רשות הסחר הפדרלית של ארה"ב (FTC) פרסמה אתמול (שני) אזהרה לציבור מפני סריקת קודי QR לא מוכרים. האזהרה נובעת מבעיות אבטחה ופרטיות - גורמים זדוניים עלולים יכולים למקם הברקודים הפופולריים במקומות אסטרטגיים או לשלוח אותם באמצעות הודעות טקסט או דואר אלקטרוני, במטרה לגנוב כסף, פרטי התחברות או מידע רגיש אחר.
עיתון הניו יורק טיימס דיווח כי ג'ון פוקר, ראש מחלקת מודיעין האיומים בחברת אבטחת הסייבר Trellix, ציין כי החברה זיהתה למעלה מ-60,000 דוגמאות של תקיפות קוד QR ברבעון השלישי של השנה בלבד. בתחילת השנה שעברה, המשטרה במספר ערים בטקסס דיווחה על גילוי קודי QR מזויפים שהוצבו על עמדות תשלום בחניונים, והפנו אנשים לאתר תשלום מזויף.
כדי להימנע מלהיות קורבן לקוד זדוני, רשות הסחר הפדרלית ממליצה להתעלם מהודעות דוא"ל חשודות ולבדוק את כתובת האתר שמופיעה על המסך לאחר הסריקה, כדי לוודא שמדובר באתר שאליו רציתם להגיע. ובכל מקרה, תמיד כדאי שתעשו את כל הדרך לאתר בעצמכם ולא באמצעות לינק או סריקת ברקוד.
"הבעיה היא שסריקה וכניסה ישירות לקוד יכולה להוביל ללא ידיעת המשתמש לאתרים זדוניים, להורדת קבצים ועוד", אומרת מיי ברוקס-קמפלר, מייסדת קהילת בטוחים אונליין Think Safe Cyber. "חשוב להפעיל שיקול דעת, אם אתם במסעדה והמלצר מפנה אתכם לקוד QR, כנראה שזה בסדר. אם אתם נתקלים בקוד QR במרחב הציבורי, עדיף שלא להסתקרן ולסרוק, ואם כבר סורקים, חשוב לשים לב לסימני האזהרה כמו בכל פעולת רשת אחרת - האם האתר נראה אמין? האם הוא מבקש נתונים? אם כן, האם זה הגיוני? האם אנחנו בוטחים באתר? האם ירד קובץ? במקרה של קבצים עדיף שלא לפתוח אותם, בעיקר במקרה של קבצים שמקורם לא מאומת".
מה עוד כדאי לעשות? אל תוריד אפליקציה לסריקת קודי QR - אפליקציות המצלמה המובנות במכשירי אנדרואיד ו-iOS כבר עושות זאת באופן אוטומטי, ולפעמים אפליקציות כאלה עשויות להיות מתוכננות למטרות זדוניות.