QR Code ปลอดภัยหรือเปล่า

ขอบคุณภาพจาก twenty20.com

ไม่ใช่ว่าเป็นเพราะตัวโค้ดเองที่ปลอดภัย แต่ที่ที่มันพาไปต่างหากที่สำคัญ

Quick response (QR) Code กลายเป็นสิ่งที่พบเห็นได้ทั่วไปในปัจจุบัน องค์กรและธุรกิจหลายแห่งต่างก็ใช้ QR Code เพื่อเปิด URL อย่างรวดเร็ว โดยที่ตัว QR Code เริ่มมีความโดดเด่นขึ้นมาจากการที่ถูกใช้ในการติดตามการแพร่กระจายของโคโรนาไวรัส เนื่องจาก QR Code มักจะถูกติดไว้ตรงหน้าทางเข้าสถานที่เพื่อติดตามการเคลื่อนไหวของผู้คน

เมื่อ QR Code เริ่มกลายเป็นสิ่งปกติในชีวิตประจำวันมากขึ้น คำถามหนึ่งที่ตามมาก็คือ QR Code ปลอดภัยหรือเปล่า วันนี้เราจะมาพูดถึงความปลอดภัยและความมั่นคงปลอดภัยของ QR Code กัน

QR Code คืออะไร

Denso Wave บริษัทญี่ปุ่นในเครือของ Toyota ได้คิดค้น QR Code ขึ้นมาในปี 1994 เพื่อเพิ่มความแม่นยำในการติดตามยานพาหนะและชิ้นส่วนในระหว่างกระบวนการผลิต

บาร์โค้ดสามารถอ่านได้จากซ้ายไปขวาเท่านั้น แต่ QR Code สามารถอ่านได้จากสองทิศทาง คือ จากบนลงล่าง และจากขวาไปซ้าย ซึ่งหมายความว่ามันสามารถจัดเก็บข้อมูลได้มากขึ้น และเก็บข้อความได้ถึง 4,000 อักขระ

QR Code นั้นค่อนข้างทำได้เหมือนบาร์โค้ดสองมิติที่แปะอยู่บนฉลากสินค้าทั่วไป ตัวมันสามารถเชื่อมโยงกับลิงก์ URL เว็บไซต์ได้ หรือก็คือ QR Code พวกนี้ก็คือ URL ในแบบรูปภาพนั่นเอง คุณจะเห็นได้ว่า QR Code พวกนี้มีอยู่ทุกที่ ไม่ว่าจะเป็นบนนามบัตร บนป้ายโฆษณา หรือบนใบปลิว นอกจากนี้ QR Code ยังเหมาะสำหรับทำแคมเปญการตลาดมากอีกด้วย เพราะสามารถเป็นสะพานเชื่อมระหว่างโลกออนไลน์สู่โลกออฟไลน์ได้เป็นอย่างดี

นับตั้งแต่การมาถึงของสมาร์ทโฟน การปฏิสัมพันธ์กับ QR Code ก็ง่ายยิ่งขึ้น เพียงแค่ยกสมาร์ทโฟนขึ้น ใช้กล้องสแกน QR Code ก็จะมีแจ้งเตือนลิงก์ขึ้นมาให้ผู้ใช้แตะหน้าจอ ก่อนจะเปิดเว็บไซต์ขึ้นมาด้วยเบราว์เซอร์ในมือถือของตน ซึ่งช่วยแก้ปัญหาการพิมพ์ URL ลิงก์ผิดได้โดยการนำคนให้ไปตามลิงก์ได้โดยตรง

ส่วนวิธีสร้าง QR Code ก็ง่ายมาก มีแหล่งช่องทางออนไลน์มากมายที่สามารถช่วยให้เราแปลง URL เป็น QR Code ได้

QR Code ทำงานยังไง

กลุ่มตัวรหัสของ QR Code เป็นรหัสตัวเลขสองฐานที่คอมพิวเตอร์สามารถอ่านและประมวลผลข้อมูลได้ อุปกรณ์สามารถจดจำ QR Code ได้จากสัญลักษณ์สี่เหลี่ยมขนาดใหญ่ทั้งสามด้านนอกตัวรูป ซึ่งสัญลักษณ์นี้มีชื่อเรียกว่า จุดตรวจตำแหน่ง (Position Detection Marker) โดยสัญลักษณ์นี้จะบอกให้ตัวอ่านรับรู้ได้ว่า ทุกสิ่งที่อยู่ในบริเวณสัญลักษณ์สี่เหลี่ยมนี้เป็นรหัสที่สามารถอ่านได้ และนำทางอุปกรณ์ให้ไปตามตำแหน่งที่บอก

ส่วนสัญลักษณ์สี่เหลี่ยมอีกหนึ่งมีชื่อเรียกว่าจุดจัดตำแหน่ง (Alignment Marker) โดยช่วยยืดตัว QR Code ที่อยู่บนพื้นผิวโค้งให้เรียบตรง ยิ่งสัญลักษณ์สี่เหลี่ยมนี้มีขนาดใหญ่ก็ยิ่งแสดงว่ามีข้อมูลมาก และต้องมีจุดจัดตำแหน่งที่ใหญ่ขึ้น

การเชื่อมต่อทั้งสามตำแหน่งของจุดตรวจตำแหน่งเป็นการระบุพิกัด โดยโมดูลขาวดำที่สลับกันไปกันมาเหล่านี้จะช่วยกำหนดตารางข้อมูล และช่วยสร้างเส้นที่ทำให้ตัวสแกนกำหนดขนาดของเมทริกซ์ข้อมูลได้

QR Code ยังมีข้อมูลเวอร์ชั่น (VI: Version Information) ซึ่งสิ่งเหล่านี้เป็นเครื่องหมายที่ระบุเวอร์ชั่นที่ใช้ ปกติแล้วจะเป็นเวอร์ชั่นหนึ่งถึงเจ็ด

ส่วนพวกจุด ๆ ที่อยู่รอบ ๆ จุดตรวจจับตำแหน่งทั้งสาม คือข้อมูลรูปแบบของ Error Tolerance (ความทนทานต่อการเสียหาย) และรูปแบบ Data Masking ที่ช่วยให้สแกนโค้ดได้ง่ายขึ้น

ส่วนองค์ประกอบที่สำคัญที่สุดคือคีย์แก้ไขข้อมูลและข้อผิดพลาด ซึ่งเป็นที่เก็บข้อมูลทั้งหมด ตัวคีย์การแก้ไขข้อผิดพลาดนี้สามารถปล่อยให้ข้อมูลเสียหายได้ถึง 30% โดยไม่สูญเสียความสามารถในการแสกนโค้ดเพื่อเข้าสู่ URL ที่ถูกต้อง

สุดท้ายคือโซนเงียบ หรือก็คือพื้นที่สีขาวรอบ ๆ QR Code ที่ช่วยให้เครื่องสแกนสามารถแยกแยะ QR Code ออกจากพื้นที่รอบ ๆ ได้

QR Code โดนแฮ็กได้ไหม

ผู้คิดค้น QR Code คงนึกไม่ถึงว่าระบบของพวกเขาจะถูกใช้สำหรับทำอย่างอื่น นอกเหนือจากการติดตามชิ้นส่วนรถยนต์ในกระบวนการผลิต ดังนั้น พวกเขาจึงไม่ได้พิจารณาถึงผลกระทบด้านความปลอดภัยที่อาจเกิดขึ้นในขณะนั้น

อย่างไรก็ดี ไม่มีข้อบกพร่องด้านความปลอดภัยในระบบ QR Code แต่อย่างใด แต่เป็นปลายทางที่ถูกเข้ารหัสของ QR Code ต่างหากที่อาจมีปัญหา เพราะ URL ที่ถูกเข้ารหัสภายใน QR Code อาจไม่สามารถทำอะไรได้ด้วยตัวเองก็จริง แต่แฮกเกอร์อาจยุ่งกับที่อยู่ปลายทางเพื่อเปลี่ยนเส้นทางไปยังมัลแวร์ หรือขโมยข้อมูล ซึ่งไม่แตกต่างจากอีเมลโกงหรือสแกมข้อความแต่อย่างใด

คนเราไม่สามารถอ่าน QR Code ได้ ดังนั้นจึงไม่มีทางที่จะดู QR Code ให้แน่ใจได้ว่ามันปลอดภัยหรือไม่ โชคร้ายที่สิ่งนี้หมายความว่าแฮกเกอร์สามารถแก้ไข QR Code ให้นำทางไปยังเว็บไซต์ที่เป็นอันตรายได้อย่างค่อนข้างง่ายดาย

ไม่ค่อยมีใครรู้ว่า QR Code สามารถนำมาใช้เพื่อดำเนินคำสั่งบนอุปกรณ์ของผู้ใช้ได้ เช่น การเขียนอีเมล หรือการเพิ่มรายชื่อติดต่อลงบนอุปกรณ์

แฮกเกอร์สามารถแปะ QR Code อันตรายไว้ในที่สาธารณะ หรือบางครั้งก็อาจจะแปะ QR Code จริงๆ ไว้เพื่อหลอกให้คนไม่รู้อิโหน่อิเหน่หลงมาสแกนโค้ดที่นำไปสู่เว็บไซต์ที่เต็มไปด้วยมัลแวร์

อีกทางที่ QR Code จะโดนแฮ็กได้ก็คือการ QRLjacking ซึ่งหากยึดตามคำของ OWASP การ QRLjacking คือเป็นวิธีการโจมตีโดยใช้เทคนิกวิศวกรรมสังคม โดยอาศัยการที่แอปพลิเคชันต้องให้ “ล็อกอินด้วย QR Code” เพื่อให้สามารถล็อกอินเข้ามาในระบบได้อย่างปลอดภัย กล่าวคือ เหยื่อจะถูกหลอกให้แสกน QR Code ของผู้โจมตีแทน และทำให้เกิดการเข้ายึด session

โดยเฉพาะ QR Code แบบไดนามิกที่มีความเสี่ยงเป็นพิเศษ QR Code แบบไดนามิกมีความแตกต่างจาก QR Code ปกติ เนื่องจากมี URL แบบย่อฝังอยู่ในโค้ดที่จะทำการส่งต่อผู้ใช้ไปยัง URL ปลายทาง ซึ่ง URL ปลายทางนี้สามารถเปลี่ยนแปลงได้หลังจากสร้าง QR Code ใน ขณะที่ URL แบบย่อยังคงรูปเดิม นอกจากนี้ยังสามารถส่งข้อมูลที่แตกต่างกันไปยังอุปกรณ์ต่าง ๆ ได้อีกด้วย

จะรู้ได้อย่างไรว่า QR Code แบบไหนอันตราย

คนที่สแกน QR Code จะรู้ได้อย่างไรว่าตนเองเข้าถูกเว็บหรือไม่ ปัญหาประการหนึ่งก็คือแอปพลิเคชันสแกนทั่วไปของโทรศัพท์มือถือจะไม่สามารถตรวจสอบความปลอดภัยได้ เพราะหน้าที่เดียวของมันคืออ่าน QR Code แล้วเปิดลิงก์ขึ้นมาให้คุณจิ้มเท่านั้น

มีแอปพลิเคชันสแกน QR Code ที่ปลอดภัยจากบริษัทต่าง ๆ ให้คุณเลือกใช้ เช่น Kaspersky หรือ Sophos ที่สามารถตรวจสอบได้ว่า QR Code นั้นเชื่อมต่อกับแหล่งที่น่าเชื่อถือหรือไม่ หากซอฟต์แวร์ค้นพบลิงก์ที่นำไปสู่ภัยไซเบอร์ เช่น การฟิชชิ่ง หรือสแกมข้อความแบบพรีเมียม มันจะแจ้งเตือนคุณ

หลีกเลี่ยง QR Code หลอกได้อย่างไร

มีอยู่หลายวิธีในการรักษาความปลอดภัยขณะสแกน QR Code เราขอแนะนำทิปเล็ก ๆ น้อย ๆ ให้กับคุณ ดังนี้:

ตรวจสอบการปลอมแปลง: ถ้าคุณต้องสแกน QR Code ในที่สาธารณะ ให้ตรวจสอบว่า QR Code ต้นฉบับไม่ได้มีสติกเกอร์อะไรมาแปะทับตัวโค้ดที่อาจเปลี่ยนเส้นทางนำไปสู่เนื้อหาอันตราย
ตรวจสอบ URL และบริษัท: ก่อนสแกน QR Code ให้ตรวจสอบว่าบริษัทนี้ถูกต้องตามกฎหมาย หรือดูเป็นมืออาชีพไหม QR Code ตรงกับตัวองค์กรนี้หรือไม่ หากข้อทั้งหมดนี้ผ่าน ให้สแกนโค้ด แต่ควรตรวจสอบปลายทางก่อนเพื่อให้แน่ใจว่าทุกอย่างยังโอเค
อย่าให้ข้อมูลส่วนบุคคลหากถูกนำทางไปยังเว็บไซต์อื่น: คุณไม่ควรป้อนข้อมูลส่วนบุคคลใด ๆ เช่น รหัสผ่านหรือรายละเอียดบัตรเครดิต ลงไปบนเว็บไซต์ที่ QR Code พาคุณไป แคมเปญการตลาดส่วนใหญ่จะขอชื่อและที่อยู่อีเมลของคุณ แต่ถ้าเว็บไซต์ดูมีอะไรดูแปลก ๆ ก็อย่าให้ข้อมูลใด ๆ แก่พวกเขา
ใช้แอปพลิเคชันด้านความปลอดภัย: ตามที่กล่าวไว้ข้างต้น แอปฯ รักษาความปลอดภัยบนมือถือสามารถช่วยปกป้องคุณจากลิงก์เว็บน่าสงสัยที่ฝังอยู่ใน QR Code ได้ และถ้าคุณสามารถปิดการใช้งานฟังก์ชันเปิดอยู่เว็บไซต์โดยอัตโนมัติจาก QR Code ได้ คุณควรใช้ประโยชน์จากฟีเจอร์นี้ เพื่อให้ตัวเองสามารถกดดู URL ก่อนเปิดได้

ที่มา: https://bit.ly/3mmVY6e