أنجح عملية احتيال رقمية مرتبطة بالراحة. تعتبر رموز QR ، التي تستخدم في كل شيء من مشاركة جهات الاتصال إلى إجراء المدفوعات ، متجهًا مثاليًا. في الهند ، التي تدير أكبر نظام دفع رقمي في العالم ، أصبحت عمليات احتيال رمز الاستجابة السريعة مصدر إزعاج منتظم.
أسمع بانتظام من أصحاب متاجر البيع بالتجزئة وسائقي سيارات الأجرة حول كيفية خداعهم باستخدام رمز أو تطبيق QR مزيف ، وتشابه قصة المتسوقين عبر الإنترنت. إن عمليات الاحتيال في ساحة انتظار السيارات هي أيضًا متفلة في الولايات المتحدة والمملكة المتحدة ، لكن سرقة بضعة دولارات ليست هي الخطر الوحيد.
إنها سرقة البيانات الحساسة ، بما في ذلك التفاصيل المالية ، التي وضعت حتى العمالقة المصرفية في حالة تأهب. وقالت لجنة التجارة الفيدرالية الأمريكية في مذكرة تنبيه قبل أسبوعين: “إذا قمت بمسح رمز الاستجابة السريعة وأدخلت بيانات الاعتماد الخاصة بك ، مثل اسم المستخدم وكلمة المرور ، إلى موقع ويب ، قم بتغيير كلمة المرور الخاصة بك على الفور”.
كما أصدرت وكالة الأمن القومي السويسري تحذيرًا حول الممثلين السيئين الذين يرسلون رموز QR المادية عبر البريد إلى عتبة أبوابها لسرقة كلمات المرور ، وهو سرقة معروفة باسم Quishing ، قصيرة للتصيد QR. بالطبع ، لا يمكننا أن نكون مكدس QR Tech حول مثل هذه المخاطر ، باستثناء زيادة الوعي ، ولكن قد يكون لدينا أخيرًا حلًا من الخبراء في جامعة روتشستر.
ما هو الحل؟
التكنولوجيا المعنية هي رمز QR (SDMQR) المزدوج المصمم ذاتيًا. إنه يتوقف عن احتمال حدوث عمليات الاحتيال قبل نقل المستخدمين إلى موقع ويب مزيف أو مستودع ويب احتيالي ، عن طريق وضع علامة على المخاطر بمجرد مسح الكود. ولكن قبل أن ندخل في التفاصيل الفنية ، اسمحوا لي أن أقوم بتفكيك أكبر مزايا هذا المسار الآمن لتكنولوجيا رمز الاستجابة السريعة:
- إنه مصدق ذاتيًا ، مما يعني أن رمز الاستجابة السريعة لديه بالفعل توقيع رقمي تم التحقق منه للكيان الذي يقف خلفه ، والذي يتم التحقق منه في كل مرة تقوم فيها بمسحه على هاتفك.
- بصرف النظر عن نقل المستخدمين إلى مواقع الويب ، يمكن أيضًا استخدامها للمدفوعات وترميز المعلومات الآمنة ، من بين سيناريوهات أخرى ذات صلة.
- يحدث التحقق من رمز الاستجابة السريعة على الجهاز. لا تحتاج إلى اتصال بالإنترنت للتحقق مما إذا كان مشروعًا أو احتياليًا.
- لا يتطلب أي تطبيق متخصص أو تحديث للبرنامج لتطبيقات مسح رمز QR الموجود.
- لا يخلق النظام أي تأخير تشغيلي غير مرغوب فيه أو زمن انتقال.
- يمكن تخصيص رموز QR الآمنة هذه لتناسب متطلبات التصميم ، دون إعاقة ضماناتها.
- لا يحتاج إلى كاميرا هاتف ذكي عالية الدقة للعمل. ستعمل الشخص الموجود في جيبك بشكل جيد في مسح رموز SDMQR.
- يمكن أن تحتوي رموز QR هذه أيضًا على ألوان ، بحيث يمكن للعلامات التجارية الحصول عليها من أجل التعرف على الهوية بشكل أفضل.
- يمكن للآلات الحالية التي تقرأ رموز QR قراءة رموز SDMQR ، مع نظام تحذير في السحب.
أفضل جزء في هذا النهج هو أن المستخدم العادي لن يتعين على أي أطواق تقنية لحماية اهتمامهم. بالنسبة للشركات التي تعتمد على رموز QR وترغب في حماية أعمالها ، يتعين عليهم ببساطة تسجيل عنوان URL لموقع الويب الرسمي وتضمين توقيعهم في الرمز.
تبدو رموز SDQMR مختلفة عن رموز QR التقليدية. بدلاً من بصمة كتلة البكسل السائدة على غرار البكسل ، فإنها تستفيد من القطرات. قدم الفريق وراء Tech Stack براءة اختراع وحصل بالفعل على منحة National Science I-Corps لاستكشاف استبدال الرموز الشريطية التقليدية مع رموز SDMQR.
بعد خطوة إلى الأمام ، يستكشف الفريق أيضًا ما إذا كان استخدام الألوان يمكن أن يجعل هذه الرموز أكثر تنوعًا. مع براعة ، فهي تعني استخدام رمز الاستجابة السريعة نفسها لتوجيه المستخدمين في ثلاثة اتجاهات مختلفة ، أو وجهات ويب.
ما هو خط أنابيب التكنولوجيا؟
تقول ورقة البحث المنشورة في مجلة IEEE Security & Privacy Journal: “توفر رموز SDMQR حماية استباقية للواجهة الأمامية ضد الإقالة قبل الوصول إلى الرابط”. كما ذكر أعلاه ، نحن نتحدث ببساطة عن التعديل التحديثي ، وليس إطارًا من شأنه أن يحول النظام الإيكولوجي لـ QR بالكامل رأسًا على عقب.
تعتمد العملية برمتها على مكونين. رسالة أساسية (مثل عنوان URL للعمل) وتوقيع التشفير المقابل لتلك الرسالة. يتم إنشاء توقيع التشفير هذا ويمتلكه شركة في حوزة مفتاح خاص رقمي. يقوم تشفير DMQR بتضمين الرسائل الأساسية والثانوية في رمز SDMQR.
إذا نظرت إلى الكود ، ستلاحظ أنماطًا بيضاوية بالأبيض والأسود. وفقًا للباحثين ، تخفي أنماط التباين الرسالة الأساسية ، بينما تحمل بيانات التوجيه الرسالة الثانوية.
بمجرد أن يتم مسح الرمز على الهاتف ، يقوم وحدة فك ترميز DMQR بتفكيك الرسائل الأساسية والثانوية للتحقق. في هذه المرحلة ، يقوم المفتاح العام للعمل (الذي أنشأ الرمز) بالتحقق الخوارزمي للتحقق مما إذا كانت الرسالة الثانوية التشفير تتطابق مع محتويات الرسالة الأولية غير المشفرة.
فكر في الأمر باعتباره مصافحة سرية على مرحلتين بين وكلاء التجسس.
التحدي الأكبر ليس هو المكدس التكنولوجي ، ولكن إنشاء نظام مركزي حيث يمكن لجميع الشركات أن يجتمعوا وأداء التسجيل اللازم لإنشاء رموز SDMQR فريدة من نوعها. والفكرة هي إنشاء مفتاح عام لهذه الكيانات المشروعة ، وهو أيضًا الشيء الوحيد الذي يتطلبه قارئ رمز SDMQR.
هذا هو المكان الذي يمكن أن يساعد فيه صانعو أنظمة تشغيل الهواتف الذكية – ويعرف أيضًا باسم Google و Apple – في إنشاء مستقبل أكثر أمانًا. تعني مشاركتهم كمواقف مركزية أن الهاتف الذكي أو الجهاز اللوحي لن يتطلب فقط مفتاحيها العامين لمصادقة رموز SDMQR بسرعة.
نظرًا لأنها توفر أطراف مسح رمز الاستجابة السريعة المدمجة لنظام التشغيل iOS و Android ، فإن استخدامها كموقيع مركزي هو أفضل طريقة للمضي قدمًا. على المستوى الفني ، ستخفف مشاركتهم من عملية التحقق بشكل كبير حيث أن قراء كود SDMQR سيحتاجون فقط إلى تخزين مفتاحين عامين فقط وإنجاز المهمة.
هناك بالتأكيد بعض سابقة لذلك. تتيح Google للشركات التسجيل للحصول على شارة وأيقونة تم التحقق منها في Gmail ، بحيث لا يسقط المستخدمون لرسائل البريد الإلكتروني المحاكاة العنقودية المحاكاة التي تحاول الانتقال كرسالة مشروعة.
لماذا هذا النهج مهم؟
ظهرت عدد قليل من المقترحات الفنية الصحية في السنوات القليلة الماضية لإصلاح مشكلة عمليات الاحتيال في رمز الاستجابة السريعة ، لكنهم وصلوا جميعًا بنصيبهم العادل من القيود. يحل نظام SDMQR بعض العقبات الأساسية القليلة لتخفيف التبني دون أي متاعب تقنية.
يتطلب الأمر نهجًا شفافًا في المصادقة الذاتية ولا يتطلب أي تحديث للبرنامج لتطبيقات قارئ رمز الاستجابة السريعة المثبتة على هاتف الشخص. سيعملون بشكل جيد مع QR العادية ورموز SDMQR الأكثر أمانًا.
بخلاف ذلك ، فإن المطورين أو صانعي نظام التشغيل لنشر تحديث متزامن على مستوى النظام الإيكولوجي لن يمثل تحديًا هائلاً فحسب ، بل يستغرق وقتًا رائعًا. مزيد من تعزيز الراحة للمجتمعين هو نظام التوقيع المركزي الفردي ، والذي يتطلب مفتاحًا واحدًا فقط للتحقق. وأفضل جزء هو أن مستخدمي الهواتف الذكية لن يحتاجوا حتى إلى اتصال بالإنترنت لبروتوكولات التحقق للقفز إلى العمل.
الجهود السابقة لبناء أنظمة كود QR آمنة تضع إيمانها بمفاتيح التشفير لمولدات رمز الاستجابة السريعة من أجل مصادقة الهوية. تضمنت بعض الأفكار الأخرى أزواج المفاتيح الفردية بين القطاعين العام والخاص ، مما يعني أنه من المتوقع أن يحمل الجهاز المحمول للمستخدم (أو تم حفظه محليًا) المفاتيح العامة لجميع الأطراف التي اشتركت لإنشاء رموز آمنة للمصادقة والتحقق من الهوية.
يقول الفريق في ورقة البحث: “باستخدام بروتوكولنا المقترح ، يمكن للأجهزة المحمولة تحديد ما إذا كانت المعلومات تعتبر أصيلة من قبل التوقيع ، مباشرة على الجهاز المحمول نفسه”.
ميزة أخرى هي أنه يمكن أيضًا تطبيق التقنية المتأصلة في التمثيل المزدوج على الرموز الشريطية ، مما يعني حتى الرموز التي يتم استخدامها لممرات الصعود إلى شركات الطيران ويمكن أن تستفيد Courier Pcackage من الإطار.
أكبر المستفيد من رموز SDMQR هو المؤسسات المصرفية. يجادل الباحثون بأن نشرهم في أنظمة دفع وقوف السيارات يمكن أن يحمي المستخدمين بشكل موثوق من استهدافهم من خلال هجمات التصيد القائمة على QR وكذلك الخسائر المالية.
ينطبق الجانب الأخير أيضًا على جميع السيناريوهات حيث غالبًا ما يصادف الناس رموز QR ملصق في الأماكن العامة. يتضمن ذلك الوصول إلى Wi-Fi ، وفتح قائمة المطعم ، ونقل موقع العمل ، من بين أمور أخرى. يمثل Wi-Fi Jacking تهديدًا معروفًا يتصاعد بسرعة إلى فوضى مطلقة للمستخدم العادي ، وبالتالي فإن أي حل لتوصيل هذا الضعف يجب أن يجد اعتمادًا جماعيًا.
الكرة الآن في الفناء الخلفي من Google و Apple. أنها توفر بالفعل صلصة البرمجيات على مستوى OS لفك تشفير الرموز QR و BAR. كل ما يحتاجون إليه هو فحص وتنفيذ الدعم لإطار SDMQR الجديد ، وحراسة مصالح مستخدمي الهواتف الذكية في جميع أنحاء العالم.