Hacking

Ny tendens: QR-kode hacking

Forestil dig, at du er til Roskilde- eller Smuk-festivallen (Ja, det var tider). Rundt omkring på pladsen har nogen sat disse klistermærker op, der gør det let for dig at bestille pizzaer fra en af boderne på pladsen. Måske ser du endda laminerede små skilte ligge rundt omkring imellem teltene.

“Jeg har set boden og deres logo, så den er god nok! Og smart, at jeg herved kan undgå køen. “

Du tager din smartphone frem og scanner QR-koden, som tager dig ind til pizza bodens hjemmeside.
Her bestiller du en pizza. Du indtaster dine kreditkort oplysninger. Du tænker ikke lige over, at du ikke bliver dirigeret til Nem-ID authentikeringen. Der er gang i festen og de øl smager godt.

Og nu du er ved det, så opretter du lige en konto, så du let kan bestille igen i morgen. Du bruger din egen emailadresse og det password, som du bruger så mange andre steder.

Ovenstående er naturligvis et tænkt eksempel, men et eksempel på en ny tendens indenfor hacking og Social Engineering: QR-kode hacking

For hackerne gælder det om at få adgang til oplysninger, som de kan bruge til fx. identitetstyveri, logge sig ind på vores andre konti med det oplyste password, måske endda få adgang til vores arbejdsmail konti, m.m.

Og den tid, der går, imellem du bestiller pizzaen, til du går op til boden for at hente den og her bliver klar over, at du er blevet narret, er mere end rigelig for hackeren til allerede at have udnyttet de oplysninger du blev franarret.

I Danmark har bankerne indført ekstra sikkerhed, når vi handler på nettet, i form af authentikeringen med Nem-ID. Dette gør det svært at bruge dine kreditkort oplysninger. I USA advarer FBI mod bl.a. brugen af falske QR-koder på parkeringsautomater.

Det tager en velforberedt hacker ingen ting at oprette en hjemmeside, der ligner en bestillings side fra den lokale pizza bod. Der findes hackerværktøjer, der faktisk kan kopiere alt indhold fra en eksisterende hjemmeside og gøre det klart til at oprette en ny hjemmeside.

Et element af Social Engeneering er at udnytte svaghederne i forsvaret. Et klassisk sted er når noget kan gøre vores hverdag nemmere. Mennesket er per definition dovent og dette udnytter hackerne.

Forestil dig, at du er på ferie – uden for EU – hvor du ikke har gratis data. Du vil gerne have WiFi adgang og ser dette skilt ved nogle stole i et indkøbscenter i USA eller Dubai. Måske står disse små skilte rundt omkring på borde ved en stor IT-konference i Las Vegas. Ville du oprette en konto?
Og hvad nu, hvis hackerne virkelig giver dig “gratis” Wi-fi med et Man-In-the-Middel-Attack?

De dygtige hackere går professionelt til værks. De bruger gerne mange penge på at få det til at se ægte ud.

Vær på vagt!