Kody QR przeniknęły do naszego życia. Korzystamy z nich w środkach komunikacji miejskiej,
restauracjach czy urzędach. Statystyki QR Tiger wskazują, że liczba ich skanowania w 2022 roku
wzrosła aż czterokrotnie. Użytkownicy chwalą wygodę tego rozwiązania. Równocześnie portal gov.pl zwraca uwagę na rosnącą liczbę przestępstw z jego wykorzystaniem.
zwraca uwagę na rosnącą liczbę przestępstw z jego wykorzystaniem.
QRishing lub Quishing, bo taką nosi nazwę to zjawisko, jest formą phishigu, czyli najbardziej
popularnej w ostatnich latach formy cyberprzestępstwa, bazującej na chwytach socjotechnicznych.
Jak może przebiegać taki atak?
Najczęściej schemat jest bardzo podobny jak przy typowych atakach phisingowych, z tym, że zamiast skróconego linka w wiadomości email rozsyłany jest kod QR.
Jedną z niebezpieczniejszych metod ataku tego typu jest QRLJacking, gdzie atakujący wysyłając
odpowiednio spreparowany kod QR przekierowuje swoją ofiarę na fałszywą stronę w celu kradzieży poświadczeń do logowania, np. bankowości.
Kolejnym częstym schematem takiego ataku jest zostawianie przez przestępców ulotek
zachęcających do pobrania aplikacji lub przejścia na reklamowaną stronę za pomocą zeskanowania kodu QR. Najczęściej w takiej ulotce można do tego poprzez obietnicę promocji lub atrakcyjnego prezentu przy skorzystaniu z oferty.
Wspólnym mianownikiem tego typu ataków jest odpowiednio przygotowany kod QR oraz chwyty socjotechniczne, mające na celu przekonanie użytkownika do jego zeskanowania, takie jak
namówienie do szybkiego działania pod wpływem emocji, np. „masz tylko 24 godziny na skorzystanie z tej promocji” lub obietnica ułatwienia życia, np. oszczędności czasu. Do tej ostatniej kategorii należy nagłośniona w ostatnim czasie sprawa naklejek z kodem QR umieszonych na krakowskich parkometrach. Po ich zeskanowaniu użytkownik zostawał przekierowywany na stronę, na której miał podać dane do karty płatniczej.
Skutki oszustwa
W zależności od tego, co było celem cyberprzestępców, skutki oszustwa mogą być bardzo różne,
najczęściej jest to utrata danych lub pieniędzy.
CERT Polska ostrzega też przed nowym scenariuszem, w którym przestępcy nadużywają metody uwierzytelnienia przez kod QR w aplikacji Wiadomości stworzonej przez Google, która służy między innymi do komunikowania się za pośrednictwem SMS-ów. Najbardziej narażoną grupą użytkowników w tym przypadku są dzieci i młodzież, a ofiary najczęściej werbowane są na Discordzie. Więcej na ten temat możesz przeczytać na stronie cert.pl: https://cert.pl/posts/2022/12/qr-scam/
Jak się bronić?
Do przeprowadzenia udanego ataku niezbędnych jest kilka elementów. Przede wszystkim kamera
oraz przeglądarka internetowa wbudowane w urządzenie oraz przekonanie ofiary do tego, żeby
zeskanowała kod. Dlatego skuteczna obrona przed atakiem obejmuje zarówno względy techniczne, jak i psychologiczne.
Przygotowaliśmy dla Ciebie kilka wskazówek, co możesz zrobić, żeby nie stać się ofiarą:
- Przede wszystkim nie skanuj kodów z nieznanych źródeł, nawet jeśli nie widzisz w nich nic
podejrzanego. W dzisiejszych czasach większość firm lub inicjatyw ma strony internetowe, na
których znajdziesz wszystkie informacje. To zdecydowanie bezpieczniejsze od skanowania
kodu. - Dezaktywuj dostęp kamery do zewnętrznych aplikacji oraz uruchamiaj aparat tylko w chwili
robienia zdjęć. Dzięki temu unikniesz przypadkowego zeskanowania zainfekowanego kodu. - Aktualizuj zabezpieczenia – powtarzamy to w każdej publikacji odnośnie cybersecurity,
jednak nie robimy tego bez powodu. Hakerzy mogą wykorzystać luki w zabezpieczeniach
WebKit w Twojej przeglądarce, aby zhakować Twój telefon, tablet, a nawet smartwatch.
Dzięki instalowaniu na bieżąco aktualizacji zabezpieczeń będziesz mieć pewność, że Twoje
oprogramowanie spełnia najwyższe standardy. - Zachowaj szczególną ostrożność podczas udostępniania danych osobowych w sieci. Jeśli po zeskanowaniu kodu zostaniesz przeniesiony na stronę, która prosi Cię o podanie wrażliwych
danych, nie rób tego – to może być oszustwo. - Jeśli kodowi QR towarzyszy wiadomość wzbudzająca emocje np. przedstawiająca niebywałą
okazję, z której możesz skorzystać w krótkim czasie – zachowaj szczególną ostrożność. To
właśnie szybkie działanie pod wpływem emocji jest najczęstszym czynnikiem powodującym,
że stajemy się ofiarami. - Do płacenia w miejscach użyteczności publicznej, takich jak parkomaty, wypożyczalnia
rowerów miejskich itp., wykorzystuj wyłącznie oficjalne aplikacje.
Pamiętaj: w większości cyberprzestępstw najsłabszym ogniwem jest czynnik ludzki. Dlatego
kluczowa jest edukacja oraz zachowanie szczególnej ostrożności nie tylko kiedy otrzymujesz
wiadomość z załącznikiem lub skróconym linkiem, lecz także podczas skanowania QR kodów.
Chcesz dowiedzieć się więcej o atakach hakerskich z wykorzystaniem socjotechniki?
Przeczytaj naszą publikację o phisingu, w której dajemy Ci kilka wskazówek, jak nie stać się ofiarą.