לפני 1994, רוב טכנולוגיות הסריקה השתמשו בברקודים חד מימדיים המסוגלים לאחסן רק עד 80 תווים אלפאנומריים. Denso Wave יצרה את קודי ה-QR הראשונים, והגדילה את הקיבולת ל-7,000 דיגיטליים או 4,300 תווים אלפאנומריים.
Cisco Talos Research הראה שמסנני דואר זבל כמעט חסרי אונים כנגד קודי QR זדוניים, מכיוון שהם אינם מסוגלים לזהות את נוכחותם בתמונות. הסטטיסטיקה מראה שלמרות שקודי QR מופיעים רק באחד מכל 500 מיילים, 60% מהם מזעזעים מכילים ספאם או תוכנות זדוניות.
סוג ההונאה החדש הזה עדיין צעיר מאוד. זה נקרא "quishing". תוקפים יוצרים אתרים מזויפים המחקים משאבים לגיטימיים וממקמים קודי QR במקומות ציבוריים. לדוגמה, היו מקרים שבהם מישהו הציב מדבקות QR על מדחנים שמפנים את הקורבנות למערכות תשלום מזויפות.
אימיילים עם קודי QR המתחפשים לבקשות אימות דו-גורמי הן התכסיס הנפוץ ביותר. רמאים משתמשים בהם כדי לגנוב אישורים. בעת סריקת קוד QR ממכשיר נייד, כל התעבורה העוקבת בין הקורבן לתוקף עוברת דרך הרשת הסלולרית, עוקפת את מערכות האבטחה הארגוניות.
למרות הנתח הקטן יחסית של מיילים כאלה (0.1-0.2% מהנפח הכולל), יש סיכוי גבוה יותר שהם יגיעו לתיבת הדואר הנכנס, תוך עקיפת מסנני דואר זבל. יתר על כן, רמאים יצירתיים למדו ליצור קודי QR באמצעות תווי Unicode, מה שהופך אותם לקשים עוד יותר לזיהוי. שיטות מסורתיות לנטרול קישורים זדוניים, כמו החלפת פרוטוקול "http" ב-"hxxp" או הוספת סוגריים לכתובת ה-URL, עובדות הרבה יותר גרוע במקרה זה.
ישנן דרכים להפוך קודי QR בטוחים לצפייה – למשל, על ידי מיסוך מודולי הנתונים או הסרת תבנית מיקום אחת או יותר (הריבועים הגדולים בפינות הקוד). עם זאת, הטריקים הללו אינם ברורים לכולם ועדיין לא הפכו נפוצים.
איום נפרד הוא מה שנקרא "אמנות QR" – תמונות שבהן הקוד מוסווה לתמונה רגילה. משתמש יכול בטעות לסרוק אותו עם מצלמה וללחוץ על זדוני מבלי להבין זאת.
אנליסטים של Cisco Talos ממליצים לנקוט באותה זהירות בעת סריקת קודים כמו בעת לחיצה על קישורים חשודים. למי שמשתמש בהם באופן קבוע, ישנם מפענחים מקוונים מיוחדים המאפשרים לבדוק מראש את התוכן.
זכור: הפשטות והנוחות של טכנולוגיות QR לא אמורות להאפיל על הצורך לציית לכללי אבטחה דיגיטליים בסיסיים.
כתוצאה ממתקפת סייבר על רשת בתי חולים צרפתיים הנתונים נפגעו 1.5 מיליון חולים. האקר תחת השם הבדוי "קרוב" הצהיר כי יש לו גישה לרשומות הרפואיות של כל הקורבנות, אך עד כה רק מחצית מהמערך הזמין הוצע למכירה.
התוקף טוען כי פרץ למערכת MediBoard שפותחה על ידי Softway Medical Group. חברה זו מספקת פתרונות ניהול נתונים בתחום הבריאות באירופה. סופטוויי מדיקל אישרה את המתקפה, והדגישה כי הדליפה נבעה משימוש באישורים גנובים ולא עקב פגיעות בתוכנה שלהם.
לפי הודעת החברה, נתוני המטופלים הגנובים לא נשמרו ב-Softway Medical, אלא בשרתי בית החולים עצמו. במייל, Softway Medical אמרה: "התוכנה שלנו היא לא הגורם לאירוע. הפשרה התרחשה באמצעות חשבון חסוי בתשתית הלקוח”. הלקוח, במקרה זה, הוא חברת Aléo Santé, שבבעלותה כל בתי החולים שנפגעו.
פושע רשת העמיד למכירה גישה לפלטפורמת MediBoard עבור בתי החולים Centre Luxembourg ו-Clinique Alleray-Labrouste. הקונים צפויים להיות מסוגלים לגשת לנתוני מטופלים רגישים, כולל היסטוריית בריאות, פרטי התקשרות ומידע על תורים.
כדי להוכיח את הפריצה, ההאקר הציב למכירה את רשומותיהם של יותר מ-750 אלף חולים באחד מבתי החולים. נתונים אלה כוללים שמות מלאים, כתובות, מספרי טלפון, כתובות דוא"ל, הזמנות רופא והיסטוריית שימוש ברשומות רפואיות.
עד כה לא אותרו קונים. עם זאת, גם אם המאגר נרכש, תמיד קיים סיכון שבהמשך המידע הזה עדיין יתפרסם ברשות הרבים, ויהפוך לחומר בעל ערך עבור אלפי פושעי סייבר מרחבי העולם. מומחים מזהירים כי הדלפת מידע כזה מגדילה באופן משמעותי את הסבירות להתקפות דיוג, הונאה והנדסה חברתית על קורבנות.
