Amerykańska Federalna Komisja Handlu (FTC) ostrzega, że ​​oszuści ukrywają szkodliwe linki w kodach QR i wykorzystują je w atakach phishingowych, co jest taktyką znaną jako quishing.

Co to jest Quishing i jak działa?

Phishing jest metodą oszustwa, przybierającą różne formy w zależności od trendów cyfrowych. Atak ten ma na celu oszukanie ludzi w dowolny sposób w celu ujawnienia poufnych informacji, takich jak nazwy użytkowników, hasła i dane karty kredytowej, które można następnie wykorzystać do dalszych działań przestępczych.

Biorąc pod uwagę popularność kodów QR i - co ważniejsze - tendencję do ich skanowania bez kwestionowania ich przeznaczenia, kody QR stały się doskonałymi narzędziami dla oszustów. Manipulując kodami QR, oszuści kierują osoby na fałszywą stronę internetową, która wygląda na wiarygodną. Jeśli zalogujesz się na tej fałszywej stronie, oszuści mogą ukraść wszelkie wprowadzone przez Ciebie informacje.

Alternatywnie kod QR może zainstalować złośliwe oprogramowanie, które po cichu zbiera Twoje informacje, zanim jeszcze zdasz sobie z tego sprawę.

Krótka historia kodów QR

Kody QR, zwane także kodami szybkiej odpowiedzi, zostały wynalezione przez Masahiro Harę, pracownika japońskiej firmy motoryzacyjnej Denso Waves, w 1994 roku. Firma stanęła przed wyzwaniami związanymi z tradycyjnymi kodami kreskowymi, wymagającymi maksymalnie 10 znaków na jednym produkcie. Takie podejście doprowadziło do opóźnień w produkcji, ponieważ skanery miały trudności z odczytaniem ich z jednego kierunku.

Masahiro Hara znalazł inspirację dla kodów QR podczas gry Go. Uświadomił sobie, że podobny system oparty na siatce, jak plansza do gry GO, może przechowywać więcej informacji w jednym kodzie i być odczytywany z wielu kierunków, kątów i odległości.

Popularność kodów QR nastąpiła w 2020 r., kiedy wybuchła pandemia, i wszyscy unikali kontaktu fizycznego.

Quishing - przykłady złośliwych kodów QR

Oto najpopularniejsze miejsca i scenariusze, w których możesz napotkać złośliwy kod QR:

• E-maile i wiadomości: cyberprzestępcy często wysyłają kody QR za pośrednictwem e-maili lub wiadomości, udając, że pochodzą z legalnych źródeł, takich jak znane firmy lub marki.

• Fałszywe promocje: wiele zwodniczych kodów QR prowadzi do przekonania, że ​​otrzymasz zniżkę lub ofertę specjalną.

• Przestrzeń fizyczna: fałszywe kody QR strategicznie umieszczone w przestrzeni publicznej, na plakatach, a nawet na opakowaniach produktów.

• Podszywanie się pod firmy kurierskie: przestępcy mogą na przykład twierdzić, że nie mogli dostarczyć Twojej paczki, więc proszą Cię o skontaktowanie się z nimi w celu zmiany terminu. Następnie udają, że jest problem z Twoim kontem i nalegają, abyś potwierdził swoje dane. Później kłamią na temat wykrycia podejrzanej aktywności na Twoim koncie i namawiają Cię do zmiany hasła. Ich przesłania wywołują poczucie pilności. Chcą tylko, żebyś zeskanował ich kod.

Jak się chronić przed quishingiem?

• Sprawdź adres URL przed jego otwarciem. Jeśli wygląda na znajomy adres URL, upewnij się, że nie jest sfałszowany, sprawdzając, czy nie ma błędów ortograficznych lub zamienionych liter.

Jeśli chcesz sprawdzić, czy dany kod QR jest niebezpieczny to, możesz użyć Bitdefender Scamio, czyli bezpłatnego narzędzia antyphishingowego. Możesz z nim rozmawiać na Messengerze lub w przeglądarce. Jeśli napotkasz podejrzany kod QR, to przeskanuj go za pomocą Scamio i poczekaj, aż narzędzie go przeanalizuje i wskaże czy dany kod QR jest złośliwy, czy nie” – mówi Arkadiusz Kraszewski z firmy Marken Systemy Antywirusowe, polskiego dystrybutora oprogramowania Bitdefender.

• Nie skanuj kodu QR w wiadomości e-mail lub SMS, której się nie spodziewałeś. Jeśli chcesz sprawdzić, czy wiadomość jest wiarygodna, skontaktuj się z firmą telefonicznie lub za pośrednictwem strony internetowej.

• Chroń swój telefon i konta. Korzystaj z odpowiedniego oprogramowania antywirusowego na swoich urządzeniach i chroń swoje konta internetowe za pomocą silnych haseł oraz uwierzytelniania wieloskładnikowego.

A jeśli już zeskanujesz fałszywy kod QR, to jak najszybciej zmień hasła do kont, do których mogłeś dać dostęp oszustom i monitoruj swoje konta.

Foto: vecstock, treść: Marken Systemy Antywirusowe