Czym jest atak typu „quishing”?
Jak działa ten rodzaj oszustwa i jakie środki ostrożności można podjąć, aby uniknąć stania się jego celem? Przyjrzyjmy się bliżej, w jaki sposób wykorzystanie kodów QR naraża Twoje urządzenia i dane na niebezpieczeństwo.
Co to jest „quishing”?
Quishing, nazywany również phishingiem z użyciem kodów QR, to rodzaj ataku polegający na wykorzystaniu tych kodów do manipulowania potencjalnymi ofiarami. Podobnie jak w przypadku innych technik phishingu, jego celem jest wyłudzenie poufnych informacji, zainstalowanie szkodliwego oprogramowania na urządzeniu użytkownika lub nakłonienie go do odwiedzenia spreparowanej strony internetowej.
Przestępcy wykorzystują rosnącą popularność kodów QR, zwłaszcza w okresie pandemii, kiedy to ludzie coraz częściej z nich korzystali.
Jak działa quishing?
Na początku cyberprzestępcy planują atak, tworząc kod QR o niepozornym wyglądzie. Istnieje wiele narzędzi online umożliwiających generowanie takich kodów. Możliwe jest nawet utworzenie kodu QR za pomocą telefonu z systemem Android.
Kody QR mogą kierować użytkowników do fałszywych bramek płatności, linków prowadzących do złośliwego oprogramowania lub stron zawierających dokumenty zainfekowane wirusami. Aby osiągnąć swoje cele, hakerzy umieszczają spreparowane kody QR w miejscach, gdzie potencjalne ofiary mogą je zeskanować. Takie kody mogą znajdować się na plakatach, ulotkach i fałszywych reklamach w przestrzeni publicznej, na przykład w restauracjach, galeriach handlowych, parkach i na lotniskach, maskując w ten sposób atak phishingowy.
Jak quishing może wpłynąć na Ciebie?
Ponieważ przestępcy wykorzystują kody QR, możesz nie zdawać sobie sprawy z tego, że padłeś ofiarą ataku typu quishing, dopóki nie będzie za późno. Dlatego warto wiedzieć, jakie są potencjalne konsekwencje tego typu oszustwa.
1. Przekierowanie na stronę phishingową
Zeskanowanie spreparowanego kodu QR może przenieść Cię na stronę internetową, która wiernie imituje wygląd zaufanej witryny. W ten sposób hakerzy próbują skłonić Cię do ujawnienia prywatnych danych, takich jak numer telefonu, adres e-mail czy dane karty kredytowej.
2. Atak z wykorzystaniem złośliwego oprogramowania
Kody QR mogą również zawierać złośliwe oprogramowanie, w tym oprogramowanie ransomware, a nawet trojany. Takie oprogramowanie może być skonfigurowane tak, aby automatycznie pobierało się i instalowało na Twoim urządzeniu natychmiast po zeskanowaniu kodu QR. Hakerzy mogą w ten sposób instalować niechciane programy, kraść prywatne informacje lub śledzić Twoją aktywność online.
3. Przejęcie kontroli nad kontami w mediach społecznościowych
Poza zainstalowaniem złośliwego oprogramowania, skanowanie kodu QR może prowadzić do utraty kontroli nad kontami w mediach społecznościowych. Na przykład, zeskanowanie niebezpiecznego kodu może spowodować zainstalowanie programu, który będzie wysyłał wiadomości e-mail z Twojego konta lub publikował posty w Twoim imieniu na platformach takich jak Instagram, WhatsApp i inne.
Jak zapobiegać atakom typu quishing?
Całkowite unikanie skanowania kodów QR może być trudne, jednak istnieje kilka sposobów na ochronę przed atakami typu quishing.
1. Weryfikacja adresu URL
Zanim przejdziesz na stronę docelową kodu QR, Twoje urządzenie wyświetli podgląd linku. Jeśli adres URL jest skrócony i nie da się ustalić, dokąd prowadzi, lepiej go unikać. Dodatkowo, sprawdź protokół bezpieczeństwa – większość bezpiecznych stron internetowych korzysta z protokołu HTTPS, a nie HTTP.
2. Sprawdzenie strony docelowej
Jeśli już przejdziesz do strony docelowej, przyjrzyj się uważnie adresowi URL. Jeśli zauważysz błędy w pisowni, niepoprawny język lub obrazy o niskiej jakości, istnieje duże prawdopodobieństwo, że jest to strona phishingowa. Ponadto, jeśli treść witryny ma charakter pilny lub wręcz nakłania do natychmiastowego działania, lepiej ją opuścić.
3. Korzystanie z wbudowanego skanera QR
W pośpiechu można pobrać zewnętrzną aplikację do skanowania kodów QR lub skorzystać ze skanera online. Należy jednak pamiętać, że te narzędzia mogą zostać stworzone przez przestępców w celu przeprowadzenia ataku typu quishing. Dlatego zaleca się korzystanie z wbudowanego skanera QR, który znajduje się w aparacie telefonu.
Podsumowanie – co warto wiedzieć o quishingu?
Podobnie jak inne metody phishingu, quishing stanowi poważne zagrożenie zarówno dla osób prywatnych, jak i firm. Jeśli staniesz się ofiarą ataku tego typu, może minąć kilka dni, a nawet tygodni, zanim zdasz sobie z tego sprawę. Dlatego warto zastanowić się dwa razy, zanim zeskanujesz kod QR z nieznanego źródła.