بعد أن يقوم رواد المطعم بتسوية فواتيرهم لتجنب إعادة استخدام رمز Qr.
رمز Qr الآمن (SQRC)
إحدى تقنيات تشفير رمز Qr هي رمز Qr الآمن (SQRC). إنه رمز QR مشفر يقسم المعلومات الموجودة خلف الكود إلى أجزاء عامة وخاصة.
في المظهر، لا يختلف SQRC عن رمز Qr التقليدي، ولكن تم تشفير الجزء الخاص. باستخدام المعدات العامة، مثل مسح SQRC بهاتف محمول، يمكن فقط الحصول على الجزء العام من رمز Qr. يتطلب الجزء المشفر مفتاحًا وجهاز SQRC داعمًا للحصول على المعلومات وراءه. يمكن لـ SQRC توفير التحكم في إذن البيانات، ويمكن فقط للأجهزة المصرح لها قراءة المعلومات بالكامل.
التوقيع الرقمي
يمكن استخدام التوقيع الرقمي كأحد تدابير الأمان. عندما يقوم المستخدم بمسح رمز Qr، سيتحقق التطبيق أولاً مما إذا كان رمز Qr صالحًا أم لا.
سيؤدي تعديل المحتوى الموجود خلف رمز Qr إلى إبطال التوقيع الرقمي في رمز Qr. يمكن إضافة رمز Qr مع التوقيع الرقمي لمنع تعديل وتزييف رمز Qr.
رمز Qr الديناميكي
تتمتع رموز QR الديناميكية بأمان أفضل من رموز QR الثابتة. ستطلب التطبيقات التي تستخدم رموز QR الديناميكية من الخادم تحديث رمز Qr، وسيعتبر رمز Qr الذي تم إنشاؤه مسبقًا غير صالح. رمز Qr الديناميكي يستخدم لمرة واحدة فقط ويمكن أن يقلل بشكل فعال من خطر اختراق رمز Qr.
تحديد الوقت
إذا لم يقم المستخدم بتنشيط واستخدام رمز Qr خلال الوقت المحدد، فسيصبح رمز Qr غير صالح ولا يمكن استخدامه مرة أخرى.
خصوصية المعلومات
لا ينبغي تخزين المعلومات الشخصية للمستخدم والمعلومات الحساسة الأخرى في الرموز لتقليل خطر هجمات رموز Qr قدر الامكان.
وختاماً, هجمات رموز Qr كباقي أساليب الاختراق يمكن مكافحتها عبر الحرص والتدقيق بكل ما تقع عليه عينيك على شاشة جهازك. بتغيير بعض العادات والتريث قليلا قبل الضغط على رابط ما أو رمز ما تستطيع تجنيب نفسك الكثير من المخاطر.