Czy zdarza Ci się skanować kody QR bez zastanowienia? Taka niewinna czynność może Cię drogo kosztować. Eksperci od cybersecurity alarmują, iż quishing staje się coraz bardziej powszechnym atakiem hakerskim. W tym artykule wyjaśniamy co to jest quishing i jak można się przed nim chronić.
Czym jest quishing?
Kody QR przeniknęły do naszego życia. Korzystamy z nich w środkach komunikacji miejskiej, restauracjach czy urzędach. Badania przeprowadzone przez QR Tiger wskazują, iż liczba ich skanowania w 2022 roku wzrosła aż czterokrotnie. Użytkownicy chwalą wygodę tego rozwiązania. Równocześnie portal gov.pl zwraca uwagę na rosnącą liczbę przestępstw z jego wykorzystaniem.
Quishing lub QRishing, bo taką nosi nazwę to zjawisko, jest formą phishigu, czyli najbardziej popularnej w ostatnich latach formy cyberprzestępstwa, bazującej na chwytach socjotechnicznych.
Jak może przebiegać atak quishingowy?
Typowe scenariusze ataków quishingowych przypominają ataki phisingowe, z tą różnicą, iż oszust wysyła spreparowany kod QR zamiast skróconego linka.
Jedną z niebezpieczniejszych metod ataku quishingowego jest QRLJacking, gdzie atakujący wysyłając odpowiednio spreparowany kod QR przekierowuje swoją ofiarę na fałszywą stronę w celu kradzieży poświadczeń do logowania, np. bankowości.
Kolejnym częstym schematem takiego ataku jest zostawianie przez przestępców ulotek zachęcających do pobrania aplikacji lub przejścia na reklamowaną stronę dzięki zeskanowania kodu QR. Najczęściej w takiej ulotce można do tego poprzez obietnicę promocji lub atrakcyjnego prezentu przy skorzystaniu z oferty.
Wspólnym mianownikiem tego typu ataków jest odpowiednio przygotowany kod QR oraz chwyty socjotechniczne, mające na celu przekonanie użytkownika do jego zeskanowania, takie jak namówienie do szybkiego działania pod wpływem emocji, np. „masz tylko 24 godziny na skorzystanie z tej promocji” lub obietnica ułatwienia życia, np. oszczędności czasu. Do tej ostatniej kategorii należy nagłośniona w ostatnim czasie sprawa naklejek z kodem QR umieszonych na krakowskich parkometrach. Po ich zeskanowaniu użytkownik zostawał przekierowywany na stronę, na której miał podać dane do karty płatniczej.
Skutki oszustwa
W zależności od tego, co było celem cyberprzestępców, skutki oszustwa mogą być bardzo różne, najczęściej jest to utrata danych lub pieniędzy.
CERT Polska ostrzega też przed nowym scenariuszem, w którym przestępcy nadużywają metody uwierzytelnienia przez kod QR w aplikacji Wiadomości stworzonej przez Google, która służy między innymi do komunikowania się za pośrednictwem SMS-ów. Najbardziej narażoną grupą użytkowników w tym przypadku są dzieci i młodzież, a ofiary najczęściej werbowane są na Discordzie. Więcej na ten temat możesz przeczytać na stronie cert.
Jak nie zostać ofiarą quishingu?
Do przeprowadzenia udanego ataku niezbędnych jest kilka elementów. Przede wszystkim kamera oraz przeglądarka internetowa wbudowane w urządzenie oraz przekonanie ofiary do tego, żeby zeskanowała kod. Dlatego skuteczna obrona przed atakiem obejmuje zarówno względy techniczne, jak i psychologiczne.
Co możesz zrobić, żeby nie stać się ofiarą quishingu?
- Przede wszystkim nie skanuj kodów z nieznanych źródeł, choćby jeżeli nie widzisz w nich nic podejrzanego. W dzisiejszych czasach większość firm lub inicjatyw ma strony internetowe, na których znajdziesz wszystkie informacje. To zdecydowanie bezpieczniejsze od skanowania kodu.
- Dezaktywuj dostęp kamery do zewnętrznych aplikacji oraz uruchamiaj aparat tylko w chwili robienia zdjęć. Dzięki temu unikniesz przypadkowego zeskanowania zainfekowanego kodu. Dodatkowo eksperci od cybersecurity zalecają ustawić aparat tak, żeby prosił o uprawnienia dostępu za każdym razem, kiedy będziesz chciał skorzystać z aplikacji.
- Aktualizuj zabezpieczenia – powtarzamy to w każdej publikacji odnośnie cybersecurity, jednak nie robimy tego bez powodu. Hakerzy mogą wykorzystać luki w zabezpieczeniach WebKit w Twojej przeglądarce, aby zhakować Twój telefon, tablet, a choćby smartwatch. Dzięki instalowaniu na bieżąco aktualizacji zabezpieczeń będziesz mieć pewność, iż Twoje oprogramowanie spełnia najwyższe standardy.
- Zachowaj szczególną ostrożność podczas udostępniania danych osobowych w sieci. jeżeli po zeskanowaniu kodu zostaniesz przeniesiony na stronę, która prosi Cię o podanie wrażliwych danych, nie rób tego – to może być oszustwo.
- Jeśli kodowi QR towarzyszy wiadomość wzbudzająca emocje np. przedstawiająca niebywałą okazję, z której możesz skorzystać w krótkim czasie – zachowaj szczególną ostrożność. To właśnie szybkie działanie pod wpływem emocji jest najczęstszym czynnikiem powodującym, iż stajemy się ofiarami.
- Do płacenia w miejscach użyteczności publicznej, takich jak parkomaty, wypożyczalnia rowerów miejskich itp., wykorzystuj wyłącznie oficjalne aplikacje.
Zachowaj ostrożność
Pamiętaj: w większości cyberprzestępstw najsłabszym ogniwem jest czynnik ludzki. Dlatego kluczowa jest edukacja oraz zachowanie szczególnej ostrożności nie tylko kiedy otrzymujesz wiadomość z załącznikiem lub skróconym linkiem, ale także podczas skanowania QR kodów.
Chcesz dowiedzieć się więcej o atakach hakerskich z wykorzystaniem socjotechniki? Przeczytaj naszą publikację o phisingu.
