نصائح للحفاظ على سلامتنا أثناء استخدام رموز الاستجابة السريعة QR Codes

انتشرت رموز الاستجابة السريعة QR Codes مؤخراً بشكل كبير خصوصاً في زمن جائحة كورونا، حيث يمكننا رؤيتها في كل مكان بدءاً من عرض قوائم المطاعم إلى تسهيل المعاملات وملئ نماذج الطلبات أو إضافة جهات الاتصال.

ومثل أي تقنية شائعة أخرى ، فإن الاستخدام الواسع لرموز الاستجابة السريعة قد جذب انتباه المحتالين أيضاً، الذين يستخدموها لأغراض خبيثة. وقد أدى هذا إلى إصدار تحذير من مكتب التحقيقات الفيدرالي بالولايات المتحدة (FBI) حول هذه الظاهرة.


في هذه المقالة سنلقي الضوء عن كيفية استخدام المحتالين لرموز الاستجابة السريعة، وما يجب الانتباه إليه عند مسح رمز الاستجابة السريعة ضوئياً.

اختصاراً لـ “الاستجابة السريعة Quick Response” ، رمز الاستجابة السريعة QR Code هو نوع من الرموز الشريطيّة “الباركود” التي يمكن مسحها ضوئياً بواسطة الآلات والأجهزة. كما يوحي اسمها، رموز الاستجابة السريعة مصمّمة لتتم قراءتها وتفسيرها على الفور بواسطة جهاز رقمي. يمكن لرمز الاستجابة السريعة تخزين ما يصل إلى 4296 محرفاً، وبالتالي يسهل فك تشفير وقراءتها بواسطة كاميرا الهاتف الذكي.
يمكن استخدام رموز الاستجابة السريعة QR Codes لفتح موقع ويب أو تنزيل ملف أو إضافة جهة اتصال أو الاتصال بشبكة Wi-Fi وغيرها من الإجراءات الأخرى.

كيف يستغل القراصنة رموز الاستجابة السريعة QR Codes؟

إعادة توجيه المستخدم إلى موقع ويب ضار لسرقة معلومات حسّاسة

لا تنتشر هجمات التصيد الاحتيالي عن طريق رسائل البريد الإلكتروني أو الرسائل الفورية أو الرسائل النصية فقط، حيث يمكن للمهاجمين توجيه المستخدم الى موقع خبيث باستخدام أكواد QR.  ويشكل هذا مصدر قلق كبير بشكل خاص إذا تم وضع الرموز في إعلانات أو ملصقات في مناطق مزدحمة كالمطارات أو بالقرب من البنوك أو المؤسسات المالية الأخرى. في إحدى الحالات الحديثة التي تم الإبلاغ عنها على نطاق واسع، وضع محتالون ملصقات رمز الاستجابة السريعة الاحتيالية على عدّادات مواقف السيارات العامة في عدة مدن في ولاية تكساس الأميركيّة، مما وجه الأشخاص إلى مواقع الدفع المزيفة.

تنزيلات ملفات ضارة على جهاز المستخدم

تستخدم العديد من المطاعم رموز الاستجابة السريعة QR Codes لتنزيل ملف قائمة المأكولات بصيغة PDF أو تثبيت تطبيق يتيح للزبائن إجراء الطلبات من المنزل. يمكن للمهاجمين التّلاعب بسهولة برمز الاستجابة السريعة لمحاولة خداع الضحية ا لتنزيل ملف PDF ضار أو تطبيق جوال خبيث.

تنفيذ بعض الإجراءات على جهاز الضحيّة

يمكن أن تؤدي رموز QR إلى تنفيذ إجراءات مباشرة على جهاز المستخدم،  هناك بعض الإجراءات الأساسية التي يمكن لأي قارئ QR أساسي تفسيرها. يتضمن ذلك اتصال الجهاز بشبكة Wi-Fi محددة، أو إرسال بريد إلكتروني أو رسالة SMS بنص محدد مسبقاً، أو حفظ معلومات جهة الاتصال على الجهاز.مع أن هذه الإجراءات في حد ذاتها ليست ضارة، إلا أنه يمكن استخدامها على سبيل المثال لدفع جهاز الضحية للاتصال بشبكة مخترقة أو إرسال رسائل نيابة عن الضحية.

سرقة هوية المستخدم أو الوصول إلى التطبيقات

يتم استخدام العديد من رموز QR كشهادة للتحقق من معلومات الشخص، مثل أرقام الهويات الشخصية أو التصريحات الخاصة باللقاحات. في هذه الحالات، قد تحتوي رموز QR على معلومات حساسة مثل المعلومات الواردة في هويّاتهم أو السجلات الطبية، والتي يمكن للمهاجم الحصول عليها بسهولة عن طريق مسح رمز الاستجابة السريعة.

ومن جهة أخرى تستخدم العديد من التطبيقات، مثل WhatsApp أو Telegram،  رموز الاستجابة السريعة QR Codes لمصادقة جلسات المستخدم وبالتالي السماح للمستخدمين بالوصول إلى حساباتهم. مما يجعلها عُرضةً لبعض الهجمات كما حدث بالفعل مع WhatsApp وهجمات QRLjacking، حيث يمكن للمهاجمين خداع المستخدم عن طريق انتحال هوية الخدمة ودفع المستخدم لمسح رمز QR الذي قدمه المهاجم. في معظم السيناريوهات، سيحتاج المهاجم إلى إنشاء رمز QR ضار يحل محل الرمز الأصلي.أي أن هذه الهجمات تتضمن أساليب هندسة اجتماعية وتعتمد على خداع الضحايا.

نصائح للحفاظ على سلامتنا أثناء استخدام رموز الاستجابة السريعة QR Codes

قبل مسح رمز الاستجابة السريعة QR ضوئياً، تأكدوا من عدم العبث به؛ على سبيل المثال، تحققوا من أنه لا يغطي رمز QR آخر.

الامتناع عن مسح رموز QR التي تم العثور عليها عشوائياً في الرسائل غير المرغوب فيها أو على الملصقات الجداريّة في الأماكن العامة.

الحذر بشكل كبير عندما يتعلق الأمر باستخدام رمز الاستجابة السريعة QR Code لدفع فاتورة أو إجراء نوع آخر من المعاملات المالية. فكّروا باستخدام خيار دفع آخر.

تعطيل خيار تنفيذ الإجراءات التلقائية عند مسح رمز الاستجابة السريعة ضوئياً، مثل زيارة موقع ويب أو تنزيل ملف أو الاتصال بشبكة Wi-Fi.

النظر والتدقيق من عنوان URL للتحقق من شرعيته. ومع ذلك ، قد يكون من الأفضل في كثير من الأحيان تجنب إدخال معلومات تسجيل الدخول أو المعلومات الشخصية الخاصة بنا على موقع قد تمت زيارته عبر رمز الاستجابة السريعة. إذا شعرتم بالشك، افتحوا متصفحاً واكتبوا عنوان URL بأنفسكم.

لا تشاركوا رموز الاستجابة السريعة QR Codes الخاصة بكم و التي تحتوي على معلومات حساسة، مثل تلك المستخدمة للوصول إلى التطبيقات أو تلك المُضَمّنة في المستندات الشخصيّة والشهادات الصحيّة.

حافظوا على تحديث تطبيقاتكم وبرامجكم، وقوموا بتفعيل ميزة التحقق بخطوتين لجميع حساباتكم الهامة.

هل كانت هذه المقالة مفيدة؟

عن عملنا

أخبار وتنبيهات رقمية

موارد المساعدة الذاتية

الدعم الرقمي

التدريب والعيادات

المساعدة الطارئة