أصبحت رموز الاستجابة السريعة (QR codes) وسيلة شائعة وسريعة للدخول إلى الروابط، سداد الفواتير، وتسجيل الدخول. ومع ذلك، فإن هذه السرعة عينها تتيح للمهاجمين توجيه الضحايا من العالم المادي إلى صفحات ويب خطرة أو تنفيذ إجراءات مشبوهة على هواتفهم بسرعة فائقة.
في حملات حديثة، لا يمثل رمز الاستجابة السريعة نفسه التهديد، بل هو غلاف توصيل يمكن أن يخفي سلسلة طويلة من عمليات إعادة التوجيه. بالإضافة إلى ذلك، يمكن أن يؤدي إلى تفعيل روابط عميقة داخل التطبيقات (deep links)، أو إرسال الهاتف إلى تنزيل مباشر يتجاوز فحوصات متاجر التطبيقات، وهي ممارسة تُعرف باسم “quishing” وتظهر في رسائل البريد الإلكتروني والملصقات.
تزايد الهجمات عبر رموز الاستجابة السريعة
لاحظ باحثون في شركة Palo Alto Networks زيادة في الأنشطة الخبيثة المرتبطة برموز الاستجابة السريعة. وخلال الأشهر الأخيرة، تتبعوا حملات تمزج بين التصيد الاحتيالي وعمليات الاحتيال، مشيرين إلى أن أدواتهم الرصدية تسجل حوالي 75,000 رمز استجابة سريعة يوميًا، حوالي 15% منها يؤدي إلى روابط خبيثة، مما يمثل ما يزيد عن 11,000 اكتشاف يوميًا.
بما أن معظم عمليات المسح تتم على الهواتف الشخصية ذات الضوابط الأضعف مقارنة بالأجهزة المكتبية المدارة، فإن مسحًا واحدًا يمكن أن يتجاوز محيط الشركة، ويهبط على صفحة تسجيل دخول مقنعة، بل يمكن أن يختفي بسرعة عندما يستخدم المهاجمون خدمات تقصير عناوين الروابط لرموز الاستجابة السريعة، والتي يمكن أن تغير وجهتها أو تصبح غير نشطة بعد بضعة أيام.
الروابط العميقة داخل التطبيق واستغلالها
تُعد الروابط العميقة (deep links) عناوين URL خاصة تفتح شاشة معينة داخل تطبيق. ولاحظ باحثو Unit 42 أكثر من 35,000 رمز استجابة سريعة تحمل روابط Telegram عميقة، مثل “tglogin”. شكلت روابط تسجيل الدخول 97% من حالات Telegram، وبدت حوالي 20% من الصفحات المضيفة خبيثة.
بينما حاولت مغريات أخرى ربط الجلسات الجديدة بحسابات Signal أو WhatsApp أو Line، وتعرض بعضها لاستهداف دقيق لمستخدمي Signal الأوكرانيين.
كما وجدت Palo Alto Networks روابط عميقة داخل التطبيقات في حوالي 3% من رموز الاستجابة السريعة، وحذرت من أن المدافعين قد يغفلون السلوكيات اللاحقة لأنها قد تكون غير مرئية للتحليل الويب العادي. غالبًا ما يتطلب ذلك بيئة اختبارية (sandbox) للهواتف المحمولة مع تثبيت التطبيق المستهدف والمراجعة لكل حالة على حدة لمخططات URL المخصصة.
التوصيات لتعزيز الأمان
لتقليل المخاطر، يجب على فرق الأمان التعامل مع رموز الاستجابة السريعة كمدخلات غير موثوقة عن طريق مسحها ضوئيًا قبل المستخدمين. يجب عليهم توسيع المراقبة لتشمل صور رموز الاستجابة السريعة في صفحات الويب والمستندات، وحظر الاستخدام المعروف لخدمات تقصير عناوين الروابط الخاصة برموز الاستجابة السريعة، وتقييد تثبيت ملفات APK مباشرة بعد ملاحظة الباحثين لـ 59,000 اكتشاف مرتبط بـ 1,457 ملف APK مميز تم تسليمها عبر رموز الاستجابة السريعة.
يجب على المؤسسات أيضًا تقوية فلاتر البريد الإلكتروني والويب للكشف عن عمليات الاحتيال القائمة على رموز الاستجابة السريعة ومنع عمليات إعادة التوجيه الضارة. يمكن للتدريب المستمر للمستخدمين على الوعي الأمني أن يقلل بشكل أكبر من معدل نجاح حملات التصيد والاحتيال المدفوعة برموز الاستجابة السريعة.
بالنسبة للمستخدمين، يجب دائمًا التحقق من المصدر، ومعاينة عنوان URL الكامل قبل فتحه، وتجنب مطالب الدفع العاجلة. لا توافق أبدًا على تسجيلات دخول التطبيق أو روابط الأجهزة من رموز الاستجابة السريعة العشوائية، حافظ على تحديث نظام التشغيل الخاص بك، وقم بتعطيل إعدادات تثبيت التطبيقات غير المعروفة.