Quishing: QR Code Phishing

Quishing to wykorzystywanie fałszywych kodów QR w celu umieszczenia na urządzeniu złośliwego oprogramowania i uzyskania dostępu do danych osobowych.

Poznaj zagrożenia związane z phishingiem QR (Quishing): Naucz się je identyfikować i im zapobiegać, zapewniając sobie cyfrowe bezpieczeństwo i prywatność.

Free Antywirus

Czym jest quishing?

QR phishing, znany również jako "quishing", to cyberprzestępstwo wykorzystujące popularność kodów QR. W tym oszustwie cyberprzestępcy tworzą złośliwe kody QR, które po zeskanowaniu prowadzą do fałszywych stron internetowych lub zachęcają do pobrania szkodliwego oprogramowania. Ponieważ ludzie coraz częściej używają kodów QR do różnych celów, takich jak dostęp do menu lub dokonywanie płatności, mogą nieświadomie skanować te zwodnicze kody, narażając swoje dane osobowe na ryzyko.

Zachowanie to zostało podkreślone podczas Super Bowl 2022, kiedy to innowacyjna reklama Coinbase z kodem QR doprowadziła do znacznego wzrostu liczby pobrań aplikacji. Wzbudziło to jednak również obawy w społeczności cyberbezpieczeństwa, zwłaszcza w świetle niedawnych oszustw Crypto QR, w których oszuści wykorzystywali kody QR do manipulowania ofiarami w celu wypłacenia pieniędzy z ich kont.

Termin "quishing" łączy w sobie kody QR i phishing, wskazując na metodę, w której złośliwi aktorzy tworzą fałszywe kody QR, aby kierować użytkowników do fałszywych witryn, kraść informacje lub instalować złośliwe oprogramowanie na ich urządzeniach. Celem jest oszukanie osób, aby uwierzyły, że wchodzą w interakcję z nieszkodliwym lub niezbędnym kodem QR, podczas gdy prawdziwym zamiarem jest uzyskanie dostępu i kradzież danych osobowych i finansowych.

Co to jest kod QR?

Kody QR, czyli kody szybkiej odpowiedzi, to dwuwymiarowe kody kreskowe, które mogą przechowywać dużą ilość danych i być szybko odczytywane przez smartfony lub skanery kodów kreskowych. Kody QR, pierwotnie wynalezione przez japońskiego producenta samochodów w 1994 roku w celu poprawy wydajności produkcji, w ostatnich latach zyskały na popularności.

Stały się one szczególnie popularne podczas pandemii jako sposób na utrzymanie ciągłości biznesowej przy jednoczesnym przestrzeganiu zasad dystansu społecznego. W rezultacie konsumenci przyzwyczaili się do skanowania kodów QR, a badania przewidują, że do 2025 r. ponad 100 milionów użytkowników w USA będzie używać swoich telefonów do skanowania kodów QR.

Wszechstronność kodów QR, które można skanować zarówno z ekranów, jak i papieru, doprowadziła do ich powszechnego zastosowania w różnych branżach, w tym w przetwarzaniu płatności, marketingu i reklamie. Obecnie kody QR są powszechnie spotykane w miejscach publicznych, takich jak billboardy i restauracje, a także w komunikacji cyfrowej, takiej jak wiadomości tekstowe, media społecznościowe i e-maile.

Statyczne a dynamiczne kody QR

Kody QR można podzielić na dwa główne typy w oparciu o ich elastyczność danych: statyczne i dynamiczne.

Statyczne kody QR są stałe i nie mogą być zmieniane po ich utworzeniu. Są one powszechnie używane do udostępniania statycznych informacji, takich jak adres URL strony internetowej, dane kontaktowe lub hasło Wi-Fi.

Dynamiczne kody QR są natomiast bardziej elastyczne, ponieważ zakodowane w nich informacje mogą być aktualizowane lub zmieniane bez zmiany wyglądu kodu. Zawierają one unikalny adres URL, który kieruje użytkowników do serwera, na którym przechowywane są informacje. Ta zdolność adaptacji sprawia, że są one idealne w sytuacjach, w których treść wymaga częstych aktualizacji, takich jak informacje o wydarzeniach, oferty promocyjne lub śledzenie zapasów w czasie rzeczywistym. Jednak ta sama elastyczność stwarza również zagrożenie dla bezpieczeństwa, ponieważ oszuści mogą wykorzystywać dynamiczne kody QR, zmieniając ich źródło w celu przekierowania użytkowników do złośliwych witryn.

Czym jest phishing?

Phishing to powszechnie stosowana przez cyberprzestępców metoda uzyskiwania dostępu do cennych danych poprzez ataki socjotechniczne, głównie za pośrednictwem wiadomości e-mail. Typowa wiadomość ph ishingowa zawiera link lub załącznik, zachęcający użytkownika do kliknięcia lub pobrania go w celu kradzieży poufnych informacji, takich jak dane finansowe lub dane logowania do firmy.

Ponieważ jednak atakujący nieustannie poszukują skuteczniejszych technik, pojawiły się nowe taktyki phishingowe, w tym vishing (phishing głosowy), smishing (phishing SMS) i quishing (phishing QR). Te odmiany wykorzystują różne kanały komunikacji do przeprowadzania podobnych oszukańczych praktyk, przy czym quishing w szczególności wykorzystuje popularność i wygodę kodów QR, aby nakłonić użytkowników do ujawnienia swoich danych osobowych.

Jak działa quishing?

Quishing to rodzaj ataku phishingowego, który wykorzystuje kody QR w celu nakłonienia użytkowników do odwiedzenia szkodliwych stron internetowych lub pobrania plików zawierających złośliwe oprogramowanie. Kody QR mogą zawierać różne źródła, takie jak linki, dokumenty i portale płatnicze, co czyni je wszechstronnym narzędziem dla cyberprzestępców. Kody te można zmanipulować tak, aby zawierały złośliwe linki, dokumenty zawierające wirusy lub fałszywe portale płatnicze. Ponieważ zawartość kodu QR nie jest widoczna, gdy jest wyświetlana jako obraz, stanowi on idealny sposób dla oszustów na ominięcie środków bezpieczeństwa poprzez osadzenie ich w wiadomościach e-mail.

Atak typu quishing zazwyczaj rozpoczyna się od stworzenia przez cyberprzestępcę kodów QR, które przekierowują do fałszywej strony logowania w celu zebrania danych uwierzytelniających ofiary lub do witryny, która automatycznie pobiera złośliwe oprogramowanie po zeskanowaniu. Te złośliwe kody QR mogą być umieszczane w wiadomościach e-mail jako obrazy lub załączniki, lub mogą być umieszczane w miejscach publicznych, gdzie ludzie mogą je skanować. Po zeskanowaniu kodu QR ofiary mogą zostać poproszone o wprowadzenie poufnych informacji, takich jak dane logowania lub informacje bankowe, lub mogą nieświadomie pobrać szkodliwe oprogramowanie lub aplikacje. W niektórych przypadkach pobranie złośliwej zawartości może nastąpić automatycznie zaraz po zeskanowaniu kodu, jeszcze bardziej narażając urządzenie ofiary.

Zrozumieć QRLJacking: Studium przypadku quishingu

QRLJacking to wyrafinowana forma quishingu, której celem są w szczególności systemy Quick Response Login (QRL). QRL to przyjazna dla użytkownika metoda uwierzytelniania, która umożliwia użytkownikom logowanie się do stron internetowych, aplikacji lub usług cyfrowych poprzez zeskanowanie kodu QR za pomocą smartfona. Metoda ta eliminuje potrzebę zapamiętywania skomplikowanych haseł, oferując wygodną alternatywę dla użytkowników.

Jednak ta wygoda wprowadza również lukę, którą cyberprzestępcy nauczyli się wykorzystywać. W ataku QRLJacking hakerzy inicjują sesję na docelowej stronie internetowej lub aplikacji i klonują legalny kod QR. Następnie manipulują sklonowanym kodem, przekierowując go na własny serwer i osadzają go na fałszywej stronie logowania, która naśladuje oryginał. Złośliwy kod QR jest dystrybuowany za pośrednictwem wiadomości e-mail lub innych kanałów, nakłaniając użytkowników do zeskanowania go w celu zalogowania się.

Niebezpieczeństwo QRLJacking staje się widoczne, gdy uwierzytelnianie wieloskładnikowe nie jest aktywowane. Gdy tylko ofiara zeskanuje zmanipulowany kod QR, atakujący uzyskuje natychmiastowy dostęp do konta ofiary. Znamienny przykład tego ataku miał miejsce w ING Bank, którego aplikacja umożliwiała klientom logowanie się do drugiego urządzenia poprzez zeskanowanie kodu QR. Cyberprzestępcy wykorzystali tę funkcję, manipulując legalnymi kodami QR w aplikacji. Nieświadomi użytkownicy, którzy padli ofiarą oszustwa, odkryli, że z ich kont zniknęły znaczne kwoty pieniędzy.

Jak wykryć atak typu quishing?

Wykrycie ataku typu quishing może być trudne ze względu na nieodłączny charakter kodów QR, które ukrywają swoją zawartość do momentu zeskanowania. W przeciwieństwie do tradycyjnych ataków phishingowych, wiadomości quishingowe zawierają kody QR jako zwykłe obrazy lub w załącznikach z niepodejrzanymi rozszerzeniami, co pozwala im ominąć wykrywacze złośliwego oprogramowania i filtry wiadomości e-mail. Oznacza to, że mogą uniknąć wykrycia i nie zostać przeniesione do folderu spamu, pozostawiając osoby podatne na taktyki inżynierii społecznej.

Urok kodów QR dla oszustów polega na ich zdolności do wzbudzania ciekawości i wykorzystywania emocji, takich jak strach i pilność. Te emocjonalne bodźce mogą prowadzić niczego niepodejrzewające ofiary do skanowania złośliwych kodów QR przeznaczonych do oszukańczych działań, takich jak płacenie fałszywych rachunków lub grzywien. Wygoda i szybkość kodów QR są wykorzystywane do ułatwienia tych oszustw.

Aby uchronić się przed oszustwami związanymi z kodami QR, należy zachować czujność i zwracać uwagę na pewne oznaki przed zeskanowaniem kodu QR:

  • Niespodziewane lub niechciane kody QR: Zachowaj ostrożność w przypadku kodów QR pojawiających się w niechcianych e-mailach lub wiadomościach, zwłaszcza jeśli zachęcają one do podjęcia natychmiastowych działań.
  • Brak kontekstu lub wyjaśnienia: Legalnym kodom QR zwykle towarzyszą jasne wyjaśnienia ich przeznaczenia. Należy uważać na kody, którym brakuje kontekstu lub wiarygodnego źródła.
  • Podejrzany nadawca: Sprawdź adres e-mail lub dane kontaktowe nadawcy pod kątem jakichkolwiek oznak nielegalności, takich jak błędy ortograficzne lub nietypowe nazwy domen.
  • Pilność lub presja: Oszuści często stwarzają poczucie pilności, aby zachęcić do szybkiego działania. Bądź sceptyczny wobec wiadomości, które naciskają na natychmiastowe zeskanowanie kodu QR.
  • Zweryfikuj źródło: Jeśli to możliwe, zweryfikuj legalność kodu QR, kontaktując się z domniemanym nadawcą za pośrednictwem oficjalnych kanałów.
  • Używaj bezpiecznego skanera kodów QR: Niektóre aplikacje do skanowania kodów QR oferują funkcje bezpieczeństwa, które sprawdzają bezpieczeństwo łącza przed jego otwarciem. Rozważ użycie takiej aplikacji, aby dodać dodatkową warstwę ochrony.

Będąc świadomym tych znaków i zachowując ostrożność, możesz zmniejszyć ryzyko padnięcia ofiarą ataku quishingowego i chronić swoje poufne informacje przed naruszeniem.

Oto jak można chronić się przed quishingiem

Aby zabezpieczyć się przed atakami phishingowymi, ważne jest, aby połączyć ogólne strategie zapobiegania phishingowi ze środkami specjalnie dostosowanymi do unikalnych wyzwań związanych z kodami QR:

  1. Zweryfikuj źródło QR: Zachowaj ostrożność podczas skanowania kodów QR, szczególnie tych pochodzących z nieznanych źródeł lub obiecujących oferty zbyt dobre, by mogły być prawdziwe. Jeśli kod pochodzi z pozornie oficjalnego źródła, od znajomego lub współpracownika, zweryfikuj jego autentyczność bezpośrednio z nim lub odwiedź jego oficjalną stronę internetową.
  2. Używaj niezawodnego czytnika kodów QR: Podczas gdy większość smartfonów ma wbudowane funkcje skanowania QR, jeśli zdecydujesz się na aplikację innej firmy, upewnij się, że jest ona renomowana. Uważaj na fałszywe aktualizacje aplikacji do skanowania QR, ponieważ w przeszłości były one znane z dystrybucji złośliwego oprogramowania.
  3. Podgląd docelowego adresu URL: Jeśli aplikacja skanująca na to pozwala, wyświetl podgląd linku, do którego kieruje kod QR, zanim uzyskasz do niego dostęp. Ten środek ostrożności pomaga chronić przed kodami QR, które automatycznie pobierają złośliwe oprogramowanie podczas skanowania.
  4. Zachowaj ostrożność przy podawaniu danych osobowych: Po zeskanowaniu kodu QR należy zachować czujność, gdy pojawi się monit o podanie danych osobowych na połączonej stronie. Dokładnie sprawdź logo i pełny adres URL witryny, a jeśli to możliwe, ręcznie wpisz oryginalny adres URL w przeglądarce zamiast korzystać z linku dostarczonego przez kod QR.
  5. Włącz uwierzytelnianie dwuskładnikowe: Dodanie tej dodatkowej warstwy zabezpieczeń może zapobiec nieautoryzowanemu dostępowi do kont, nawet jeśli cyberprzestępca uzyska Twoje dane uwierzytelniające. Zachowaj ostrożność przy akceptowaniu powiadomień uwierzytelniających na telefonie, chyba że zainicjowałeś próbę uzyskania dostępu do konta.
  6. Bądź na bieżąco dzięki szkoleniom z zakresu świadomości bezpieczeństwa: Regularne aktualizowanie wiedzy na temat taktyk cyberprzestępców i sposobów reagowania na potencjalne ataki może pozwolić ci wyprzedzić zagrożenia.

Postępując zgodnie z tymi zaleceniami, można wzmocnić obronę przed atakami typu quishing i chronić poufne informacje przed dostaniem się w niepowołane ręce.

Co to jest kod QR?

Czym jest phishing?

Czym jest inżynieria społeczna?

Czym jest cyfrowy ślad?

Czym jest spear phishing?

Czym jest catfishing?

Czym są wiadomości phishingowe?

Najczęściej zadawane pytania

Kody QR mogą być wykorzystywane przez cyberprzestępców do złośliwych działań, takich jak osadzanie złośliwego oprogramowania w kodach. Po zeskanowaniu te zainfekowane kody QR mogą zainfekować urządzenia różnymi rodzajami złośliwego oprogramowania, w tym wirusami, robakami, trojanami, oprogramowaniem szpiegującym i reklamowym, co może prowadzić do kradzieży danych osobowych, nieautoryzowanego dostępu do poufnych danych lub ataków phishingowych.