Įmonėms vis labiau skaitmeninant savo veiklą, QR kodai įgyja vis didesnę reikšmę kasdienėje verslo praktikoje – nuo galimybės peržiūrėti meniu restorane iki bekontakčio atsiskaitymo ar greitos prieigos prie produktų informacijos. Šie lengvai skenuojami kodai atveria naujų patogumo ir efektyvumo galimybių, todėl verslai vis dažniau juos integruoja į savo sprendimus.
Tačiau, dažnėjant QR kodų naudojimui, atsiranda ir naujų iššūkių – saugumo rizika kelia nerimą tiek vartotojams, tiek verslui. Kaip užtikrinti, kad QR kodų suteikiamas patogumas neatsigręžtų prieš pačius naudotojus? Ką reikėtų žinoti ir kokių atsargumo priemonių imtis norint išvengti pavojų?
Patogu naudoti
QR kodai suteikia greitą ir lengvą būdą vartotojams pasiekti skaitmeninį turinį iš fizinės aplinkos. Vartotojams tereikia nukreipti savo telefono kamerą į kodą, kad atsidurtų reikiamame interneto puslapyje ar gautų informaciją be rankinio įvedimo.
Verslui tai suteikia galimybę pritraukti klientus prie skaitmeninio turinio iš fizinių vietų, pavyzdžiui, skaitmenizuoti rinkodarą ir pateikti turinį – reklamas, nuolaidas ar produktų aprašymus.
Verslas gali sukurti interaktyvias patirtis – QR kodais galima pateikti klientams papildomą informaciją, apklausas, apklausų formas ar vaizdo pristatymus, surinkti duomenis apie vartotojus, pavyzdžiui, skenavimo dažnumą ar vartotojus dominančius produktus.
QR kodai naudojami įvairiuose sektoriuose: restoranuose ir maitinimo įstaigose, prekybos ir rinkodaros, nekilnojamojo turto, finansų sektoriuje ar renginių organizavimo srityje.
Plačiai taikoma technologija
Restoranas „Talutti“ QR kodą pradėjo naudoti dar koronaviruso pandemijos metu. Ši technologija restorane leidžia peržiūrėti meniu, tačiau užsisakyti patiekalų negalima. Todėl paklausus, ar ši technologija palengvino klientų aptarnavimą, restorano atstovams pasakyti sunku.
„Negalėčiau taip teigti. Tiesiog palengvino svečiui – jis bet kada gali pasižiūrėti meniu, nekviesdamas aptarnaujančio personalo ir neprašydamas atnešti meniu“, – portalui pasakojo „Talutti“ atstovas. Tiesa, pašnekovo teigimu, užtruko, kol žmonės apsiprato prie naujovės – tam prireikė poros metų.
„JUDU“ (savivaldybės įmonės „Susisiekimo paslaugos“) QR kodus taip pat naudoja jau seniai. Jie pradėti naudoti ant plakatų, skrajučių ir net viešojo transporto komposteriuose.
„Jie padeda klientams tiesiog nuskenuojant QR kodą telefonu pasiekti reikiamą informaciją. Tai ypač patogus būdas, nes kitu atveju klientams reiktų informacijos ieškoti internete patiems“, – sakė „JUDU“ komunikacijos specialistė Eglė Krušinskaitė.
Tačiau pasakyti, kaip dažnai šia technologija naudojasi viešojo transporto klientai, įmonė negali. Visgi ji patikino, kad jų klientai nebijo skenuoti QR kodų.
„QR kodai, kurie pateikiami viešajame transporte, paprastai yra teikiami ir kontroliuojami patikimų šaltinių, tokių kaip „JUDU“. Tai suteikia klientams pasitikėjimą, nes jie žino, kad šie kodai veda į saugią ir patikrintą informaciją“, – atsakymą pagrindė pašnekovė.
QR kodai nuo balandžio mėnesio taikomi ir elektromobilių įkrovimo stoteles gaminančioje įmonėje „Elinta Charge“.
„Įsigaliojus AFIR reguliavimui, viešos įkrovimo stotelės turi turėti atsiskaitymą išvengiant mobiliųjų programėlių ar papildomų registracijų. Tai pasiekiama naudojant bankinių kortelių skaitytuvą arba dinaminį QR kodą“, – pasakojo įmonės vadovas Vaidas Bielinis.
Nors, anot jo, technologija dar tik įsibėgėja, sprendimas pasitelkti QR kodus pasiteisino: „QR kodo naudojimas įkrovimo stotelėms aktyvuoti rinkoje naudojamas nuo seno, tačiau pasitaikydavo apgavysčių atvejų, kai ant legalaus QR kodo lipduko užklijuojamas fiktyvus QR kodas, kuris nukreipia į kenkėjišką interneto puslapį ir tokiu būdu iš vartotojų išviliojami pinigai. Dinaminis QR kodas ekrane suteikia saugumą atsiskaitant už įkrovimo paslaugą.“
Kaip sako V. Bielinis, QR kodų pritaikymas pasiteisino ir iš finansinės pusės. Mat įkrovimo stotelių parkų administratoriams tokia technologija pigesnė palyginti su bankinių kortelių skaitytuvais, kuriems taikomi palaikymo ir administravimo mokesčiai.
Nesaugu?
Nors įmonėms patogu taikyti QR kodą, saugumo rizikos kelia nerimą vartotojams. Kaip sakė Vilniaus Gedimino technikos universiteto (VILNIUS TECH) Fundamentinių mokslų fakulteto Informacinių sistemų katedros vedėjas Nikolajus Goraninas, pagrindinė QR kodo rizika yra, kad žmogus tiesiogiai žiūrėdamas į jį negali matyti, kokia informacija tame kode yra paslėpta.
Tai suteikia galimybę patikimai atrodančiose vietose skelbti modifikuotus kodus, kurie vartotoją nukreips ne į legalią, o suklastotą svetainę.
„Iš esmės tai yra gerai žinomos „phishing“ atakos, kai siunčiamas suklastotas elektroninis laiškas, atmaina, turinti net savo pavadinimą – „quishing“.
Tačiau ji pavojingesnė tuo, kad suklastotą laišką galima atpažinti jau gavimo stadijoje pagal pakeistą domain adresą ir nespausti kenksmingos nuorodos.
O quishing atveju vartotojas gali identifikuoti suklastotą svetainę tik kodą nuskaitęs arba aktyvavęs“, – žiniomis dalijosi VILNIUS TECH profesorius.
Tačiau tai, anot jo, padaryti yra daug sunkiau, nes net ir legaliuose QR koduose esančios nuorodos ne visuomet yra standartinės. Vėliau žmogus, paspaudęs ant modifikuoto kodo, yra nukreipiamas į suklastotą svetainę ir gali būti naudojamas įvairiems blogiems tikslams.
N. Goraninas išvardija keletą jų: tapatybės vagystė ir sekimas, kenksmingas programinio kodo, įskaitant Trojos arklių, diegimas į įrenginį, iš kurio nuoroda buvo atidaryta, sukčiavimas, kada mokėjimas nukreipiamas į kitą organizaciją.
Siekia užtikrinti QR kodų patikimumą
Kalbintos įmonės teigia susipažinusios su galimais pažeidimais ir siekiančios užtikrinti naudojamų QR kodų patikimumą.
„QR kodai tikrai suteikia patogumo įmonėms ir vartotojams, tačiau, kaip ir bet kuri technologija, jie gali būti naudojami tiek naudingiems, tiek kenksmingiems tikslams. Mes reguliariai tikriname, ar mūsų pateikti QR kodai nukreipia į saugius ir patikrintus šaltinius.
Taip pat raginame klientus atidžiai įvertinti, kur yra pateikiami QR kodai, ir įsitikinti, ar šaltinis atrodo patikimai“, – portalui sakė „JUDU“ komunikacijos specialistė.
„QR kodas, esantis ant produktų pakuočių ar reklaminiame vizuale, paprastai yra saugus. Tačiau, jei QR kodas yra atspausdintas neoficialiuose, nežinomuose ar įtartinuose šaltiniuose, pavyzdžiui, gatvėje ant atsitiktinių skelbimų, geriau jo neskenuoti, nes jis gali nukreipti į kenksmingą svetainę“, – pridūrė moteris.
Kadangi restorane „Talutti“ leidžia peržiūrėti meniu, tačiau užsisakyti patiekalų negalima, maitinimo įstaigos atstovas patikino, kad jų QR kodai yra saugūs, nes nereikalauja atskleisti asmeninių duomenų: „Naudojamės profesionalų paslaugomis, kurie padaro maksimalią apsaugą ir nukreipia tik į meniu, jokių patvirtinimų ar registracijų nereikalaujant.“
„Elinta Charge“ vadovo teigimu, dinaminis QR kodo rodymas LCD ekrane užtikrina saugumą, kad būtų nukreipiama į korektišką tinklalapį, skirtą atsiskaityti už įkrovimo paslaugą.
Trūksta resursų užkirsti kelią rizikai
Ekspertas pateikia rekomendacijas verslams, norintiems saugiai naudoti QR kodus savo veikloje.
„Iš esmės nieko naujo: antivirusų, pakeitimo stebėjimo sistemų (FIM) ir kitų naudojimas. Gal tik labiau dėmesį reikia kreipti į fizinį saugumą, kad ir tame pačiame meniu kavinėje, nebūtų lengva tiesiog išimti ir įdėti kitą lapą su suklastotu kodu, naudoti vaizdo stebėjimą. Bet garantijos tikrai niekur nėra“, – perspėjo VILNIUS TECH Fundamentinių mokslų fakulteto Informacinių sistemų katedros vedėjas.
Jis taip pat atkreipia dėmesį, jog verslas beveik neturi galimybių apsisaugoti nuo QR kodų suklastojimo ar kenkėjiškų QR kodų panaudojimo.
„Užfiksuoti klastojimo faktą labai sunku. Ir jei koks bankas dar gali turėti kokį SOC centrą, kuris, gavęs pranešimą apie klastojimo faktą, gal galės imtis kokių veiksmų, tarkime, tą domain‘ą blokuoti, tai mažas verslas tokių resursų tikrai neturės. Tad, jei pastebima, tiesiog informuoti NKSC“, – aiškino specialistas.
Į ką dėmesį turėtų atkreipti vartotojai?
Tačiau, N. Goranino teigimu, vartotojai gali atpažinti pavojingą QR kodą. Paklausus jo, kokie yra pirmieji žingsniai, norint apsisaugoti, specialistas pateikia keletą jų: „Pirmiausia vartotojai neturėtų naudoti programėlių, kurios ne tik nuskaito, bet ir automatiškai atidaro nuorodą. O toliau jau eina klasikiniai dalykai: turėti antivirusinę programą telefone, kas iki šiol nėra populiaru.
Būtinai reikia peržiūrėti nuorodą, ar ji neatrodo įtartina, pavyzdžiui, kitoks adresas, nei tikėtasi. O skenuojant kodus stengtis įvertinti, ar tikrai tai, nuo ko skenuojate – lipdukas ar meniu, neturi kažkokių įtartinų požymių. Pavyzdžiui, bloga spaudos kokybė, stiliaus skirtumai.“
Jis taip pat perspėja neskenuoti viešose vietose be priežasties esančių kodų. Čia pašnekovas turi omenyje skelbimų lentas, skrajutes, gautas iš įtartinų asmenų, grafičius ir pan.
Nepaisant to, kaip sako ekspertas, garantijos nebūti pasinaudotam nėra ir tam tikra rizika visada išlieka.
„Kažkiek QR kodų atakas gal riboja tai, kad jos būna efektyviausios, kai yra vykdomos fizinėse vietose. T. y. masinis suklastotų QR kodų išsiuntimas, toks kaip e. laiškų atveju, nėra įmanomas, o suklastotų QR kodų skelbimas svetainėse įmanomas, bet mažiau efektyvus žiūrint iš blogiukų perspektyvos“, – pridūrė VILNIUS TECH profesorius.
asPrieš 22 d.
+2
