Kody QR nową metodą ataków phishingowych. Autorka: Liliana Kotval
Złośliwe ataki są często przeprowadzane za pośrednictwem niebezpiecznych linków lub załączników w mailach i wiadomościach tekstowych. Jednak w tej chwili rozwinęła się kolejna forma oszustwa, której należy być świadomym: kody QR. Liczba ataków phishingowych, znanych jako „quishing”, gwałtownie wzrosła w skali światowej – od sierpnia do września tego roku nastąpił wzrost w złośliwym użyciu kodów QR o 427% – i co więcej, liczba tego typu ataków skoczyła z 0,4% do 8,8% wszystkich złośliwych incydentów. (1)
Źródło: Perception Point (2)
Najczęściej kody QR skanowane przez telefony są przekładane na adresy URL witryn, aplikacji czy adresy na mapach. Chociaż mogą być bardzo użyteczne przy zapewnianiu szybkiego przejścia do strony internetowej, mogą być także linkami do fałszywych stron ze złośliwymi oprogramowaniami albo bramkami płatniczymi. Niezwykła łatwość w tworzeniu kodu QR sprawia, iż prawie każdy może rozpowszechniać go nie tylko za pośrednictwem maili czy stron internetowych, ale także w formie fizycznej – naklejając wydrukowane egzemplarze na ściany budynków czy tablice ogłoszeń w miastach.
W rzeczywistości ataki quishingowe są inną formą tradycyjnego oszustwa polegającego na generowaniu szkodliwych linków. Cyberprzestępcy opierają tę metodę na rozpowszechnianiu maili zawierajacych niebezpieczne linki lub załączniki, które mają na celu oszukanie odbiorców wiadomości. w tej chwili posługują się kodami QR, nieróżniącymi się od swoich „normalnych” (niezłośliwych) odpowiedników. Fakt, iż wiekszość kodów QR jest dołączanych do maila w pliku PNG lub PDF, powoduje, iż w łatwiejszy sposób pokonują one zabezpieczenia sieciowe niż w przypadku, gdy niebezpieczny link jest po prostu zawarty w treści maila. To bardzo istotne, żeby podejmować takie same środki ostrożności w stosunku do kodów QR, co w przypadku nieznanych maili – internetowe wysyłały nieuczciwe kody) oraz używać skanera kodów QR z zabezpieczeniem (3).
Niemniej jednak, nie ma żadnej sytuacji, w której kod QR jest całkowicie bezpieczny, ani w mailach, na stronach internetowych, ani w restauracjach czy na plakatach. Podczas pandemii COVID-19, oszuści mogli zastąpić kody QR w menu restauracji, aby ukraść dane osobowe i dane klientów dotyczące płatności. W styczniu 2022 roku FBI wydało oświadczenie o dnośnie świadczenia usług publicznych, żeby uświadomić obywateli o wzroście tych działań w USA (4). Co więcej, w zeszłym miesiącu w Newcastle w Wielkiej Brytanii, oszuści rozmieścili kody QR na parkingach miejskich, co doprowadziło do zapłacenia przez nieświadome ofiary 60 funtów za każde zeskanowanie (5). Podobny przypadek, także z zeszłego miesiąca z Wielkiej Brytanii, dotyczy starszej kobiety, która straciła 13 tys. funtów po zeskanowaniu fałszywego kodu QR zakrywającego oryginalny egzemplarz na parkingu dworca kolejowego (6). Ta krótka chwila wystarczyła, żeby oszuści byli w stanie założyć konto bankowe na jej urządzeniu, wziąć pożyczkę, zablokować jej kartę kredytową i zmienić adres płatniczy.
Złośliwe kody QR mogą być podstępnie umieszczone i są używane choćby w celu oszukania międzynarodowych korporacji. Przykładem tego jest amerykańska firma energetyczna, która w sierpniu tego roku padła ofiarą największego ataku phishingowego z wykorzystaniem kodu QR. Do firmy wysłano 1000 maili ze złośliwym kodem. Celem były także firmy produkcyjne, ubezpieczeniowe, technologiczne oraz świadczące usługi finansowe (7). Większość maili w załączeniu zawierało zdjęcia w formacie PNG z kodem QR, który przekierowywał do złośliwego linku w wyszukiwarce Bing. To pierwszy przypadek, kiedy kody QR zostały wykorzystane na taką skalę. Przewiduje się, iż częstotliwość ataków phishingowych tą metodą wzrośnie, dlatego pracownicy firm powinni odbywać regularne szkolenia, które uświadomią ich o konieczności zwracania uwagi na kody QR w wiadomościach e-mail, zwłaszcza tych zamieszczonych w załączonych plikach PNG lub PDF.
Sposób, w jaki ataki quishingowe są przeprowadzane – przez kodowanie linków phishingowych w przekierowaniach – nie jest niczym nowym. Odmienny jest sposób, w jaki hakerzy wykorzystują publiczne domeny, używane przez miliony ludzi, żeby przeprowadzić ataki, które nie mogą być łatwo wykryte jako phishing. Możliwość ukrycia adresów URL w kodzie QR w pliku PNG lub PDF oznacza, iż maile quishingowe łatwiej omijają zabezpieczenia sieciowe i trafiają do skrzynek pocztowych. Ataki są coraz to sprytniejsze, dlatego powinniśmy być na bieżąco z ostatnimi trendami i być w stanie zidentyfikować, czemu ufać, a czemu nie.
(1) „QR Code Phishing (Quishing) Attacks Have More Than Quadrupled in Just One Month”, Perception Point, 23.10.2023, https://perception-point.io/blog/qr-code-phishing-quishing-attacks-have-more-than-quadrupled-in-just-one-month/
(2) Ibid.
(3) „In the Wrong Hands, QR Codes Are a Dangerous Threat to Your Mobile Device Security”, University of Virginia, https://security.virginia.edu/QRHack#:~:text=QR%20hacking%20is%20just%20another,not%20always)%20safe%20to%20scan
(4) „Cybercriminals Tampering with QR Codes to Steal Victim Funds”, Federal Bureau of Investigation, 18.01.2022, https://www.ic3.gov/Media/Y2022/PSA220118
(5) „New Castle City Council Issues Warning Over QR Code Scam”, BBC, 22.11.2023, https://www.bbc.com/news/uk-england-tyne-67495975
(6) „Thornaby: Woman Targeted in £13k Railway Station QR Code Scam”, BBC, 18.11.2023, https://www.bbc.com/news/uk-england-tees-67335952
(7) Nathaniel Raymond, „ Major Energy Company Targeted in Large QR Code Phishing Campaign”, Cofense, 16.08.2023, https://cofense.com/blog/major-energy-company-targeted-in-large-qr-code-campaign/
