Quishing: QR Code Phishing

Quishing to wykorzystywanie fałszywych kodów QR w celu umieszczenia na urządzeniu złośliwego oprogramowania i uzyskania dostępu do danych osobowych.

Poznaj zagrożenia związane z phishingiem QR (Quishing): Naucz się je identyfikować i im zapobiegać, zapewniając sobie cyfrowe bezpieczeństwo i prywatność.

Free Antywirus

Co to jest quishing?

QR phishing, znany również jako „quishing”, to cyberprzestępstwo wykorzystujące popularność kodów QR. W tym oszustwie cyberprzestępcy tworzą złośliwe kody QR, które po zeskanowaniu prowadzą do fałszywych stron internetowych lub powodują pobieranie szkodliwego oprogramowania. Ludzie coraz częściej używają kodów QR do różnych celów, takich jak dostęp do menu czy dokonywanie płatności, co sprawia, że mogą nieświadomie zeskanować te zwodnicze kody, narażając swoje dane osobowe.

To zachowanie zostało uwidocznione podczas Super Bowl 2022, kiedy innowacyjna reklama kodu QR Coinbase doprowadziła do znacznego wzrostu liczby pobrań aplikacji. Wzbudziło to jednak obawy w społeczności zajmującej się cyberbezpieczeństwem, szczególnie w kontekście ostatnich oszustw z użyciem Crypto QR, gdzie oszuści wykorzystywali kody QR, aby nakłonić ofiary do wycofania pieniędzy z ich kont.

Termin „quishing” łączy kody QR i phishing, wskazując metodę, w której złośliwi aktorzy tworzą fałszywe kody QR, by przekierować użytkowników na podrobione strony, kradnąc informacje lub instalując malware na ich urządzeniach. Celem jest oszukać ludzi, by wierzyli, że mają do czynienia z nieszkodliwym lub niezbędnym kodem QR, podczas gdy prawdziwym zamiarem jest uzyskanie dostępu i kradzież danych osobowych i finansowych.

Co to jest kod QR?

Kody QR, czyli kody szybkiej odpowiedzi, to dwuwymiarowe kody kreskowe, które mogą przechowywać dużą ilość danych i być szybko odczytywane przez smartfony lub skanery kodów kreskowych. Pierwotnie wynalezione przez japońskiego producenta samochodów w 1994 roku, aby poprawić efektywność produkcji, w ostatnich latach zyskały na popularności.

Stały się szczególnie popularne podczas pandemii jako sposób na utrzymanie ciągłości działania biznesów przy jednoczesnym zachowaniu zasad dystansu społecznego. W rezultacie konsumenci coraz bardziej przyzwyczajają się do skanowania kodów QR, a badania przewidują, że do 2025 roku ponad 100 milionów użytkowników w USA będzie używać swoich telefonów do skanowania kodów QR.

Wszechstronność kodów QR, które można skanować zarówno z ekranów, jak i papieru, doprowadziła do ich powszechnego przyjęcia w różnych branżach, w tym w przetwarzaniu płatności, marketingu i reklamie. Dziś kody QR są powszechnie spotykane w przestrzeniach publicznych, takich jak billboardy i restauracje, a także w komunikacji cyfrowej, takiej jak wiadomości tekstowe, media społecznościowe i e-maile.

Statyczne vs dynamiczne kody QR

Kody QR można podzielić na dwa główne typy na podstawie elastyczności danych: statyczne i dynamiczne.

Statyczne kody QR są stałe i nie można ich zmienić po utworzeniu. Są często używane do udostępniania statycznych informacji, takich jak adres URL strony, dane kontaktowe lub hasło do Wi-Fi.

Dynamiczne kody QR, w przeciwieństwie do statycznych, są bardziej elastyczne, ponieważ zakodowane w nich informacje mogą być aktualizowane lub zmieniane bez zmiany wyglądu kodu. Zawierają unikalny adres URL, który kieruje użytkowników na serwer, gdzie przechowywane są informacje. Ta elastyczność sprawia, że są idealne w sytuacjach, gdzie treść trzeba często aktualizować, jak informacje o wydarzeniach, oferty promocyjne czy śledzenie zapasów w czasie rzeczywistym. Jednak ta sama elastyczność stanowi również ryzyko bezpieczeństwa, gdyż oszuści mogą wykorzystać dynamiczne kody QR, zmieniając ich źródło, aby przekierować użytkowników na złośliwe strony.

Czym jest phishing?

Phishing to powszechnie stosowana przez cyberprzestępców metoda uzyskiwania dostępu do cennych danych poprzez ataki socjotechniczne, głównie za pośrednictwem wiadomości e-mail. Typowa wiadomość ph ishingowa zawiera link lub załącznik, zachęcający użytkownika do kliknięcia lub pobrania go w celu kradzieży poufnych informacji, takich jak dane finansowe lub dane logowania do firmy.

Ponieważ jednak atakujący nieustannie poszukują skuteczniejszych technik, pojawiły się nowe taktyki phishingowe, w tym vishing (phishing głosowy), smishing (SMS phishing) i quishing (QR phishing). Te odmiany wykorzystują różne kanały komunikacji do przeprowadzania podobnych zwodniczych praktyk, przy czym quishing w szczególności wykorzystuje popularność i wygodę kodów QR, aby nakłonić użytkowników do ujawnienia swoich danych osobowych.

Jak działa quishing?

Quishing to rodzaj ataku phishingowego, który wykorzystuje kody QR w celu nakłonienia użytkowników do odwiedzenia szkodliwych stron internetowych lub pobrania plików zawierających złośliwe oprogramowanie. Kody QR mogą zawierać różne źródła, takie jak linki, dokumenty i portale płatnicze, co czyni je wszechstronnym narzędziem dla cyberprzestępców. Kody te można zmanipulować tak, aby zawierały złośliwe linki, dokumenty zawierające wirusy lub fałszywe portale płatnicze. Ponieważ zawartość kodu QR nie jest widoczna, gdy jest wyświetlana jako obraz, stanowi on idealny sposób dla oszustów na ominięcie środków bezpieczeństwa poprzez osadzenie ich w wiadomościach e-mail.

Atak typu quishing zazwyczaj rozpoczyna się od stworzenia przez cyberprzestępcę kodów QR, które przekierowują do fałszywej strony logowania w celu zebrania danych uwierzytelniających ofiary lub do witryny, która automatycznie pobiera złośliwe oprogramowanie po zeskanowaniu. Te złośliwe kody QR mogą być umieszczane w wiadomościach e-mail jako obrazy lub załączniki, lub mogą być umieszczane w miejscach publicznych, gdzie ludzie mogą je skanować. Po zeskanowaniu kodu QR ofiary mogą zostać poproszone o wprowadzenie poufnych informacji, takich jak dane logowania lub informacje bankowe, lub mogą nieświadomie pobrać szkodliwe oprogramowanie lub aplikacje. W niektórych przypadkach pobranie złośliwej zawartości może nastąpić automatycznie zaraz po zeskanowaniu kodu, jeszcze bardziej narażając urządzenie ofiary.

Zrozumienie QRLJacking: Studium przypadku quishingu

QRLJacking to wyrafinowana forma quishingu, której celem są w szczególności systemy Quick Response Login (QRL). QRL to przyjazna dla użytkownika metoda uwierzytelniania, która umożliwia użytkownikom logowanie się do stron internetowych, aplikacji lub usług cyfrowych poprzez zeskanowanie kodu QR za pomocą smartfona. Metoda ta eliminuje potrzebę zapamiętywania skomplikowanych haseł, oferując wygodną alternatywę dla użytkowników.

Jednak ta wygoda wprowadza również lukę, którą cyberprzestępcy nauczyli się wykorzystywać. W ataku QRLJacking hakerzy inicjują sesję na docelowej stronie internetowej lub aplikacji i klonują legalny kod QR. Następnie manipulują sklonowanym kodem, przekierowując go na własny serwer i osadzają go na fałszywej stronie logowania, która naśladuje oryginał. Złośliwy kod QR jest dystrybuowany za pośrednictwem wiadomości e-mail lub innych kanałów, nakłaniając użytkowników do zeskanowania go w celu zalogowania się.

Niebezpieczeństwo QRLJacking staje się widoczne, gdy uwierzytelnianie wieloskładnikowe nie jest aktywowane. Gdy tylko ofiara zeskanuje zmanipulowany kod QR, atakujący uzyskuje natychmiastowy dostęp do konta ofiary. Znamienny przykład tego ataku miał miejsce w ING Bank, którego aplikacja umożliwiała klientom logowanie się do drugiego urządzenia poprzez zeskanowanie kodu QR. Cyberprzestępcy wykorzystali tę funkcję, manipulując legalnymi kodami QR w aplikacji. Nieświadomi użytkownicy, którzy padli ofiarą oszustwa, odkryli, że z ich kont zniknęły znaczne kwoty pieniędzy.

Jak wykryć atak quishing?

Wykrycie ataku typu quishing może być trudne ze względu na nieodłączny charakter kodów QR, które ukrywają swoją zawartość do momentu zeskanowania. W przeciwieństwie do tradycyjnych ataków phishingowych, wiadomości quishingowe zawierają kody QR jako zwykłe obrazy lub w załącznikach z niepodejrzanymi rozszerzeniami, co pozwala im ominąć wykrywacze złośliwego oprogramowania i filtry wiadomości e-mail. Oznacza to, że mogą uniknąć wykrycia i nie zostać przeniesione do folderu spamu, pozostawiając osoby podatne na taktyki inżynierii społecznej.

Urok kodów QR dla oszustów polega na ich zdolności do wzbudzania ciekawości i wykorzystywania emocji, takich jak strach i pilność. Te emocjonalne bodźce mogą prowadzić niczego niepodejrzewające ofiary do skanowania złośliwych kodów QR przeznaczonych do oszukańczych działań, takich jak płacenie fałszywych rachunków lub grzywien. Wygoda i szybkość kodów QR są wykorzystywane do ułatwienia tych oszustw.

Aby uchronić się przed oszustwami związanymi z kodami QR, należy zachować czujność i zwracać uwagę na pewne oznaki przed zeskanowaniem kodu QR:

  • Niespodziewane lub niechciane kody QR: Zachowaj ostrożność w przypadku kodów QR pojawiających się w niechcianych e-mailach lub wiadomościach, zwłaszcza jeśli zachęcają one do podjęcia natychmiastowych działań.
  • Brak kontekstu lub wyjaśnienia: Legalnym kodom QR zwykle towarzyszą jasne wyjaśnienia ich przeznaczenia. Należy uważać na kody, którym brakuje kontekstu lub wiarygodnego źródła.
  • Podejrzany nadawca: Sprawdź adres e-mail lub dane kontaktowe nadawcy pod kątem jakichkolwiek oznak nielegalności, takich jak błędy ortograficzne lub nietypowe nazwy domen.
  • Pilność lub presja: Oszuści często stwarzają poczucie pilności, aby zachęcić do szybkiego działania. Bądź sceptyczny wobec wiadomości, które naciskają na natychmiastowe zeskanowanie kodu QR.
  • Zweryfikuj źródło: Jeśli to możliwe, zweryfikuj legalność kodu QR, kontaktując się z domniemanym nadawcą za pośrednictwem oficjalnych kanałów.
  • Używaj bezpiecznego skanera kodów QR: Niektóre aplikacje do skanowania kodów QR oferują funkcje bezpieczeństwa, które sprawdzają bezpieczeństwo łącza przed jego otwarciem. Rozważ użycie takiej aplikacji, aby dodać dodatkową warstwę ochrony.

Będąc świadomym tych znaków i zachowując ostrożność, możesz zmniejszyć ryzyko padnięcia ofiarą ataku quishingowego i chronić swoje poufne informacje przed naruszeniem.

Jak się chronić przed quishingiem?

Aby zabezpieczyć się przed atakami phishingowymi, ważne jest, aby połączyć ogólne strategie zapobiegania phishingowi ze środkami specjalnie dostosowanymi do unikalnych wyzwań związanych z kodami QR:

  1. Zweryfikuj źródło QR: Zachowaj ostrożność podczas skanowania kodów QR, szczególnie tych pochodzących z nieznanych źródeł lub obiecujących oferty zbyt dobre, by mogły być prawdziwe. Jeśli kod pochodzi z pozornie oficjalnego źródła, od znajomego lub współpracownika, zweryfikuj jego autentyczność bezpośrednio z nim lub odwiedź jego oficjalną stronę internetową.
  2. Używaj niezawodnego czytnika kodów QR: Podczas gdy większość smartfonów ma wbudowane funkcje skanowania QR, jeśli zdecydujesz się na aplikację innej firmy, upewnij się, że jest ona renomowana. Uważaj na fałszywe aktualizacje aplikacji do skanowania QR, ponieważ w przeszłości były one znane z dystrybucji złośliwego oprogramowania.
  3. Podgląd docelowego adresu URL: Jeśli aplikacja skanująca na to pozwala, wyświetl podgląd linku, do którego kieruje kod QR, zanim uzyskasz do niego dostęp. Ten środek ostrożności pomaga chronić przed kodami QR, które automatycznie pobierają złośliwe oprogramowanie podczas skanowania.
  4. Zachowaj ostrożność przy podawaniu danych osobowych: Po zeskanowaniu kodu QR należy zachować czujność, gdy pojawi się monit o podanie danych osobowych na połączonej stronie. Dokładnie sprawdź logo i pełny adres URL witryny, a jeśli to możliwe, ręcznie wpisz oryginalny adres URL w przeglądarce zamiast korzystać z linku dostarczonego przez kod QR.
  5. Włącz uwierzytelnianie dwuskładnikowe: Dodanie tej dodatkowej warstwy zabezpieczeń może zapobiec nieautoryzowanemu dostępowi do kont, nawet jeśli cyberprzestępca uzyska Twoje dane uwierzytelniające. Zachowaj ostrożność przy akceptowaniu powiadomień uwierzytelniających na telefonie, chyba że zainicjowałeś próbę uzyskania dostępu do konta.
  6. Bądź na bieżąco dzięki szkoleniom z zakresu świadomości bezpieczeństwa: Regularne aktualizowanie wiedzy na temat taktyk cyberprzestępców i sposobów reagowania na potencjalne ataki może pozwolić ci wyprzedzić zagrożenia.

Postępując zgodnie z tymi zaleceniami, można wzmocnić obronę przed atakami typu quishing i chronić poufne informacje przed dostaniem się w niepowołane ręce.

Co to jest kod QR?

Czym jest phishing?

Czym jest inżynieria społeczna?

Czym jest cyfrowy ślad?

Czym jest spear phishing?

Co to jest catfishing?

Czym są wiadomości phishingowe?

FAQs

Dlaczego kody QR są ryzykowne?

Kody QR mogą być wykorzystywane przez cyberprzestępców do złośliwych działań, takich jak osadzanie złośliwego oprogramowania w kodach. Po zeskanowaniu te zainfekowane kody QR mogą zainfekować urządzenia różnymi rodzajami złośliwego oprogramowania, w tym wirusami, robakami, trojanami, oprogramowaniem szpiegującym i reklamowym, co może prowadzić do kradzieży danych osobowych, nieautoryzowanego dostępu do poufnych danych lub ataków phishingowych.