Czym jest QR Phishing? Jak wykrywać i zapobiegać oszustwom związanym z kodami QR

Quishinglub kod QR phishingjest najnowszym z długiej linii zagrożeń cyberbezpieczeństwa. Choć brzmi to absurdalnie, warto być tego świadomym, ponieważ może to zapobiec utracie pieniędzy, czasu i reputacji firmy.

Kody QR są wszędzie: w menu, na plakatach ulicznych, w aplikacjach i na stronach internetowych firm. Są one popularne, ponieważ użytkownicy mogą użyć aparatu do zeskanowania kodu QR jak linku internetowego, aby przejść do strony internetowej. 

Jeśli coś jest łatwe dla użytkowników, jest również łatwe do wykorzystania przez cyberprzestępców. Te złośliwe strony wykorzystują kody QR, aby przekierować użytkowników na inną stronę internetową niż ta, do której się udają, otwierając ich dane osobowe przed hakerami. 

Ten artykuł wyjaśnia, w jaki sposób cyberprzestępcy wykorzystują kody QR do przeprowadzania ataków phishingowych. Obejmie on typowe taktyki, przykłady z prawdziwego świata, strategie zapobiegania i najlepsze praktyki w zakresie cyberbezpieczeństwa.

Czym jest QR Phishing (Quishing)?

QR phishing (Quishing) ma miejsce, gdy hakerzy używają kodów QR do przekierowywania użytkowników do złośliwych lub oszukańczych witryn zamiast do witryny, do której użytkownik myśli, że przechodzi po zeskanowaniu kodu. Witryny, na które użytkownik zostaje przekierowany, są witrynami, których złośliwe strony używają do kradzieży informacji od użytkowników, takich jak dane uwierzytelniające i dane bankowe, lub do instalowania złośliwego oprogramowania w celu kradzieży innych informacji. 

Ataki quishingowe są trudniejsze do wykrycia niż tradycyjne ataki phishingowe, ponieważ kopiowanie kodów QR w poszukiwaniu złośliwej zawartości jest bardziej złożone niż skanowanie tradycyjnych adresów URL. Dlatego trudniej jest złapać quisherów niż phisherów. 

Jak działają ataki QR Phishing

Dokładna wiedza o tym, jak działa phishing QR, pomaga zrozumieć, jak z nim walczyć i zapewnić bezpieczeństwo swoim klientom. Najpierw przyjrzyjmy się krok po kroku podziałowi Quishingu, a następnie typowym scenariuszom ataków, abyś wiedział, na co zwracać uwagę.

Podział ataków phishingowych QR krok po kroku

Przyjrzyjmy się dokładnie, jak działa Quishing.

Etapy Quishing obejmują:

1. Tworzenie złośliwych kodów QR: Hakerzy tworzą złośliwe kody QR, które zawierają linki do fałszywych stron internetowych, które dają korzyści hakerom zamiast oryginalnych twórców QR. 
2. Umieszczanie w wiadomościach e-mail, na plakatach, stronach internetowych i w wiadomościach: Oszuści QR rozpowszechniają następnie swoje kody QR i umieszczają je nad oryginalnymi, dzięki czemu ofiary nie mają pojęcia, że skanują fałszywy kod. 
3. Ofiara skanuje i zostaje przekierowana na stronę phishingową lub do pobrania złośliwego oprogramowania: Gdy ofiary to robią, nie mogą stwierdzić, że kod QR jest fałszywy, ponieważ nie ma żadnych cech identyfikujących, które odróżniałyby je od oryginałów. 

Typowe scenariusze ataków typu Quishing

Wiele scenariuszy ataków ma miejsce, gdy oszuści QR zastawiają wirtualne pułapki na ofiary korzystające z kodów QR. 

Niektóre z najczęstszych scenariuszy ataków Quishing obejmują:

• Fałszywe strony logowania (np. bankowość, poczta elektroniczna lub portale firmowe): Oszuści często tworzą strony logowania, które wyglądają niemal identycznie jak oryginały stron internetowych, które zawierają klientów z poufnymi informacjami poszukiwanymi przez hakerów, takich jak banki lub portale firmowe.
• Fałszywe ankiety dla klientów z zachętami: Każdy chce łatwo zarobić, wypełniając szybką ankietę, a oszuści wykorzystują tę chęć do kradzieży informacji. Ofiary ulegają potrzebie zarobienia pieniędzy, wypełniając swoje dane, które hakerzy otrzymują zamiast legalnych firm.
• Kody QR w fałszywych fakturach za parkowanie lub płatności: Czy kiedykolwiek otrzymałeś wezwanie do zapłaty za parking lub rachunek? Wiele osób miało, a te fałszywe kody QR wykorzystują pilną potrzebę płacenia rachunków lub mandatów za parkowanie, aby uniknąć kar, a nawet kary więzienia. Pilność ta prowadzi do wykorzystania przez oszustów, którzy otrzymują dane bankowe wykorzystywane do kradzieży pieniędzy.
• Fałszywe kody QR w aplikacjach biznesowych: Firmy nie są odporne na oszustwa związane z kodami QR. Złośliwe strony mogą umieścić swój własny fałszywy kod QR na legalnym kodzie, na przykład w aplikacji CRM lub aplikacja zegara czasu pracownika dla urządzeń mobilnych. Oszuści mają dane pracowników i prawdopodobnie dostęp do danych firmy.

Dlaczego QR Phishing jest niebezpieczny

Wydaje się, że phishing QR łapie kilka osób, ale czy naprawdę jest tak niebezpieczny? Krótka odpowiedź brzmi: tak. 

Quishing może kosztować ofiary miliony dolarów rocznie, ponieważ jest trudny do wykrycia. Ludzie ufają kodom QR, urządzenia mobilne mają słabsze zabezpieczenia, a hakerzy z łatwością omijają tradycyjne filtry bezpieczeństwa poczty e-mail, które nie mają profilu projektowego chroniącego przed hakerami tej generacji. 

Koszt globalnej cyberprzestępczości osiągnął poziom 9,22 bln USD i prawdopodobnie wzrośnie z powodu wprowadzenia nowych cyberprzestępstw, takich jak sQuishing. Obecnie cyberprzestępczość kosztuje firmy i klientów ogromne sumy pieniędzy, dlatego warto podjąć kroki, aby jej zapobiec.

Przykład ataku QR Phishing w świecie rzeczywistym

Jedną rzeczą jest dowiedzieć się o atakach typu Quishing, ale to naprawdę trafia do domu tylko wtedy, gdy słyszy się o tym, jak wpłynęły one na firmy i społeczności na rzeczywistych przykładach. Pierwszym z tych przykładów jest nieszczęsna osoba, która straciła 17 000 dolarów.

Ofiara traci 13 tys. funtów na rzecz oszustów QR

W listopadzie 2023 r. bardzo niefortunna 71-letnia kobieta w Newcastle w Anglii padła ofiarą oszustwa związanego z kodem QR, które doprowadziło do ogromnej straty w wysokości 17 000 USD. $17,000. Złośliwa strona dokonała oszustwa, umieszczając fałszywy kod QR nad oficjalnym na znaku parkingowym.

Początkowo wydawało się, że pieniądze kobiety są bezpieczne, ponieważ gdy wprowadziła swoje dane bankowe na oszukańczej stronie internetowej, jej bank zatrzymał transakcję. Niestety, oszuści zastosowali inną technikę: udawali pracowników bankowych i skutecznie zachęcili ją do zaciągnięcia pożyczki w wysokości 9 500 USD. Następnie złośliwa strona działała szybko, zmieniając dane bankowe, uzyskując nowe karty i zakładając konto online. 

Rezultatem działań władz lokalnych było usunięcie wszystkich kodów QR z każdego parkingu TransPennine Express.

Incydenty te mogą mieć wpływ na osoby fizyczne przez wiele lat po ich wystąpieniu, ponieważ odzyskanie oszczędności liczonych w tysiącach jest ogromnym wyzwaniem, jak widać na powyższym przykładzie. 

Jak chronić się przed QR Phishingiem?

Oszustwa typu QR phishing są podstępne i trudne do wykrycia. Dobra wiadomość? Wciąż można im zapobiec. 

Postępuj zgodnie z tymi najlepszymi praktykami i technicznymi środkami bezpieczeństwa, aby chronić siebie i swoją organizację przed atakami phishingowymi QR:

Świadomość użytkowników i najlepsze praktyki

Po pierwsze, należy zawsze weryfikować źródła kodów QR. Możesz użyć do tego specjalnej aplikacji, ale oszuści QR są podstępni, więc upewnij się, że aplikacja do weryfikacji QR jest prawdziwa przed jej zainstalowaniem i użyciem, ponieważ oszuści mogą tworzyć fałszywe aplikacje, aby uzyskać dostęp do Twoich danych. 

Następnie korzystaj z aplikacji skanujących kody QR przed otwarciem linków. Ta najlepsza praktyka zapobiega otwieraniu linków, gdy nie masz pewności, dokąd zmierzasz. 

I wreszcie, jeśli kiedykolwiek masz wątpliwości co do źródła, nie skanuj kodu QR i zweryfikuj go przed skanowaniem. 

Techniczne środki bezpieczeństwa

Jeśli jesteś organizacją, a zwłaszcza przedsiębiorstwem, masz o wiele więcej do stracenia niż większość osób fizycznych, np. dane pracowników dane pracowników, miliony dolarów i nieodwracalne szkody dla reputacji firmy.

Wdrożenie uwierzytelniania wieloskładnikowego (MFA) do logowania w celu uniknięcia ataków phishingowych z użyciem kodów QR. Metoda ta polega na wysyłaniu kodu na telefon użytkownika za każdym razem, gdy chce się on zalogować, zapobiegając oszustwom związanym z kodami QR za pomocą kolejnej warstwy zabezpieczeń.

Drugim podejściem powinno być korzystanie z rozwiązań cyberbezpieczeństwa z funkcjami wykrywania oszustw phishingowych QR. Ta funkcja ochroni Cię przed tym zagrożeniem. 

Wreszcie, oferuj szkolenia, które pomogą pracownikom poznać zagrożenia socjotechniczne, takie jak oszustwa phishingowe QR, aby mogli je skutecznie wykrywać i unikać. 

Przypis końcowy

QR phishing jest niebezpieczny, ponieważ może kosztować osoby fizyczne pieniądze, spowodować uszkodzenie danych i zaszkodzić reputacji organizacji. 

Trudno jest wykryć oszustwa phishingowe QR w porównaniu z tradycyjnymi oszustwami phishingowymi, ponieważ kody QR są bardziej złożone i trudniejsze do zeskanowania pod kątem legalności. Na szczęście pewne środki mogą zapewnić bezpieczeństwo, takie jak aplikacje do wstępnego skanowania QR, uwierzytelnianie wieloskładnikowe i szkolenia pracowników w zakresie zagrożeń socjotechnicznych w celu ograniczenia tych ataków.

Jeśli zastosujesz się do tych środków i praktyk, możesz uniknąć większości zagrożeń phishingowych QR i chronić swoich pracowników i siebie przed utratą pieniędzy.

• O
• Latest Posts

Ahona Rudra

Ekspert ds. bezpieczeństwa domen i poczty e-mail w PowerDMARC

Ahona jest Marketing Managerem w PowerDMARC, z ponad 5-letnim doświadczeniem w pisaniu na tematy związane z cyberbezpieczeństwem, specjalizującym się w bezpieczeństwie domen i poczty elektronicznej. Ahona posiada dyplom ukończenia studiów podyplomowych w zakresie dziennikarstwa i komunikacji, umacniając swoją karierę w sektorze bezpieczeństwa od 2019 roku.

Latest posts by Ahona Rudra (zobacz wszystkie)

• Studium przypadku DMARC MSP: ImpactQuill zwiększa bezpieczeństwo poczty elektronicznej i widoczność dla klientów dzięki PowerDMARC - 23 maja 2025 r.
• Studium przypadku DMARC MSP: 1-MSP podnosi bezpieczeństwo klientów i tożsamość marki dzięki PowerDMARC - 19 maja 2025 r.
• Wymuszone wymagania nadawcy Microsoft - jak uniknąć odrzucenia 550 5.7.15 - 30 kwietnia 2025 r.