Bezpieczeństwo

Kody QR mogą być niebezpieczne. Oszuści znaleźli sprytny sposób

przeczytasz w 2 min.
Paweł Maziarz | Redaktor serwisu benchmark.pl
1 komentarzDyskutuj z nami

Phishing na kody QR to wyjątkowo sprytna metoda ataku. Co prawda technika jest już stosowana od dłuższego czasu, ale ostatnio staje się coraz powszechniejsza wśród cyberprzestępców.

Kody QR mogą być bardzo przydatną funkcją, która ułatwia nasze codzienne funkcjonowanie. Niestety, nadal mało kto zwraca uwagę na możliwość jej szkodliwego wykorzystania. Doskonale o tym wiedzą cyberprzestępcy - firma Cofense informuje o dużej kampanii phishingowej, której celem były amerykańskie przedsiębiorstwa. 

Oszustwo na kody QR 

Oszustwo na kody QR (tzw. QRishing) można porównać do phishingu. Zasada jest podobna, ale przestępcy próbują zachęcić swoje ofiary do zeskanowania kodu QR i przejścia w podstawiony link. 

Firma Cofense opisuje przykład ogromnej kampanii phishingowej, gdzie pracownicy amerykańskich przedsiębiorstw otrzymali wiadomość e-mail z kodem QR – komunikat miał zachęcić do włączenia weryfikacji 2FA przez zeskanowanie kodu QR. Rzekomo chodziło o względy bezpieczeństwa. 

W praktyce kod QR zawierał zakamuflowany link, który prowadził do fałszywej strony, służącej wyłudzeniu danych uwierzytelniających. Hiperłącze zostało tak przygotowane, aby na pierwszy rzut oka wyglądało na adres przenoszący do wyszukiwarki Bing (dopiero na końcu umieszczono adres e-mail ofiary oraz link do strony docelowej zakodowany w Base64).

Ogromna fala oszustw na kody QR 

Co prawda QRishing nie jest nową metodą ataku, ale w ostatnim czasie jest coraz popularniejsza wśród cyberprzestępców. Według Cofense, w ostatnim czasie zaobserwowano ogromne kampanie wymierzone w amerykańskie przedsiębiorstwa. W maju odnotowano wzrost przypadków o 270% w ujęciu miesiąc do miesiąca, w czerwcu aż o 500%, a w lipcu był to kolejny wzrost - już “tylko” o 155%. 

Dokładne mierzenie skuteczności kampanii właściwie nie jest możliwe. Eksperci wskazują, że wzrost zainteresowania sugeruje, że przestępcy wiążą z nią duże nadzieje i przynosi wymierne zyski. 

Jak chronić się przed oszustwami na kody QR? Przede wszystkim należy je traktować z ograniczonym zaufaniem i nie skanować wszystkich “znaczków”. Szkolenia z bezpieczeństwa bardzo często przestrzegają przed klikaniem w dziwne linki, ale niekoniecznie zwracają uwagę na kody QR. 

Źródło: Niebezpiecznik

Przeczytaj także:

Komentarze

1
Zaloguj się, aby skomentować
avatar
Komentowanie dostępne jest tylko dla zarejestrowanych użytkowników serwisu.
  • avatar
    brettsinclairdannywilde
    1
    Chyba tylko modyfikacja aplikacji tak żeby pokazywały pełny link przed połączeniem ze stroną + automatyczna weryfikacja adresu przez aplikację w jakiejś bazie to jedyne możliwe rozwiązanie, bo możliwości ludzkie w zakresie dekodowania kodów QR są więcej niż marne :-D BTW 2023 rok to jakaś plaga fałszywych stron przypominających do złudzenia strony realnych producentów .....

    Witaj!

    Niedługo wyłaczymy stare logowanie.
    Logowanie będzie możliwe tylko przez 1Login.

    Połącz konto już teraz.

    Zaloguj przez 1Login