K ovládnutí cizího účtu stačí QR kód. ‚Neodklikávejte automaticky každé zelené tlačítko,‘ radí odborníci
Platby přes QR kód jsou stále oblíbenější, ať už v restauracích nebo službách. Využívají je až tři čtvrtiny Čechů, jak potvrdil výzkumu Indexu prosperity a finančního zdraví. Vytvořit QR kód je totiž snadné a zvládne to kdokoli. Ale stejně tak jednoduché je to pro potenciálního útočníka, který se chce dostat k našemu účtu nebo třeba WhatsAppu. Podle odborníků stačí pozorně sledovat, co se pod QR kódem skrývá.
„Tady je můj počítač a je vidět, že teď mám přístup k Ondrovu WhatsuAppu. Můžu tady vidět zprávu od Barči, můžu tady za něj psát zprávy a dělat si s jeho účtem téměř co chci,“ ukazuje mi Martin Řepa z Centra umělé inteligence Fakulty elektrotechnické ČVUT, jak jednoduše se dostal k whatsappovému účtu svého kolegy. Stačilo poslat QR kód pro přidání dalšího zařízení k účtu. A Ondřej Lukáš ze Stratosphere Labu udělal přesně to, co většina lidí v takové situaci.
Reportáž Evy Kézrové o tom, jak zabránit tomu, aby se hacker přihlásil do našeho whatsappového účtu
„Já ho bez přemýšlení načtu a odklikám všechna ta upozornění, budu je ignorovat. Nijak jsem o tom nepřemýšlel, nikde se nezarazil, neudělal žádnou kontrolu a ten člověk, který mi poslal tento QR kód, se může vydávat za mě a má přístup k mému kompletnímu účtu v aplikaci WhatsApp.“
Samotný QR kód za to ale nemůže. Jak upozorňuje Jakub Novák z Fakulty informačních technologií ČVUT, je to vlastně jen nálepka z černobílých kostiček.
Pokud si ho přečteme zařízením, tak pouze vyplní formulář. Na člověku je potom zkontrolovat, co se mu vlastně vyplnilo a co to pro něj znamená. Třeba si myslel, že se připojí na WiFi a místo toho někam posílá peníze. Za to ten QR kód nemůže, protože jakékoliv zjednodušení mého chování, ať už v reálném životě nebo v tom digitálním, může bez prověřování vést špatným směrem.
Jak zajistit bezpečnost
Co konkrétně tedy mohl Ondra udělat, aby nevědomky nepředal někomu cizímu přístup ke svému whatsappovému účtu? Měl hned tři možnosti, jak nepokračovat. Tou první byla chvíle po načtení QR kódu. On si jej vyfotil mobilem, ale použít se dá i aplikace na čtení těchto kódů.
„Stránka se automaticky neotevře. Ta aplikace jenom zaregistruje QR kód, přeloží ho do odkazu, ukáže vám ho, a potom je na vás, abyste klikli na odkaz. To znamená, že vám umožňuje další kontrolu nad tím, jestli se na tu stránku opravdu chcete připojit a ten QR kód použít, nebo ne.“
V tomto případě ale čtečka kód nedokázala rozluštit, protože je určený přímo pro aplikaci WhatsApp, a to samozřejmě působí věrohodně.
„Vidíte, že mi vyskočí upozornění, že bylo detekováno přihlašovací zařízení. Ta aplikace mě na to upozorňuje. Dokonce tady je i text, který mi říká, že chcete-li se do aplikace přihlásit na jiném zařízení, klepněte na pokračovat, bude třeba naskenovat QR kód, v opačném případě to zrušte. Takže já dám pokračovat. A teďka vidíte, že mě to znovu vyzývá k tomu, abych potvrdil, že se chci připojit k dalšímu účtu. Vidíte, že probíhá přihlašování.“
V této chvíli Ondřej Lukáš dává souhlas k tomu, aby se k jeho účtu připojil další počítač. Jinými slovy, když vím, že nic takového nemám v plánu, tak prostě změnu nepotvrdím a na můj Whatsapp se nikdo nepovolaný nedostane. Podobně to podle Martina Řepy funguje i u jiných účtů.
„Já bych doporučil vždycky číst to, co vám ta aplikace ukáže, zamyslet se nad tím, než jenom, pokud vidíte světlé zelené tlačítko, automaticky odklikávat, aniž byste si to přečetli. A když to nepotvrdíte, nic se nestane,“ říká.
„Zároveň i společnosti, v tomto případě WhatsApp, se snaží chránit své uživatele,“ dodává, „Například se QR kód mění asi každých 30 vteřin, aby útočníci nemohli tak jednoduše jednat. Útočníci musejí QR kód oběti dostat hodně rychle a oběť musí všechno hodně rychle proklikat, jinak už to nebude fungovat.“
Kybernetičtí odborníci vytvářejí nástroje, které chrání před hackerskými útoky. Ty se ale neustále mění, a tak zodpovědný přístup člověka je zatím nejlepší ochranou.