Pozor jak používáte covidpasy: QR kódy jsou lákadlem pro hackery. Takhle se ochráníte
Digitální covidpasy sice usnadňují život, především cestování, ale jako se všemi technologiemi se s nimi pojí určitá bezpečností rizika. Ne tolik s certifikáty samotnými, ale QR kódy, do kterých jsou vloženy. Malý černobílý obrázek, který po oskenování ukáže, zda jste bezinfekční nebo ne, může být zneužitelný, hackeři našli fikané způsoby, jak skrze něj lákat z lidí osobní údaje. Riziko je to relativně nové a ještě ne zcela prozkoumané. Nicméně stačí dodržovat několik zásad a měli byste být v bezpečí.
První potenciální problém s covidpasy nastává už při jejich stahování. Je nutné zdůraznit, že v Česku máme jednu oficiální aplikaci, která slouží jako virtuální peněženka pro uchování dokladů o bezinfekčnosti – Tečka. Vedle toho existuje sesterská aplikace čTečka, která naopak funguje jako skener pro ověřování certifikátů. Obě můžete stáhnout pouze na oficiálních obchodech s aplikacemi Google Play pro Android nebo App Store pro iOS.
Všechna jiná místa pro stahování těchto aplikací už jsou riziková. Můžete se totiž klidně stát, že tam získáte falešnou verzi, skrze kterou se hackeři budou snažit získat citlivé údaje. „Od konce roku 2020, kdy se naplno rozběhlo očkování, jsme zaznamenali 25% nárůst domén souvisejících s koronavirovými pasy. Ze 703 domén bylo 86 označeno jako podvodné nebo podezřelé. Důrazně varujeme před napodobeninami oficiálních stránek a také před jakoukoli instalací neověřených aplikací z neoficiálních obchodů,“ popisuje Petr Kadrmas, Security Engineering Eastern Europe v kyberbezpečnostní společnosti Check Point Software Technologies.
Že se útočníci o tyto podvody skutečně pokoušejí, potvrzuje série podvodných emailů z Velké Británie. Na konci června začaly lidem chodit nevyžádané zprávy, které se tvářily jako tamní národní zdravotní služba NHS a lákaly na registraci ke covidpasům. Jenže odkaz vedl na falešnou doménu, která jen sloužila jako sběrné místo pro osobní údaje a bankovní informace. Nepozornému člověku tak hackeři mohli klidně vybílit celý bankovní účet.
Není QR kód jako QR kód
Následně se přeneseme k samotným QR kódům. Ty jsou důležité, jelikož právě ony uchovávají klíčové informace, které můžou rozhodnout, zda vás někdo pustí přes hranice nebo ne. I QR kódy je možné zneužít, ale není to až tolik jednoduché, tak k tomu útočníci přistupují relativně sofistikovaně.
Existuje například praktika, které se říká attagging. V takovém případě je reálný QR kód nahrazen falešným, který pak člověka nasměruje na podobně vypadající stránku, jež krade osobní údaje. Tato stránka se vizuálně velmi přibližuje skutečné, takže si nikdo na první pohled nemusí všimnout, že je podvodná.
„V zásadě lze kódy QR klonovat a přesměrovat na jiné informační body nebo webové stránky. Zločinci a hackeři to často využijí tak, že falešný QR kód umístí přes skutečný QR kód. Takže QR kód, například při skenování, by odkazoval na originální web www.similardomain.com, ale může být vytvořen falešný QR kód, vytištěn a umístěn přes originální kód pro přesměrování na www.similar-domain.com. V tomto okamžiku je občan donucen k zadání svých osobních údajů, soukromých údajů a finančních informací. Falešný web vypadá přesně jako ten pravý a je vytvořen tak, aby jej přesně zrcadlil,“ popsal pro Healthcareglobal Louis-James David, šéf společnosti VST Enterprises.
Podobně hovoří i Kadrmas. „Uživatelé si také musí uvědomit, že QR kód je jen rychlý a pohodlný způsob, jak se dostat na příslušné webové stránky, ve většině případů není ani patrné, kam odkaz skutečně vede. Chybí tedy jistota, že se jedná o legitimní zdroj a kód není součástí nějakého útoku,“ uvedl expert.
Průzkum společnosti Ivanti dokonce uvádí, že 31 respondentů již někdy zažilo, že QR kód jejich mobilní zařízení přesměroval na podvodnou stránku nebo způsobil jiné podezřelé aktivity.
Podvody na několika rovinách
Speciální kategorie jsou pak lidé, kteří si záměrně pořizují falešné QR kódy, aby se mohli tvářit jako bezinfekční, i když nejsou. S tímto problémem se potýká například Moskva, která na konci června zavedla vstup na několik veřejných míst, jako jsou restaurace a bary jen s digitálním certifikátem. Lidé si kódy kupují na komunikační aplikaci Telegram a ověřují si je přes falešné stránky, které se tváří jako statní instituce. Tamní experti těchto domén napočítali nejméně 29.
To je samozřejmě rizikové ze všech výše popsaných důvodů, protože od hackera nikdy nebudete mít jistotu, že vám dodá bezpečný kód a ještě kvůli tomu vytvoří naprosto bezpečnou stránku, navíc kdo tento byznys podporuje, dál přispívá ke zhoršování pandemie.
Jak chránit svůj covidpas před zneužitím
Lidé by si tak podle odborníků měli být možných hrozeb při používání QR kódu a covidpasů vědomi a měli by být opatrní. „EU a národní vlády sice tvrdí, že očkovací pasy jsou bezpečné a zabezpečené, ale hackeři se budou vždy snažit najít cesty, jak nové příležitosti využít. Proto doporučujeme vždy používat mobilní bezpečnostní řešení, které ochrání zařízení a data před phishingem, škodlivými aplikacemi i malwarem,“ upozorňuje Kadrmas.
- Přistupujte ke svému covidpasu jako k běžnému pasu. Jsou v něm obsažené osobní údaje, které nemusí znát všichni. Nechejte ho skenovat jen oveřený personál, například zdravotníky, hygieniky nebo na hranicích.
- Pokud jste si certifikát vytiskli, noste ho v peněžence s ostatními doklady. Pokud budete papír vyhazovat, nejdříve ho zničte.
- Covidpasové aplikace stahujte jen na oficiálních zdrojích.
- Zamyslete se, pokud po vás někdo bude chtít skenovat jejich covidpasový QR kód. Možná je falešný a stáhne se přes něj malware nebo bude vést na nebezpečná místa.
bezinfekční majitel
Kdo a proč sepsal takovouhle kravinu? QR code s Covid info nemá s bankou či čímkoliv jiným nic společného. Nachte aplikaci dělat co má a budete mít klid. Kdo odklikava emaily od někoho koho nezná či instaluje každou kravinu ať si za to pika.