Gizarte-ingeniaritzako eraso bat da: erasotzaile batek QR kode bat ordezten du bertara sartzen den erabiltzailearen informazioa lapurtzeko.
QR kode bat (Quick Response ingelesez; erantzun azkarreko kodea ere esaten zaio) puntu-matrize bat duen irudi bat da; gailu mugikor batekin eskaneatuz gero, Interneteko zerbitzu batera bidaltzen gaitu. Teknologia horretan oinarrituta, SQRL garatu zen, webgune batean autentifikatzeko aukera ematen duena erabiltzailea edo pasahitza zehaztu beharrik gabe. Sistemak erabiltzaile bat sartu den orriko pantailako QR kode bat erakusten du, eta erabiltzaileak bere gailu mugikorrarekin eskaneatu ondoren, orriak erabiltzailearen saioa hasten du kredentzialak sartu beharrik gabe. Funtzionaltasun hori inplementatuta dago merkataritza elektronikoko zerbitzu askotan eta mezularitza-aplikazioetan, eta horrelako erasoen aurrean kalteberak dira.
QRLJacking erasoetan, erasotzaileak zerbitzu baten SQRLa ordezten du biktima engainatzeko, kodea eskanea dezan eta sarbide-kredentzialak eman diezazkion. Eraso horretan, delitugileak maiz eguneratu behar ditu kodeak orriaren ohiko erabilera simulatzeko, eta, horrela, erabiltzaileak bere kredentzialak bahitzea lortu duenean sarbide legitimoa eskaintzeko aukera izateko.
Har dezagun WhatsApp Web adibide gisa QRLJacking eraso batek nola funtzionatzen duen azaltzeko. WhatsAppek aukera du gure ordenagailuko web-nabigatzailean lan egiteko, SQRL kode batekin autentifikatuz. Erasotzaile batek erabilera hori balia dezake guri sarbide-orri faltsu bat eskaintzeko, kodea eskaneatzean saioa delitugilearen ekipoan bahituko duena eta, aldi berean, biktimarentzat baliozko SQRL kode gisa balioko duena, prozesuan ezer arrarorik antzeman ez dezan.
Ordezpen-mota horiek egiteko, erasotzaileak biktimaren sare berean egon ohi dira, “man-in-the-middle attack” deritzon erasoaz baliatuz. Erabiltzailearen gailuaren eta Interneterako irteeraren artean kokatzean datza, bere iruzurrezko orria erabiltzeko erabiltzaileak benetan nahi duen orriaren ordez. Gizarte-ingeniaritzako erasoa denez, beste teknika batzuk erabiltzen dituzte –sustapen edo alerta faltsuak, esaterako– biktima sar dadin emandako SQRL kodean.
Hona hemen horrelako erasoak saihesteko moduak:
- Erabiltzen ditugun zerbitzuaren formatua berrikustea. Orriaren diseinua, URLa eta orriaren ziurtagiria egiaztatzea. Ordezpena denez, asmo txarreko orriaren formatua desberdina izaten da arlo horietakoren batean.
- Sartu garen lekua benetakoa dela egiaztatzea eta zerbitzuan ohikoak ez diren eskaintzez edo konfigurazio-eskaerez ez fidatzea.
- Sare publikoetara edo segurtasunik gabeko sareetara ez konektatzea, ahal dela. Horrela, “man-in-the-middle” erasoa errazteko egoerak saihestuko ditugu.
- QR kodeak eskaneatzeko erabilitako aplikazioan web-zerbitzuetarako sarbide automatikoa ukatzea, nahi ez dugun inor sar ez dadin.
- Gure gailuan segurtasun-kontrolak inplementatzea; adibidez, antibirus bat: horrelako erasoak detektatzen lagunduko digu.
