Ar esate tikri, kad jūsų tapatybės patikros, pagrįstos QR kodais, nekelia jūsų verslui pavojaus dėl prisijungimo duomenų vagystės? Didėjant “quishing” atakoms, vienas kenkėjiškas nuskaitymas gali pažeisti visą jūsų įmonės tinklą. Šiame vadove nagrinėjama, kaip nustatyti šiuos saugumo pažeidžiamumus ir įdiegti patikimas apsaugos priemones, skirtas apsaugoti jūsų organizacijos duomenis.
„Quishing“ ir prisijungimo duomenų vagysčių augimo supratimas
QR kodų sukčiavimas, dažnai vadinamas “quishing”, tapo sudėtinga grėsme šiuolaikiniams tapatybės nustatymo procesams. Naujausi duomenys rodo, kad šios atakos išaugo 587%, o didelė jų dalis yra specialiai sukurta prisijungimo duomenims rinkti. Kadangi šie kodai yra paveikslėliai, o ne teksto nuorodos, jie dažnai apeina tradicinius el. pašto saugumo filtrus, kurie yra užprogramuoti žymėti įtartinus URL.
Dažnas scenarijus apima tai, kad atakos vykdytojai įterpia kenkėjiškus kodus į el. laiškus ar dokumentus, kurie imituoja patikimas platformas, tokias kaip „Microsoft 365“ ar „DocuSign“. Nuo 2024 m. birželio iki rugsėjo mėn. tyrimai nustatė daugiau nei 500 000 sukčiavimo el. laiškų, naudojant QR kodus, o daugiau nei pusė jų buvo nukreipti į „Microsoft“ prisijungimus. Kai darbuotojas nuskaito šiuos kodus, jis nukreipiamas į suklastotą puslapį, kuris užfiksuoja jo prisijungimo duomenis arba perima jo daugiafaktorinio autentifikavimo (MFA) žetonus, suteikdamas atakos vykdytojui visišką prieigą prie verslo aplinkos. Supratimas QR kodų sukčiavimas ir su juo susijusios verslo rizikos yra pirmasis žingsnis kuriant atsparią gynybą.
Techniniai pažeidžiamumai tapatybės patvirtinime
QR kodų naudojimas tapatybės patvirtinimui sukelia specifinių techninių rizikų, ypač kenkėjiškų programų platinimo grėsmę. Kenkėjiški kodai gali sukelti “drive-by downloads”, kurie pažeidžia nuskaitymui naudojamą mobilųjį įrenginį. Tai ypač pavojinga darbuotojams, kurie naudoja savo asmeninius ar darbo telefonus jautriems asmens tapatybės dokumentams ar biometriniams žetonams tvarkyti. Užkrėtus įrenginį, atakos vykdytojai gali stebėti klavišų paspaudimus arba išgauti aparatinėje įrangoje saugomus duomenis.
Duomenų atskleidimas yra dar vienas kritinis rūpestis, nes net ir teisėtai atrodantys kodai gali rinkti išsamius metaduomenis be aiškaus vartotojo sutikimo. Kai vartotojas nuskaito kodą, sistema gali užfiksuoti jo IP adresą, tikslią vietą ir įrenginio detales. Jei ši informacija saugoma neapsaugotame serveryje, tai sukuria didžiulę privatumo riziką įvedimo ar registracijos proceso metu. Įmonės turi būti skaidrios dėl kokius duomenis renka dinaminiai QR kodai siekiant išlaikyti vartotojų pasitikėjimą ir išvengti netyčinių duomenų nutekėjimų.
Fizinis klastojimas ir kenkėjiški perdangos elementai
Fizinėse aplinkose, tokiose kaip biurų vestibiuliai, statybvietės ar renginiai, atakos vykdytojai naudoja “lipdukų klastojimą”, kad nukreiptų vartotojus. Uždėdami apgaulingą QR kodo perdangą ant teisėto kodo, jie gali perimti tapatybės patvirtinimo bandymus ir nukreipti vartotojus į kenkėjiškus portalus. Ši taktika yra labai efektyvi, nes dauguma vartotojų prieš nuskaitydami nepatikrina fizinių ženklų dėl klastojimo požymių.
Realaus pasaulio pavyzdžiai pabrėžia šių fizinių grėsmių rimtumą. Vienu atveju geležinkelio stotyje, netikras QR kodas ant plakato nukreipė auką į sukčiavimo svetainę, dėl ko buvo prarasta apie 17 000 eurų. Panašūs incidentai internetinėse prekyvietėse parodė, kad vartotojai prarado tūkstančius dolerių nuskenavę kodus apgaulingose reklamose. Norėdami kovoti su tuo, įmonės turėtų laikytis geriausios QR kodų saugumo praktikos reguliariai atlikdamos fizinio turto auditus ir naudodamos firminius dizainus, kuriuos sunkiau atkartoti paprastais lipdukais.
Atitikties ir reguliavimo aspektai
Tapatybės duomenų rinkimas naudojant QR kodus reikalauja griežto duomenų privatumo įstatymų laikymosi Jungtinėse Valstijose. Pagal Kalifornijos CCPA ir CPRA, įmonės privalo atskleisti duomenų rinkimo tikslą ir suteikti vartotojams konkrečias teises, susijusias su jų asmenine informacija. Jei patvirtinimo procesas apima jautrius elementus, tokius kaip veido atpažinimas ar pirštų atspaudų nuskaitymas, taip pat turite laikytis valstijos specifinių biometrinių duomenų įstatymų, tokių kaip Ilinojaus BIPA.
Neužtikrinus šių darbo eigų saugumo, gali kilti didelių finansinių ir teisinių pasekmių. Vidutinė duomenų pažeidimo kaina pasiekė 4,45 mln. JAV dolerių – tai skaičius, pabrėžiantis “pagrįsto saugumo” priemonių svarbą. Įgyvendinant geriausią biometrinės integracijos praktiką užtikrinama, kad jūsų organizacija išliktų atitinkanti reikalavimus, kartu pasinaudodama mobiliosios patvirtinimo sistemos patogumu.
Apsaugokite savo tapatybės darbo eigas Apsaugokite savo verslą nuo „quishing“ naudodami saugius QR kodų generavimo įrankius kurie leidžia stebėti, redaguoti ir šifruoti jūsų skaitmeninius sąlyčio taškus.
Saugios patvirtinimo darbo eigų strategijos
Siekiant sumažinti riziką, susijusią su tapatybės patikrinimais, įmonės turėtų pereiti nuo statinių kodų prie saugesnių, valdomų alternatyvų. Skirtingai nei statinės versijos, dinaminiai QR kodai leidžia atnaujinti turinį nereikalaujant perspausdinti fizinių medžiagų. Tai leidžia saugumo komandoms akimirksniu išjungti nuorodą, jei aptinkama grėsmė arba pasibaigia kampanijos galiojimas, žymiai sumažinant atakos galimybių langą.
Šifravimas suteikia esminį apsaugos sluoksnį jautrių duomenų perdavimui. Naudojant užšifruotus QR kodus autentifikavimui, užtikrinate, kad tik įgaliotos programos su teisingais iššifravimo raktais galėtų perskaityti nuskaitymo metu gautą informaciją. Konkrečiai, šifravimas apsaugo QR kodo duomenis užšifruojant duomenų paketą į neįskaitomą formatą, o tai padeda atitikti aukštus saugumo standartus, kurių reikalauja tokios pramonės šakos kaip finansai ir sveikatos priežiūra.
Stebėjimas ir švietimas užbaigia visapusišką saugumo poziciją. Turėtumėte naudoti analizę, kad stebėtumėte nuskaitymo dažnumą ir geografines anomalijas, kurios gali pasitarnauti kaip ankstyvas įspėjimas apie sukčiavimą. Tuo pačiu metu, apmokant darbuotojus peržiūrėti URL nuorodas ir apžiūrėti fizinius ženklus dėl klastojimo, sukuriama žmogiškoji užkarda nuo socialinės inžinerijos. Šių techninių ir procedūrinių kontrolės priemonių derinimas leidžia jūsų verslui saugiai naudoti QR technologiją sklandžiam tapatybės patvirtinimui.
DUK
Taip, dinaminiai QR kodai yra daug saugesni, nes jie suteikia funkcijas, kurių trūksta statiniams kodams, tokias kaip galimybė redaguoti paskirties URL nuorodas, nustatyti slaptažodžio apsaugą ir įdiegti galiojimo datas. Jei dinaminis kodas yra atakuojamas, jį galima išjungti arba nukreipti akimirksniu, be fizinių pakeitimų poreikio.
Pats nuskaitymas paprastai nepavagia jūsų tapatybės, tačiau jis tarnauja kaip vartai į “quishing” atakas. Šios atakos nukreipia jus į suklastotus prisijungimo puslapius arba sukelia kenkėjiškų programų “atsisiuntimus be jūsų žinios”, kurios gali pavogti jūsų slaptažodžius, MFA žetonus ir asmeninius dokumentus, saugomus jūsų įrenginyje.
Ieškokite “lipduko klastojimo” ženklų, tokių kaip atsilupę kraštai arba tekstūros ir spalvos skirtumas tarp QR kodo ir aplinkinio plakato. Taip pat turėtumėte naudoti skaitytuvą, kuris suteikia URL peržiūrą, kad galėtumėte patikrinti, ar paskirties domenas atitinka oficialią organizacijos svetainę, prieš paspausdami nuorodą.
